Интеграция с Active Directory

Общее описание

Взаимодействие с Active Directory (AD) связывает учетные записи пользователей Windows с пользователями Юниверс MDM. Позволяет авторизоваться через учетную запись Windows и получать права доступа в Юниверс MDM.

Интеграция с Active Directory в системе Юниверс MDM осуществляется через создание LDAP-подключения в разделе "Каталог доступа".

Примечание

Раздел "Каталог доступа" доступен для работы, если пользователю назначена роль с правом Каталог доступа

Протокол LDAP используется в Юниверс MDM для взаимодействия с Active Directory (и другими способами аутентификации).

Для интеграции создается LDAP-сервер и подключается к Active Directory. Active Directory имеет собственную структуру объектов, которая настраивается под требуемую IT-инфраструктуру.

Также разные версии Active Directory могут использовать разные фильтры. Для проверки настройки фильтров используйте кнопку "Проверить подключение".

Структура запроса для LDAP может быть создана администратором Active Directory.

При возникновении сложностей с настройкой интеграции воспользуйтесь поиском в интернете. Полезные ссылки:

Создание LDAP-подключения

Чтобы создать подключение:

  1. Убедитесь, что открыт раздел "Каталог доступа".

  2. Нажмите кнопку image1 «Создать» в нижней части списка подключений.

  3. Заполните основные параметры во вкладке "LDAP-подключения" (Рисунок 1):

    • URL сервера. Обязательный.

    • Порт. Обязательный. Значения по умолчанию: с ssl сертификатом - 636, без сертификата - 389.

    • Логин. Обязательный. Указывается значение атрибута AD "distinguishedName" (например, "CN=mdmADTest,CN=Users,DC=achrf,DC=ru").

    • Пароль. При обновлении не требуется указание пароля, если он не был изменен.

    • Использовать SSL сертификат. Включение флага подразумевает, что в java на сервере mdm установлен сертификат.

    • Участники. Имя атрибута, в котором указан список групп, где участвует пользователь. Заполняется на основании настроек AD. Если поле пустое или некорректно заполненное - пользователь не будет привязан к своим группам.

    • Максимальное количество пользователей. По умолчанию, количество записей в AD - не более 1000. Пагинация отсутствует. Если настройки сервера AD изменены в большую сторону, то параметр можно отредактировать, но не более, чем указано в настройках сервера.

  4. При необходимости нажмите на кнопку image2 "Проверить подключение", чтобы осуществить проверку корректности подключения.

  5. Принудительный запуск операции синхронизации доступен при нажатии кнопки "Синхронизировать".

  6. Перейдите во вкладку "Домены безопасности".

  7. Нажмите image3 "Создать" в верхнем правом углу экрана.

  8. Заполните основные параметры домена (Рисунок 2):

    • Домен безопасности. Обязательный. Имя домена безопасности.

    • Базовый поиск пользователей. База для поиска. Например, при "distinguishedName" выглядит как "CN=mdmADTest,CN=Users,DC=achrf,DC=ru", в поле "Базовый поиск пользователей" нужно указать "CN=Users,DC=achrf,DC=ru".

    • Фильтр пользователей. Дополнительный фильтр пользователей. Чтобы найти пользователя с именем "mdmADTest", необходимо указать фильтр (&(objectcategory=user)(CN=mdmADTest)). Фильтр поддерживает поиск по маске. Чтобы найти пользователей "mdmADTest_1", "mdmADTest_2", "mdmADTest", необходимо указать фильтр (&(objectcategory=user)(CN=mdmADTes*)).

    • Базовый поиск групп. Заполняется аналогично параметру "Базовый поиск пользователей" - только для групп.

    • Фильтр групп. Заполняется аналогично параметру "Фильтр пользователей" - только для групп. Например, указав в поле "Фильтр пользователей" (|(CN=Администратор*)), будут доступны все группы, начинающиеся с "Администратор" (Администраторы, Администратор ролей и т.д)

  9. Нажмите кнопку image4 "Предварительный просмотр", чтобы убедиться, что параметры верны и производится выборка необходимых групп/пользователей. В результате действия будут получены и отображены пользователи и группы согласно фильтрам в настройках домена с сервера AD.

  10. Чтобы настроить регулярность синхронизации - перейдите во вкладку "Расписание".

  11. Нажмите image3 "Создать" в верхнем правом углу экрана.

  12. В поле CRON выражение задайте периодичность запуска синхронизации. При наведении курсора на значок image5 в конце строки отобразится всплывающая подсказка с возможными вариантами расписания.

  13. После внесения всех необходимых изменений - нажмите image6 "Сохранить" в верхнем правом углу экрана.

Вкладка "LDAP-подключения"

Рисунок 1 – Вкладка "LDAP-подключения"

Вкладка "Домены безопасности"

Рисунок 2 – Вкладка "Домены безопасности"

Авторизация через AD

Авторизация через AD происходит без применения дополнительных настроек. Пользователь будет загружен, сохранен и добавлен в группы, которые уже существуют в системе Юниверс MDM. Для авторизации используется логин от учетной записи Windows.

Синхронизация с AD

  1. Конфигурация Active Directory читается из БД.

  2. По всем доменам загружаются группы, далее сохраняются или обновляются в Юниверс MDM. Группы, неудовлетворяющие фильтрам, удаляются из системы.

  3. Далее загружаются пользователи (по всем доменам), сохраняются или обновляются в системе. Если пользователь уже существует (например, создан через интерфейс), то он не будет сохранен или обновлен информацией из AD.

  4. Пользователям, имеющим доступы к ресурсам безопасности: "Роли" и "Пользователи", будет доступен отчет в Уведомлениях системы. При этом учитываются только персональные роли - роли из групп игнорируются. Детализация отчета доступна по одноименной кнопке.