Настройка синхронизации с AD

Инструкции Авторизация/синхронизации AD
,
1

Настройка синхронизации с Active Directory выполняется Администратором системы через пункт меню “Администрирование” - “Системные параметры”, вкладка “Active Directory”.

  • Синхронизация включена — включает/отключает синхронизацию с AD;

  • URL подключения — адрес службы AD, в формате ldap://IP_сервера_AD:порт_сервера_AD

  • DN группы для синхронизации — значение атрибута «distinguishedName» учётной записи подразделения в AD. Решение должно обрабатывать только те учётные записи пользователей AD, которые относятся к вышеуказанному подразделению;

  • Имя пользователя — значение атрибута userPrincipalName аккаунта для подключения к AD;

  • Пароль — пароль для подключения к AD (в базе должен быть зашифрованным);

  • Email для отчета о результате синхронизации — на данный адрес будут отправляться письма с уведомлением. Если не заполнено, уведомления отсылаются на адрес Администратора (По умолчанию это пользователь с логином admin, используется заданный ему e-mail);

  • Время синхронизации — точное время, в которое СЭД обращается к AD для получения данных о появлении новых пользователей и о блокировке существующих;

  • Макс. попыток подключения — количество предпринимаемых подряд попыток синхронизации. Если стоит “1” предпринимается 1 попытка. В случае неудачи синхронизация приостанавливается, чекбокс “Синхронизация включена” снимается;

  • Синхронизировать доступ — блокирован или разблокирован пользователь;

  • Синхронизировать атрибуты пользователя — ФИО, полное имя, логин, табельный номер, e-mail (поля должность, подразделение, номер телефона и организация не обновляются, поддерживается только первичная загрузка). Обновление происходит только в СЭД и только в случае наличия несовпадающей информации по пользователю;

  • Синхронизировать роли и группы доступа — после того, как будет проставлен флаг, в пункте меню “Администрирование” - “Роли” и “Администрирование” - “Группы доступа”, станет доступно поле “Наименование AD группы”. Необходимо сопоставить ролям и группам доступа в СЭД группы из AD. После этого группы, добавленные пользователю в AD, будут при синхронизации добавлены пользователю в СЭД;

  • Шаблон для ролей и групп доступа — с учетной записи, выбранной в данном поле, будут копироваться системные роли и группа доступа;

  • Пароль по умолчанию — задает пароль всем новым пользователям;

  • Язык по умолчанию — русский/английский;

  • Создавать сотрудника — создавать дополнительно с пользователем запись в справочнике “Сотрудники”;

  • Свойство AD для отчества —

    • Middle Name – отчество берётся из строки middleName (Свойства пользователя в AD – вкладка “Редактор атрибутов”);
    • Initials – отчество берётся из строки initials;
    • Display Name(2) – второе слово из строки displayName;
    • Display Name(3) – третье слово из строки displayName.

После проставления признака “Синхронизация включена” появляется кнопка “Синхронизировать с AD” в справочнике “Пользователи”. При нажатии на нее происходит загрузка пользователей с сервера AD. В случае успеха на указанный в настройках e-mail или администратору придет сообщение со списком добавленных/заблокированных пользователей. В случае неудачи придет письмо с указанием причины. Письмо должно прийти одно, вне зависимости от указанного числа попыток синхронизации.

Для всех пользователей, добавленных с помощью синхронизации, проставляется атрибут ActiveDirectoryID, по которому выполняется синхронизация. Это системный атрибут, найти его можно в базе данных в таблице sec_user. По нему также возможна фильтрация в справочнике «Пользователи».

