| Следующая версия | Предыдущая версия |
| product:auth:admin:active_directory [19.03.2019 08:09] – создано mayn | product:auth:admin:active_directory [30.01.2025 10:47] (текущий) – [Настройка Active Directory] ekaterina.menkhuzina |
|---|
| ====== Настройка Active Directory ====== | ====== Настройка Active Directory ====== |
| |
| Advanta позволяет настроить интеграцию с Active Directory для загрузки пользователей. | Интеграция с ActiveDirectory позволяет пользователям авторизоваться в ADVANTA под доменными учетными данными, без ввода отдельного логина и пароля. |
| | |
| {{ :product:auth:admin:active_directory_2.png |}} | |
| <TEXT align="center">**Рисунок 1** -- Настройки интеграции с Active Directory</text> | |
| |
| Интеграция возможна двумя способами: | Интеграция возможна двумя способами: |
| - Через [[product:settings:ad#один_домен|службы федераций ADFS]] -- однодоменная интеграция. | - Через [[product:settings:system:active_directory#один_домен|службы федераций ADFS]] -- однодоменная интеграция. |
| - Через [[product:settings:ad#мультидоменность|протокол NTLM]] -- мультидоменная интеграция. | - Через [[product:settings:system:active_directory#мультидоменность|протокол NTLM]] -- мультидоменная интеграция. |
| |
| ===== Загрузка пользователей из Active Directory ===== | <callout type="primary" icon="true">Если в последующем возникнет потребность протокол авторизации поменять с [[product:settings:system:active_directory#один_домен|ADFS]] на [[product:settings:system:active_directory#мультидоменность|NTLM]], необходимо после внесения изменений произвести перезагрузку сервера приложения ADVATNA, чтобы изменения вступили в силу.</callout> |
| |
| Для загрузки пользователей из Active Directory нужно выполнить следующие шаги | Для настройки интеграции нужно связать (загрузить) пользователей из AD с пользователями из ADVANTA. Связывание происходит по полю SID. |
| - Настроить интеграцию по одному из двух методов: [[product:settings:ad#один_домен|ADFS]] или [[product:settings:ad#мультидоменность|NTML]] | |
| - Включить в системе настроенный метод интеграции (Рисунок 1). | |
| - Нажать кнопку «Загрузить из Active Directory» (Рисунок 1). | |
| - В появившемся окне нажать кнопку-ссылку «учетная запись» (Рисунок 2) и указать логин (по маске ''domain\login'') и пароль доменного администратора. | |
| - Отметить галочкой нужных пользователей (или группы пользователей) и нажать кнопку «Выбрать». | |
| |
| | Есть два варианта настройки: |
| | - [[#загрузка_пользователей_из_active_directory|Загрузка новых пользователей из AD в ADVANTA]]. Это массовая операция, можно загрузить большой список пользователей. |
| | * В ADVANTA создаются новые пользователи, с системным логином и паролем, с привязкой к доменной учетной записи. |
| | * Пользователю для входа в ADVANTA с доменными учетными данными системный логин и пароль ADVANTA знать не нужно. |
| | * Пользователь в ADVANTA может их изменить вручную, это не повлияет на привязку профиля пользователя ADVANTA к учетной записи AD. |
| | - [[#синхронизация_уже_созданных_в_адванте_пользователей_с_пользователями_active_directory|Привязка существующего пользователя ADVANTA к AD]]. |
| | * Каждый пользователь привязывается индивидуально: администратор ADVANTA переходит в профиль нужного пользователя, где есть интерфейс для выбора необходимой доменной учетной записи AD. |
| | * Изменение информации о пользователе в ADVANTA или в AD на привязку профилей друг к другу не влияет, т.к. они связаны по идентификатору. Изменение информации о пользователе в ADVANTA не влияет на учетную запись в AD и наоборот: изменения данный в учетной записи AD не влияют на информацию о пользователе в ADVANTA . |
| |
| {{ :product:auth:admin:active_directory_3.png |}} | * Если пользователь заблокирован в ADVANTA и пытается в ней авторизоваться через AD, то ADVANTA откажет в доступе. |
