Модуль интеграции с Active Directory

Возможности модуля

Модуль интеграции с AD позволяет пользователям авторизоваться в программе IPI.Manager с использованием учётных записей AD. Возможна автоматическая авторизация без ввода имени и пароля (используется текущая учётная запись пользователя в системе). Также модуль позволяет импортировать учётные записи пользователей из AD в базу данных IPI.Manager и впоследствии обновлять их, если данные в AD изменились. Для выбора пользователей можно использовать произвольные запросы LDAP. Синхронизация может выполняться в ручном режиме или автоматически, раз в сутки. При этом в программе в базе пользователей могут одновременно находиться как пользователи интегрированные из AD, так и заведенные вручную пользователи.

Политика лицензирования

По отношению к модулю интеграции с AD применимы правила лицензирования принятые для распространения самой программы IPI.Manager. То есть, количество приобретенных лицензий ограничивает только количество внутренних пользователей. Количество внешних пользователей, которые можно интегрировать из AD - неограниченно.

Настройка авторизации пользователей в домене AD

Авторизация в домене AD возможна при использовании веб-серверов Microsoft IIS и Apache. Процедура настройки для каждого из них своя.

Microsoft IIS

В IIS доменная авторизация включается в свойствах сайта галочкой "Integrated Windows authentication", также необходимо отключить галочку "Enable anonymous access":

Apache

Настройка связки Apache, Kerberos и Microsoft AD - довольно нетривиальная задача. Она подробно описана в разделе AdministratorGuide/Chapter4/ActiveDirectory/Apache.

Настройка синхронизации пользователей

Модуль интеграции с AD может импортировать пользователей из одного или нескольких источников LDAP. Для каждого источника данных используются свои настройки и параметры - так называемые политики синхронизации.

Чтобы задать политику синхронизации, нужно выбрать пункт меню Управление -> Политики синхронизации LDAP и нажать кнопку Добавить.

Общие настройки

Имя политики: имя, под которым политика импорта будет отображена в общем списке

Описание: краткое описание

Автосинхронизация: если параметр задан, синхронизация будет автоматически выполняться раз в сутки, обычно в 03:00.

Удалять пользователей: если галочка включена, пользователи, присутствующие в БД IPI.Manager, но отсутствующие в дереве LDAP, будут удалены.

Восстанавливать удалённых пользователей: удалённый пользователь будут восстановлен, если в дереве LDAP обнаружется пользователь с таким уникальным ID.

Перезаписывать пользователей: если при импорте пользователя из LDAP в базе данных IPI.Manager уже есть другой пользователь с таким же логином, то при включенной галочке все поля этого пользователя будут обновлены из LDAP, и ему будет присвоен уникальный ID этого пользователя. При выключенной галочке будет сгенерировано сообщение об ошибке: «пользователь с таким логином уже существует».

Параметры запроса LDAP

Сервер: имя сервера LDAP, с которым будет выполняться синхронизация

Имя пользователя: как правило, имеет вид user@domain а Основание поиска: поддерево LDAP, в котором будет выполнен поиск. Если оставить его пустым, будет происходить поиск по всему дереву.

Фильтр: строка запроса LDAP.

Проверить правильность введённых параметров можно, нажав кнопку «Тестовый поиск».

Соответствие полей

Таблица соответствия свойств LDAP полям базы данных IPI.Manager. Как правило, достаточно значений по умолчанию.

Группы

Группа назначения: группа, в которую будут добавлены импортированные пользователи. Это обязательный параметр.

Дополнительные группы: дополнительные группы, в которые будут добавлены пользователи.

Внутренние пользователи: этот параметр определяет, будут ли импортированные пользователи внутренними или внешними.

Уведомления

Список пользователей, которым отсылаются почтовые уведомления о синхронизации.