Конфигурирование интеграции с Active Directory

Настройка интеграции PassOffice с Active Directory: Пошаговая инструкция

Данное руководство описывает процесс настройки интеграции между PassOffice и Active Directory. Выполните следующие шаги под учетной записью администратора PassOffice.

1. Предварительные действия:

  • Проверьте, что служба Active Directory запущена и доступна.

Настройка PassOffice:

1. Запуск сервера PassOffice: Запустите сервер PassOffice, используя файл PassOfficeSrv.bat.

2. Авторизация в PassOffice: Откройте браузер, введите адрес сервера PassOffice (например, localhost:80) и авторизуйтесь под учетной записью администратора.

3. Переход к настройкам интеграции: Откройте пункт меню «Администрирование / Настройки интеграции».

4. Редактирование настроек Active Directory:

  • Основные параметры:

  • логин и пароль оператора Active Directory, от лица которого будет работать PassOffice.

  • URL Active Directory: адрес сервера AD например, ldap://dc.example.com.

  • Поисковая база (Base DN): корневой объект в AD, с которого начинается поиск пользователей (например, DC=example,DC=com).

  • Блокировка человека и его карт при деактивации в Active Directory: установите флажок для автоматической блокировки пользователя в PassOffice при его деактивации в Active Directory.

  • Connection timeout и Read timeout: задайте значения тайм-аутов для соединения и чтения данных.

Вкладка «SSL»:

  • Добавьте сертификат для защищенного соединения.

  • Поддерживаются сертификаты x509, хранилища JKS и PKCS12.

  • Включите настройку "Упрощенная проверка" для отключения проверки хоста и домена (не рекомендуется для production-сред).

Вкладка «Аутентификация»:

  • Разрешать аутентификацию и Разрешать саморегистрацию: разрешает пользователям AD аутентифицироваться в PassOffice и создавать учетные записи (требуется наличие ФИО и email в AD).

  • Синхронизировать роли при входе: автоматически синхронизирует роли пользователей при каждом входе в PassOffice.

  • Синхронизировать настройки при входе: автоматически синхронизирует настройки пользователя при каждом входе.

  • Стратегия разрешения конфликтов при обнаружении совпадений:

  • Приоритет импортируемой системы (Active Directory): данные из AD перезаписывают данные в PassOffice. Что делать, если нет каких-либо данных в сторонней системе:

    • Игнорировать: если поле есть и в PassOffice, и в Active Directory, оно будет заменено на соответствующее из Active Directory. Если поле присутствует в PassOffice, но отсутствует в Active Directory, то оно останется неизменным.

    • Очищать в бюро пропусков: если поле есть и в PassOffice, и в Active Directory, оно будет заменено на соответствующее из Active Directory. Если поле присутствует в PassOffice, но отсутствует в Active Directory, то поле в PassOffice будет очищено.

  • Приоритет данных в бюро пропусков (PassOffice): Данные в PassOffice сохраняются, даже если они отличаются от данных в AD. Если каких-то полей нет в PassOffice, но есть в Active Directory, то они заменяются на соотвествующие из Active Directory.

Вкладка «Атрибуты»:

  • Приоритет импорта активности - Active Directory: если флажок установлен, активность оператора определяется состоянием активности в Active Directory. Активный в AD -> Активный в PassOffice.

  • Категория при импорте: категория, присваиваемая пользователям при импорте из AD (например, "Сотрудник").

  • Маска даты рождения: формат даты рождения, используемый в AD (например, dd/MM/yyyy). Важно, чтобы этот формат совпадал с форматом, используемым в PassOffice.

  • Маска ФИО: порядок импорта ФИО из атрибутов AD (например, {name} {surname} {middlename}). Это определяет, как PassOffice соберет ФИО из различных полей AD.

  • Определите, каким полям в PassOffice соответствуют атрибуты в AD. Например: ФИО=displayName , Имя=givenName,GivenName (поиск ведется сначала в поле givenName, а затем, если оно не заполнено, в поле GivenName.

Фамилия=sn
Почта=mail
Логин=userPrincipalName
Телефон=telephoneNumber
Рабочий телефон=telephoneNumber
Комната=physicalDeliveryOfficeName
Отдел=department
Должность=title
Организация=Company
Страна=co

Вкладка «Настройки операторов»:

  • Соответствие настроек оператора в PassOffice и группы Active Directory: установите соответствие между группами AD и предустановленными "Настройками оператора" в PassOffice.

  • Приоритет настроек при импорте/саморегистрации: если не указано соответствие для конкретной группы AD, используются корневые (базовые) настройки аудита и каналов. Если соответствие указано, используются настройки оператора, соответствующие группе AD.

  • Обновление настроек: настройки оператора обновляются при повторном импорте, но не при повторном входе. Это важно учитывать при внесении изменений в настройки оператора.

Вкладка «Настройки внешнего вида»:

  • Соответствие настроек оператора в PassOffice и группы Active Directory: установите соответствие между группами AD и предустановленными "Настройками внешнего вида" в PassOffice.

В случае, если у пользователя несколько групп, подходящих под отображение, ему будут присвоены те настройки оператора, которые в таблице указаны выше.

Вкладка «Дополнительные настройки»:

  • Конфигурация фильтров - при выборе Пользовательская можно задать определенные значения при импорте операторов и людей:

(&(objectGUID=*).. 

начало фильтра, которое указывает, что все условия перечисленные далее должны быть выполнены.

objectGUID=* 

означает, что фильтр применяется ко всем объектам Active Directory.

(|(objectclass=person)(objectclass=user)

условие, которое указывает, что фильтр должен применяться только к объектам класса "person" или "user". Фильтр будет искать только пользователей, а не группы или другие типы объектов.

(|(givenName=*)(GivenName=*)) 

условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "givenName" (имя) или "GivenName" (имя, записанное в формате, используемом в Active Directory). Звездочка (*) после равенства означает, что любое значение атрибута подходит для фильтра.

(sn=*)

условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "sn" (фамилия).

(mail=*)

условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "mail" (адрес электронной почты).

(userPrincipalName=*)

условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "userPrincipalName" (имя пользователя в формате UPN).

  • Конфигурация размера пакетов для импорта: оптимизируйте процесс импорта данных из AD, указав размер пакетов для различных типов объектов: человек, оператор.

Тест соединения: обязательно проведите тест соединения после ввода параметров.

  • Успешный тест: активируйте настройки соединения с AD.

  • Ошибка: проверьте логи сервера PassOffice для выявления и устранения проблемы.

Реактивация/Деактивация соединения: используйте соответствующие кнопки для управления состоянием соединения с AD.

После внесения изменений в настройки соединения с AD необходимо нажать "Реактивировать", чтобы применить новые настройки.

Вкладка «Роли»:

После активации соединения с AD, можно настроить автоматическое назначение ролей в PassOffice на основе членства пользователей в группах Active Directory.

  • Соответствие ролей и групп AD: для каждой роли в PassOffice (например, "Подача заявок", "Согласование заявок", "Выдача пропусков", "Администрирование" и т.д.) выберите соответствующую группу AD из выпадающего списка. Можно указать только одну группу AD для каждой роли PassOffice.

  • Автоматическое назначение ролей при авторизации: после авторизации пользователя AD в PassOffice, ему автоматически будут назначены права в соответствии с группами AD, в которых он состоит, и заданными соответствиями.

После выполнения этих шагов интеграция PassOffice с AD должна быть настроена. Рекомендуется проверить работоспособность интеграции путем создания тестовой заявки и отслеживания её в системе AD.

Last updated

Was this helpful?