Настройка LDAP и OpenLDAP
Вводные данные
Платформа Visiology, Windows Server и Active Directory работают в одной сети.
HTTPS не настроен.
Подключение авторизации через LDAP/OpenLDAP
Для подключения авторизации через LDAP/OpenLDAP необходимо выполнить следующие шаги:
Перейдите в раздел Авторизация > LDAP в панели администрирования и заполните параметры подключения к LDAP-серверу:
Доступны следующие поля:
Поле | Описание |
---|---|
LDAPS | Включает LDAP над SSL(LDAPS) для создания защищенного подключения к Active Directory. По умолчанию используется порт 636. |
Сервер | Адрес сервера LDAP/OpenLDAP. |
Порт | Порт сервера LDAP/OpenLDAP. |
Пользователь | Настройки авторизации LDAP. |
Пароль | Настройки авторизации LDAP. |
Корень дерева | Корень дерева в LDAP/OpenLDAP. |
2. Нажмите Тест подключения для проверки подключения.
3. Для сохранения настроек нажмите Сохранить.
Для OpenLDAP некоторые параметры нужно вводить в другом формате:
Не забудьте переключить Тип авторизации > Внутренняя авторизация + LDAP:
После подключения к LDAP/OpenLDAP-серверу можно импортировать пользователей в платформу двумя способами:
настройка соответствия LDAP/OpenLDAP-групп ролям в Visiology;
прямой импорт.
Настройка соответствия LDAP/OpenLDAP
Настройка атрибутов
Для настройки соответствия атрибутов необходимо выполнить следующие шаги:
Перейдите на вкладку Сопоставление атрибутов и включите сопоставление атрибутов:
Задайте параметры сопоставления:
Фамилия – атрибут, в котором хранится фамилия пользователя;
Имя – атрибут, в котором хранится имя пользователя;
Отчество:
Извлекать из атрибута – атрибут, в котором хранится отчество пользователя (если есть отдельный атрибут);
Извлекать из имени – если нет отдельного атрибута для отчества;
Email – атрибут, в котором хранится адрес электронной почты пользователя;
Дополнительные атрибуты – используются для разграничения прав доступа к данным. Подробное описание см. в разделе Разграничение прав доступа к данным ниже.
Для сохранения настроек нажмите Сохранить.
Если в параметрах сопоставления для Отчество установлено Извлекать из имени, то значение имени, получаемое из LDAP, разбивается по пробелу. Первая часть используется в качестве значения для атрибута Имя, второе - для Отчества.
Настройка групп
Настройка параметров фильтрации сопоставления
Для настройки параметров перейдите на вкладку Сопоставление LDAP групп и поставьте галочку в чекбоксе Сопоставление LDAP групп:
Заполните поля:
Фильтр поиска – фильтр поиска пользователей и групп, которые должны быть доступны для настройки соответствия;
Фильтр поиска групп, в которых пользователь состоит;
Не удалять уже установленные роли пользователей:
если опция включена, то в случае удаления роли пользователя во внешнем провайдере, при авторизации в Visiology, удаленная роль не будет отозвана из назначенных ранее пользователю ролей;
если опция отключена, то удаленные у пользователя роли во внешнем провайдере будут также удалены у пользователя в платформе Visiology.
Если включено Сопоставление LDAP групп , то при авторизации пользователя, его роли в Visiology будут обновлены согласно с заданными настройкам сопоставления LDAP-групп.
Настройка cопоставления LDAP-групп (и пользователей) ролям
Создание нового сопоставления
Для настройки соответствия LDAP-групп или пользователей ролям в Visiology, выполните следующие шаги:
Перейдите на вкладку Сопоставление LDAP групп и нажмите Добавить сопоставление:
В открывшемся окне произведите поиск LDAP-сущности. Это может быть как группа пользователей, так и отдельный пользователь. Выберите сущность.
Задайте сущности из LDAP соответствующие роли в Visiology:
Нажмите Добавить.
Настройка будет добавлена в список:
Редактирование сопоставления
Для редактирования сопоставления выполните следующие шаги:
Выберите сопоставление для редактирования и нажмите кнопку Редактировать:
Откроется окно для редактирования сопоставления:
Измените параметры и нажмите на "Изменить".
Удаление сопоставления
Для удаления сопоставления нажмите иконку корзины запросив сопоставления.
Нажмите Да в появившемся диалоге:
Импорт пользователей из LDAP/OpenLDAP
Вы можете импортировать пользователей из подключенной учетной системы. Для этого выполните следующие шаги:
Нажмите на кнопку Импорт пользователей.
В информационном сообщении будет отображено количество импортированных и не импортированных пользователей.
Всем импортированным пользователям по умолчанию будет присвоена роль Все авторизованные пользователи.
Имя и Фамилия пользователя будут получены из поля GivenName в LDAP. Разбиение производится по пробелу.
Фильтрация при автоматическом создании новых пользователей
Чтобы ограничить возможность автоматического создания пользователей, задайте Фильтр поиска dn пользователя по его логину, по которому будет происходить фильтрация пользователей при получении данных из внешнего провайдера.
Для этого сделайте следующее:
Перейдите в раздел LDAP > Основные настройки.
Задайте фильтр поиска dn пользователя в поле Фильтр поиска dn пользователя по его логину.
Нажмите Сохранить для сохранения настроек:
Разграничение прав доступа
Добавление атрибута
Чтобы задать разграничение прав доступа к данным на основе данных внешнего провайдера LDAP, выполните следующие действия:
Перейдите на вкладку Сопоставление атрибутов и нажмите кнопку Добавить сопоставление (сопоставление атрибутов должно быть включено):
Задайте наименование атрибута платформы, который был создан в Настройках ограничения прав доступа в платформе и для которого уже настроены права доступа. Для этого атрибута платформы задайте наименование Атрибута LDAP, который был предварительно настроен в LDAP. Именно по его значениям и будут сравниваться настроенные права доступа в атрибуте платформы.
Для сохранения настроек нажмите Сохранить.
Удаление атрибута
Для удаления соответствия для атрибутов, нажмите иконку корзины напротив требуемого соответствия:
Смотрите также
На этой странице
- 1 Вводные данные
- 2 Подключение авторизации через LDAP/OpenLDAP
- 3 Настройка соответствия LDAP/OpenLDAP
- 4 Настройка групп
- 5 Настройка cопоставления LDAP-групп (и пользователей) ролям
- 6 Импорт пользователей из LDAP/OpenLDAP
- 7 Фильтрация при автоматическом создании новых пользователей
- 8 Разграничение прав доступа
Время чтения: 4 мин.
Нужна дополнительная помощь?