Синхронизация с каталогом пользователей (LDAP / AD)

Обзор

Синхронизация с каталогом позволяет автоматически создавать и обновлять учетные записи пользователей в IVA360 на основе существующей корпоративной инфраструктуры (Active Directory, LDAP и других совместимых систем).

Это снижает нагрузку на администраторов, уменьшает вероятность ошибок и обеспечивает единый источник правды о сотрудниках.

Поддерживаемые провайдеры:

• Microsoft Active Directory — рекомендуется для организаций, использующих Windows Server;
• OpenLDAP — открытая реализация LDAP, широко используемая в Linux‑инфраструктуре;
• FreeIPA — решение для централизованного управления идентификацией в Linux‑средах;
• Samba Active Directory — LDAP‑совместимая реализация Active Directory;
• 389 Directory Server — корпоративный LDAP сервер с открытым исходным кодом;
• Apache Directory Server — LDAP сервер общего назначения;
• Oracle Directory Server — корпоративный LDAP сервер Oracle;
• Red Hat Directory Server — коммерческая версия 389 Directory Server;
• Keycloak (через LDAP Federation) — при использовании Keycloak как LDAP‑прокси.

Также поддерживаются любые LDAP‑совместимые серверы, соответствующие стандарту LDAP v3.

Требования и подготовка

Перед началом настройки необходимо убедиться, что сеть, права доступа и каталог пользователей соответствуют требованиям системы.

Для успешного подключения LDAP необходимо выполнить следующие базовые требования:

Сетевой доступ

• сервер IVA360 должен иметь сетевой доступ к LDAP серверу;
• LDAP сервер должен быть доступен по DNS‑имени или IP‑адресу;
• соединение не должно блокироваться межсетевыми экранами (firewall).

Порты подключения

• порт 389 — для LDAP;
• порт 636 — для защищенного соединения LDAPS (рекомендуется);
• при использовании нестандартного порта он должен быть явно указан в URL подключения.

Сервисная учетная запись LDAP

• должна существовать учетная запись для подключения к LDAP;
• учетная запись должна иметь права на чтение пользователей и групп;
• рекомендуется использовать отдельную сервисную учетную запись, а не учетную запись администратора;
• учетная запись должна иметь действительный пароль без ограничений на интерактивный вход.

Структура каталога пользователей

• пользователи должны находиться в доступной ветке LDAP (Base DN);
• учетные записи должны иметь уникальный идентификатор (например, uid, mail или userPrincipalName);
• учетные записи не должны быть отключены или заблокированы.

Рекомендации по безопасности

• используйте LDAPS вместо LDAP;
• ограничьте доступ сервисной учетной записи только необходимыми правами;
• используйте защищенное соединение и актуальный сертификат сервера.

Настройка синхронизации с LDAP

Этот раздел описывает подключение IVA 360 к вашему LDAP или Active Directory серверу для централизованной аутентификации и автоматического управления учетными записями пользователей.

После подключения LDAP:

• пользователи смогут входить в IVA360 с использованием корпоративных учетных данных;
• учетные записи могут автоматически создаваться и синхронизироваться;
• управление доступом будет осуществляться через корпоративный каталог;
• пароли не будут храниться в IVA 360.

Шаг 1. Откройте настройки LDAP

1. Авторизуйтесь в панели управления IVA 360 под учетной записью администратора.
2. В главном меню выберите раздел «Интеграции» → «Настройки LDAP».
3. Нажмите кнопку «Подключить».

После этого откроется форма настройки подключения.

Шаг 2. Укажите параметры подключения LDAP сервера

Заполните следующие поля:

Поставщик Выберите тип сервера каталогов. Например:

• Active Directory
• LDAP‑совместимый сервер

URL соединения Укажите адрес LDAP сервера в формате:

ldap://ldap.company.local

или

ldaps://ldap.company.local

Использование LDAPS рекомендуется для защищенного соединения.

Имя учетной записи Укажите DN сервисной учетной записи, используемой для подключения.

Пример:

uid=service,cn=users,dc=company,dc=local

Пароль Укажите пароль сервисной учетной записи.

Шаг 3. Укажите параметры поиска пользователей

Путь для поиска учетных записей (Base DN) Укажите базовый DN для поиска пользователей.

Пример:

dc=company,dc=local

Атрибут username в LDAP Атрибут, используемый как логин пользователя.

Примеры:

• mail
• userPrincipalName
• uid

Атрибут RDN Атрибут, используемый для формирования DN пользователя.

Пример:

uid

Атрибут UUID Уникальный идентификатор пользователя.

Пример:

objectGUID

Шаг 4. Укажите параметры фильтра и классов объектов

Классы объектов пользователя Определяют, какие записи считаются пользователями.

Пример:

person

или

user

Фильтр поиска Позволяет ограничить список синхронизируемых пользователей.

Пример:

(objectClass=person)

или

(&(objectClass=user)(objectCategory=person))

Шаг 5. Завершите подключение

1. Проверьте корректность введенных данных.
2. Нажмите кнопку «Подключить».

Если параметры указаны корректно:

• соединение с LDAP сервером будет установлено;
• пользователи смогут входить с использованием LDAP;
• IVA360 начнет использовать LDAP для аутентификации.

Проверка подключения

После успешного подключения рекомендуется:

• выполнить вход под учетной записью LDAP пользователя;
• убедиться, что пользователи отображаются в системе;
• проверить назначение ролей и продуктов.

Рекомендации по безопасности

• используйте LDAPS вместо LDAP;
• создайте отдельную сервисную учетную запись для подключения;
• ограничьте права сервисной учетной записи только чтением;
• используйте фильтры для ограничения доступа.

Возможные ошибки

Не удалось подключиться к серверу

Проверьте URL и доступность LDAP сервера.

Ошибка авторизации

Проверьте DN и пароль сервисной учетной записи.

Пользователь не найден

Проверьте Base DN и фильтр поиска.

Ошибка сертификата (LDAPS)

Убедитесь, что сертификат сервера действителен.