Правила заполнения полей для справочника “Пользователи”

  • Логин имя пользователя в формате “Домен\Имя пользователя”, прочитанное из полей “Имя входа пользователя” в AD (только на английском языке);
  • Группа доступа из шаблона пользователя, заданного в настройках (при проставленном признаке “Синхронизировать роли и группы доступа” в соответствии с добавленными пользователю группами в AD);
  • Новый пароль и Подтверждение пароля равны значению поля “Пароль по-умолчанию”;
  • Фамилия, Имя, Отчество — должны быть получены из соответствующих полей AD напрямую и продублированы в справочнике “Сотрудники”, если установлен признак “Создавать сотрудника” (фамилия - sn, имя - givenname, отчество - в зависимости от настройки в СЭД берётся из displayName/displayName/initials);
  • Полное имя — должно быть сгенерировано по внутренним правилам СЭД;
  • Язык — из настройки в СЭД;
  • E - mail должно быть получено из AD. Адрес электронной почты в AD для импортируемой учётной записи МОЖЕТ БЫТЬ не указан, это НЕ должно являться основанием для невыполнения импорта данного сотрудника. Если признак “Создавать сотрудника” установлен, то e-mail должен быть заполнен в справочнике “Сотрудники” (поле в AD - mail);
  • Активен в соответствии с параметром AD;
  • Маска разрешённых IP из шаблона пользователя;
  • Сотрудник — при установленной настройке “Создавать сотрудника”, в данном поле должна быть выбрана запись справочника “Сотрудники”, созданная автоматически для данного пользователя;
  • Роли — должны быть скопированы из шаблона пользователя (при проставленном признаке “Синхронизировать роли и группы доступа” в соответствии с добавленными пользователю группами в AD);
  • Замещаемые пользователи — не заполняется.

В карточке сотрудника, создаваемой вместе с пользователем, при наличии соответствующей настройки, должны быть заполнены фамилия, имя, отчество, должность, отображаемое имя, e-mail, а также дополнительные поля, не указываемые в карточке пользователя:

  • Подразделение должно быть получено из AD при установленной настройке “Создавать сотрудника”. После прочтения из AD наименования отдела система выполнит поиск подразделения с аналогичным названием в своём справочнике подразделений. Найденное подразделение будет установлено для сотрудника, созданного вместе с импортируемым пользователем. Если подразделение не найдено в справочнике по точному совпадению, оно будет создано. Если подразделение не задано в AD, в системе оно также останется незаполненным;
  • Организация — должна быть получена из поля AD при установленной настройке “Создавать сотрудника”. После прочтения из AD наименования организации система выполнит поиск организации с аналогичным названием в своём справочнике организаций. Найденная организация будет установлена для сотрудника, созданного вместе с импортируемым пользователем. Если организация не найдена в справочнике системы по точному совпадению, она будет создана. Как правило, поле “Организация” заполняется вместе с полем “Подразделение”, и в указанной организации происходит поиск указанного подразделения. Если подразделение не найдено, то оно будет создано в данной организации. Если заполнено подразделение, но не заполнена организация, то данное подразделение будет прикреплено к организации по умолчанию (пункт меню “Администрирование” – “Системные параметры” – “Умолчания”);
  • Должность — должна быть получена из AD при установленной настройке “Создавать сотрудника”. После прочтения из AD наименования должности система выполнит поиск должности с аналогичным названием в своём справочнике. Найденная должность будет установлена для сотрудника, созданного вместе с импортируемым пользователем. Если должность не найдена в справочнике системы по точному совпадению, она будет создана. Если должность не задана в AD, в системе она также останется незаполненной;
  • Табельный номер должен быть получен из поля AD “Описание” при установленной настройке “Создавать сотрудника”. Если поле пустое в AD, то будет пустым в системе.

Запись в СЭД должна создаваться только в случае успешного предварительного чтения всех необходимых данных из AD. После загрузки из AD все атрибуты созданного в СЭД пользователя и сотрудника остаются доступными для редактирования (не блокируются) и при изменении не обновляются в AD. В случае, если при синхронизации пользователя, при включённых настройках, происходят изменения по пользователю, то зависимая информация о сотруднике также меняется, но не обновляются должность и подразделение. При этом в истории изменений сохраняется информация об этом изменении.