Центр помощи / Администратор / 4. Интеграции / Синхронизация пользователей из on-premise AD в UnSpot SaaS (сервис LDAP-SCIM)

Синхронизация пользователей из on-premise AD в UnSpot SaaS (сервис LDAP-SCIM)

В статье:
1. Что такое сервис синхронизации LDAP-SCIM
2. Настройка UnSpot
3. Установка сервиса LDAP-SCIM
4. Настройка сервиса LDAP-SCIM

1. Что такое сервис синхронизации LDAP-SCIM

LDAP-SCIM — это приложение которое устанавливается в контуре клиента как Windows Service, который позволяет синхронизировать пользователей и групп доступа из AD (Active Directory) используя протокол LDAP (Lightweight Directory Access Protocol) в UnSpot используя протокол SCIM (System for Cross-domain Identity Management). Это решение разработано для синхронизации из on-premise систем в облако (UnSpot SaaS) в безопасном для клиента формате.

Архитектура решения

Описание решения:

  1. решение состоит из 2-х частей (приложений)
  2. 1-я часть: UnSpot AD SCIM UI – пользовательский интерфейс для администратора. В данном приложении можно сконфигурировать подключения и другие параметры к AD. Параметры конфигурации сохраняются в файл конфигурации “Config File (JSON)”
  3. 2-я часть: UnSpot AD SCIM Service – сервис который производит синхронизацию пользователей между AD  клиента и UnSpot по протоколу SCIM
  4. Все параметры конфигурации сервиса хранятся и файле конфигурации. Сервис может работать и без UnSpot AD SCIM UI который нужен больше для удобства администраторов системы
  5. Кол-во подключений к разным AD:  от 1 до бесконечности 

Алгоритм работы синхронизации пользователей и групп:

Процесс включает следующие шаги:
– Active Directory передает информацию о пользователях и группах.
– Приложение-сервис UnSpotAdScim принимает и обрабатывает эти данные, сохраняя их в кеше.
– На основе заданной частоты синхронизации приложение-сервис UnSpotAdScim отправляет данные в веб-приложение UnSpot.

Следует отметить, что связь является односторонней: приложение-сервис UnSpotAdScim исключительно отправляет данные в веб-приложение UnSpot и не получает их обратно. Передача информации между UnSpotAdScim и веб-приложением UnSpot осуществляется по протоколу SCIM через защищенные зашифрованные протоколы HTTPS REST API и сертификаты TLS. Для этой передачи используется стандартный порт 443, предназначенный для HTTPS.

База данных SQL Lite используется для хранения кеша отправленных данных из AD в приложение-сервис UnSpotAdScim, что позволяет избежать постоянных запросов к веб-приложениию UnSpot .
Запросы с данными отправляются в UnSpot через SCIM-протокол только после обработки данных в кеше. Для очистки кеша приложения-сервиса UnSpotAdScim удалите файл cache.db вручную в папке приложения “UnSpotAdScim”.

Синхронизация проходит в следующем порядке:
– Группы
– Пользователи
– Вхождение пользователей в группы


2. Настройка UnSpot

  1. Перейдите в Настройки > Интеграции > Синхронизации
  2. В разделе “Синхронизация пользователей” выберите карточку SCIM 2.0 и нажмите Подключить
  3. Сохраните у себя данные URL и секретный токен (в дальнейшем его будет невозможно получить)
  4. Настройте желаемую опцию отправки приветственных писем для пользователей


3. Установка сервиса AD-SCIM

  1. Обратитесь к своему менеджеру с просьбой предоставления установочного файла приложения UnSpotAdScim
  2. Установите приложение на устройстве с OC Windows.
  3. Убедитесь, что разрешен исходящий трафик с AD для серверов UnSpot. Это необходимо для корректной работы приложения и синхронизации информации о пользователях и группах (без этого могут возникнуть проблемы с обменом данными).


4. Настройка сервиса AD-SCIM

С помощью пользовательского интерфейса:

  1. После установки сервиса запустите файл “UnSpot AD SCIM.exe” в папке приложения “UnSpotAdScim
  2. В “Параметрах подключения” введите данные для синхронизации по протоколу LDAP
  3. В “Параметрах сервиса синхронизации” введите сохраненный ранее URL и токен из UnSpot
  4. Укажите желаемую частоту синхронизации
  5. Сохраните параметры (при изменении параметров нужно обязательно их снова сохранить)
  6. Также вы можете добавить и настроить несколько подключений к AD, нажав на “Добавить подключение”

Примечание по вводимым данным для параметров подключения:

Название Описание
Хост Введите сетевой адрес вашего сервера, на котором установлен и работает ваш AD. Обычно это IP-адрес или доменное имя сервера.
DN
(Distinguished Name)
Введите уникальный идентификатор в LDAP, который обозначает запись в иерархической структуре каталогов. Он представляет полный путь к объекту, начиная от корня и заканчивая целевым объектом, и состоит из пар “атрибут-значение”, разделённых запятыми.
DN используется для аутентификации и доступа к данным, обеспечивая уникальность идентификации объектов в каталоге.
Пример: “CN=Users,DC=”Домен on-premise AD”,DC=”Доменная зона”
Порт Введите порт: по умолчанию для LDAP – 389, для LDAPS – 636
Логин, пароль Введите учетные данные для подключения к on-premise AD.
Данные для синхронизации Выберите желаемые поля для синхронизации. Поля Email, Имя и Фамилия являются обязательными и не могут быть отключены. Аватар не является стандартным полем и не будет синхронизироваться.
Фильтр пользователей и групп Можно установить фильтр для пользователей и групп.
Пример:
– для пользователей: (objectClass=user)
– для групп: (objectClass=group)
Поле в AD для Email Введите название поля, где у пользователей хранится email в AD. Это “userPrincipalName” или “mail”.
Фильтрация по UAC В соответствующие поля внесите флаги, которые необходимо включить или исключить. Формат: указывайте требуемые флаги в десятичной системе счисления, разделяя их запятыми.
Подробнее см. в статье Использование флагов UserAccountControl.
Префикс для групп Применение префиксов позволит предотвратить дублирование названий групп и обеспечит корректную синхронизацию в случае активных нескольких подключений с одинаковыми названиями групп. Вводить префикс можно на латинице и кириллице.

    
        Важно:

        Запуск синхронизации происходит при следующих триггерах:
        - кнопкой в интерфейсе приложения "Запустить сервис", а также остановить нажав "Остановить приложение".
      
        Вы можете определить, запущен ли сервис или остановлен, проверив в поле «Статус».

        Главный идентификатор пользователя в AD это email (если нет email - пользователь не синхронизируется)
       

    

Оставьте заявку, и мы свяжемся с вами в течение 30 минут.

Загрузка