Перейти к основному содержимому
Версия: 8.4

Active Directory

Интеграция и синхронизация Monq c Microsoft Active Directory (AD)

взаимодействие с Active Directory происходит по протоколу LDAP

Общие положения

Синхронизация пользователей Monq и Active Directory происходит с помощью каталогов пользователей.

Стоит не путать "Каталоги пользователей" Active Directory c "Рабочими группами" Monq.

Каталоги пользователей Active Directory синхронизируются с Группами пользователей в Monq.

При подключении пользователей Active Directory к Monq - пользователям доступна авторизация только через Active Directory. Локальная авторизация недоступна.

Администратору доступны действия:

  • Изменить конфигурацию Active Directory
  • Включить синхронизацию
  • Выключить синхронизацию
  • Запустить синхронизацию вручную

Синхронизация

Синхронизация с Active Directory выполняется по умолчанию с интервалом 1 раз в 1 минуту. Данный параметр администратор пространства вправе изменить.

Алгоритм синхронизации пользователей

  • В AD создаётся пользователь, в Monq пользователь не существует → пользователь создаётся в Monq.
  • В AD создаётся пользователь, в Monq пользователь существует → пользователь синхронизируется по email, Имя и набор Групп пользователя обновляется в соответствии с AD.
  • В AD редактируется пользователь, в Monq пользователь существует → в Monq обновляются Имя, набор Групп пользователя.
  • В AD блокируется пользователь → в Monq блокируется соответствующий пользователь.
  • В AD удаляется пользователь → в Monq удаляется соответствующий пользователь.
  • В Monq создаётся пользователь, в AD не существует пользователь → в AD ничего не происходит.
  • В Monq создаётся пользователь, в AD пользователь существует → невозможно создание пользователя.
  • В Monq редактируется пользователь, в AD пользователь существует → запрещено редактирование.
  • В Monq блокируется пользователь → при следующей синхронизации статус пользователя обновляется в соответствии с AD.
  • В Monq удаляется пользователь → при следующей синхронизации пользователь восстанавливается (создаётся) в соответствии с AD.

Алгоритм синхронизация групп

  • В AD создаётся группа, в Monq группа не существует → группа создаётся в Monq.
  • В AD создаётся группа, в Monq группа существует → Группа синхронизируется по названию, состав Группы обновляется в соответствии с AD.
  • В AD редактируется название, состав группы, в Monq группа существует → название, состав Группы обновляется в соответствии с AD.
  • В AD удаляется Группа → в Monq удаляется соответствующая группа.
  • В Monq создаётся Группа, в AD группа не существует → в AD ничего не происходит.
  • В Monq создаётся Группа, в AD группа существует → невозможно создание группы.
  • В Monq редактируется Группа, в AD группа существует → запрещено редактирование.
  • В Monq удаляется Группа → при следующей синхронизации Группа восстанавливается (создаётся) в соответствии с AD.

Настройка синхронизации

Для настройки синхронизации Monq с "Active Directory" перейдите через основное меню в раздел "Администрирование" > "Настройки пространства" > Синхронизация LDAP.

  1. Заполните поля в блоке "Конфигурация интеграции с Active Directory":

    • Название
    • Хост - адрес сервера Active Directory
    • Порт - номер используемого порта
    • SSL - использовать SSL-соединение
    • Имя пользователя - учетная запись с доступом к Active Directory
    • Пароль - пароль учетной записи
    • Домен Active Directory

      Например: dc=domain,dc=local

    • Дополнительные DN пользователей

      Пользователи будут синхронизированы с пользователями Active Directory из каталога с данным "Distinguished Name"

      Например: ou=CityX

    • Дополнительные DN групп

      Группы пользователей будут синхронизированы с группами Active Directory из каталога с данным "Distinguished Name"

      Например: ou=CityZ

    • Дополнительный фильтр пользователей

      Синтаксис фильтра

      Например: (memberOf=cn=MonqAccess,ou=group,ou=OKT,dc=diad,dc=local)

    • Дополнительный фильтр групп

      Синтаксис фильтра

      Например: (groupType:1.2.840.113556.1.4.803:=2147483648)

  2. Нажмите "Сохранить".

  3. Включите синхронизацию.

Сразу при включении, но перед непосредственно синхронизацией выполняется проверка подключения к Active Directory:

  • При успешном подключении Active Directory вокруг переключателя синхронизации загорается зеленый индикатор.
  • При неуспешном подключении Active Directory вокруг переключателя синхронизации загорается красный индикатор. Ниже переключателя выводится информация об ошибке подключения.

После включения синхронизации с Active Directory – в Monq создаются новые пользователи.

Изображение

Авторизация

На странице Авторизации, когда подключена возможность аутентификации через Active Directory (включена и настроена синхронизация):

  1. Пользователю разрешена только локальная аутентификация:
    • Аутентификация происходит с помощью локального провайдера аутентификации
  2. Пользователю разрешена аутентификация только через Active Directory:
    • Запрос на аутентификацию передаётся на сторону Active Directory, аутентификация происходит с помощью Active Directory.
  3. Пользователю разрешена локальная аутентификация и через Active Directory:
    • Аутентификация происходит по очереди с помощью локального провайдера и Active Directory.
    • Если пользователь аутентифицирован с помощью одного провайдера, попытки аутентификации с другим прекращаются.
    • Очередность определена: 1 – Active Directory, 2 – Локальный.

Для новых пользователей созданных через Active Directory разрешается только способ аутентификации через Active Directory, а на почту направляется соответствующее письмо с уведомлением.