| <TEXT align="center">**Рисунок 2** -- Окно загрузки пользователей из Active Directory</text> | * Если пользователь заблокирован в AD, и в профиле ADVANTA у него системные логин и пароль, то авторизоваться в ADVANTA пользователь не сможет. |
| | * Если в профиле ADVANTA логин и пароль известны пользователю, то он сможет авторизоваться в ADVANTA, минуя AD. |
| |
| <callout type="primary" icon="true">Для операции загрузки пользователей важно учитывать необходимость заполнения полей Имя, Фамилия и адрес электронной почты в настройках профилей пользователей в Active Directory.</callout> | ===== Загрузка пользователей из Active Directory ===== |
| |
| | Для загрузки пользователей из Active Directory: |
| | - включите интеграцию по одному из двух методов: [[product:settings:system:active_directory#один_домен|ADFS]] или [[product:settings:system:active_directory#мультидоменность|NTML]]; |
| | - включите в системе настроенный метод интеграции; |
| | - нажмите кнопку «Загрузить из Active Directory»; \\ <image shape="thumbnail">{{ :product:auth:admin:active_directory_2.png |Настройки интеграции с Active Directory}}</image> |
| | - в появившемся окне -> ''учетная запись''; \\ <image shape="thumbnail">{{ :product:auth:admin:active_directory_3.png |Окно загрузки пользователей из Active Directory}}</image> |
| | - укажите логин (по маске ''domain\login'') и пароль доменного администратора; |
| | - выберите нужных пользователей (или группы пользователей) -> ''Выбрать''. |
| | |
| | <callout type="primary" icon="true"> |
| | - Если сервер с системой включен в домен, Система принимает логин не только по указанным маскам, но и просто в виде имени пользователя, без дополнений. |
| | - Для операции загрузки пользователей важно учитывать необходимость заполнения полей Имя, Фамилия и адрес электронной почты в настройках профилей пользователей в Active Directory. |
| | </callout> |
| ===== Синхронизация уже созданных в Адванте пользователей с пользователями Active Directory ===== | ===== Синхронизация уже созданных в Адванте пользователей с пользователями Active Directory ===== |
| |
| Для синхронизации (включения входа через ссылку на странице авторизации) у пользователя, уже созданного в системе, с пользователем Active Direcory нужно: | - [[#загрузка_пользователей_из_active_directory|Настройте интеграцию]] по одному из двух методов. |
| - Настроить интеграцию по одному из двух методов (ссылки на описание настройки представлены выше). | - Включите в системе настроенный метод интеграции. |
| - Включить в системе настроенный метод интеграции (Рисунок 1). | - Перейдите на [[product/auth/admin/edit|страницу параметров пользователя]] Адванты. |
| - Перейти на страницу параметров пользователя Адванты. | - В портлете «Учетная запись Active Directory» нажмите ''задать''. |
| - В портлете «Учетная запись Active Directory» нажать кнопку-ссылку «задать» (Рисунок 3). | - В появившемся окне -> ''учетная запись'' -> укажите логин (по маске ''domain\login'') и пароль доменного администратора. |
| - В появившемся окне нажать кнопку-ссылку «учетная запись» и указать логин (по маске ''domain\login'') и пароль доменного администратора. | - Выберите пользователя для синхронизации (из списка Active Directory) -> ''Выбрать''. |
| - Отметить галочкой пользователя для синхронизации (из списка Active Directory) и нажать кнопку «Выбрать». | |
| | <callout type="primary" icon="true">Если сервер с системой включен в домен, Система принимает логин не только по указанным маскам, но и просто в виде имени пользователя, без дополнений.</callout> |
| |
| {{ :product:auth:admin:active_directory_4.png |}} | <image shape="thumbnail">{{ :product:auth:admin:active_directory_4.png |Синхронизация пользователей Адванты и Active Directory}}</image> |
| <TEXT align="center">**Рисунок 3** -- Синхронизация пользователей Адванты и Active Directory</text> | |