Как cинхронизировать роли и группы доступа в коробочной интеграции с AD?
Решение
Синхронизировать роли и группы доступа — после того, как будет проставлен флаг, в пункте меню “Администрирование” - “Роли” и “Администрирование” - “Группы доступа”, станет доступно поле “Наименование AD группы”. Необходимо сопоставить ролям и группам доступа в СЭД группы из AD. После этого группы, добавленные пользователю в AD, будут при синхронизации добавлены пользователю в СЭД. Сопоставление производится в настройках ролей и групп.
Где можно посмотреть сопоставление атрибутов аккаунта Active Directory параметрами в ТЕЗИС?
Решение
В таблице ниже приведены сопоставления полей из AD с ТЕЗИС, используемых при синхронизации из AD.
Атрибут в Active Directory Параметр в ТЕЗИС
sAMAccountname Логин
objectSID Параметр ACTIVE_DIRECTORY_ID в БД
mail Почта
telephoneNumber Номер телефона
description Табельный номер
givenname Имя
Middle Name – отчество берётся из строки middleName(Свойства пользователя в AD – вкладка “Редактор атрибутов”)
Initials – отчество берётся из строки initials
Display Name(2) – второе слово из строки displayName
Display Name(3) – третье слово из строки displayName Отчество. Соответствие атрибута зависит от настройки, указанной в Системных параметрах
sn Фамилия
Полное имя. Формируется из sn, givenname и отчества по шаблону {LL }{F . }{M .}
title Должность
department Подразделение
company Организация
Возможна ли синхронизация с несколькими AD?
Решение
В настройках ActiveDirectory можно указать только одну группу для синхронизации. Т.е. принадлежать она будет к одному определенному домену.
Как авторизоваться, если есть пользователи которые не используют на рабочем компьютере AD? Достаточно ли для авторизации ввести логин и пароль от пользователя в AD или нужно чтобы компьютер был в AD? И как авторизоваться, если в какой то момент подключаешься не из корпоративной сети?
Решение
Если в группу синхронизации будут включены пользователи из других доменов и у учетной записи, от имени которой будет выполняться синхронизация, будут все права на чтение этих каталогов, и синхронизация будет выполняться успешно.
При настройке сквозной авторизации сохраняется возможность входа “извне”.
Если компьютер в домене и пользователь есть в ТЕЗИС, то ему не нужно вводить пароль, все происходит прозрачно.
Если компьютер не в домене или пользователя нет в Тезис, то возникнет окно ввода логина и пароля. Если ввести существующие данные, то войти можно будет.
Может ли Администратор принудительно запускать обмен с AD, если регулярный обмен настроен и работает ежедневно?
Решение
Да, принудительное включение возможно, в Администрирование - Пользователи системы будет кнопка “Синхронизировать с AD”.