Синхронизация пользователей из on-premise AD в UnSpot SaaS (сервис LDAP-SCIM)
В статье:
1. Что такое сервис синхронизации LDAP-SCIM
2. Настройка UnSpot
3. Установка сервиса LDAP-SCIM
4. Настройка сервиса LDAP-SCIM
1. Что такое сервис синхронизации LDAP-SCIM

LDAP-SCIM — это приложение которое устанавливается в контуре клиента как Windows Service, который позволяет синхронизировать пользователей и групп доступа из AD (Active Directory) используя протокол LDAP (Lightweight Directory Access Protocol) в UnSpot используя протокол SCIM (System for Cross-domain Identity Management). Это решение разработано для синхронизации из on-premise систем в облако (UnSpot SaaS) в безопасном для клиента формате.
Архитектура решения
Описание решения:
- решение состоит из 2-х частей (приложений)
- 1-я часть: UnSpot AD SCIM UI – пользовательский интерфейс для администратора. В данном приложении можно сконфигурировать подключения и другие параметры к AD. Параметры конфигурации сохраняются в файл конфигурации “Config File (JSON)”
- 2-я часть: UnSpot AD SCIM Service – сервис который производит синхронизацию пользователей между AD клиента и UnSpot по протоколу SCIM
- Все параметры конфигурации сервиса хранятся и файле конфигурации. Сервис может работать и без UnSpot AD SCIM UI который нужен больше для удобства администраторов системы
- Кол-во подключений к разным AD: от 1 до бесконечности
Алгоритм работы синхронизации пользователей и групп:
Процесс включает следующие шаги:
– Active Directory передает информацию о пользователях и группах.
– Приложение-сервис UnSpotAdScim принимает и обрабатывает эти данные, сохраняя их в кеше.
– На основе заданной частоты синхронизации приложение-сервис UnSpotAdScim отправляет данные в веб-приложение UnSpot.
Следует отметить, что связь является односторонней: приложение-сервис UnSpotAdScim исключительно отправляет данные в веб-приложение UnSpot и не получает их обратно. Передача информации между UnSpotAdScim и веб-приложением UnSpot осуществляется по протоколу SCIM через защищенные зашифрованные протоколы HTTPS REST API и сертификаты TLS. Для этой передачи используется стандартный порт 443, предназначенный для HTTPS.
База данных SQL Lite используется для хранения кеша отправленных данных из AD в приложение-сервис UnSpotAdScim, что позволяет избежать постоянных запросов к веб-приложениию UnSpot .
Запросы с данными отправляются в UnSpot через SCIM-протокол только после обработки данных в кеше. Для очистки кеша приложения-сервиса UnSpotAdScim удалите файл cache.db вручную в папке приложения “UnSpotAdScim”.
Синхронизация проходит в следующем порядке:
– Группы
– Пользователи
– Вхождение пользователей в группы
2. Настройка UnSpot
- Перейдите в Настройки > Интеграции > Синхронизации
- В разделе “Синхронизация пользователей” выберите карточку SCIM 2.0 и нажмите Подключить
- Сохраните у себя данные URL и секретный токен (в дальнейшем его будет невозможно получить)
- Настройте желаемую опцию отправки приветственных писем для пользователей
3. Установка сервиса AD-SCIM
- Обратитесь к своему менеджеру с просьбой предоставления установочного файла приложения UnSpotAdScim
- Установите приложение на устройстве с OC Windows.
- Убедитесь, что разрешен исходящий трафик с AD для серверов UnSpot. Это необходимо для корректной работы приложения и синхронизации информации о пользователях и группах (без этого могут возникнуть проблемы с обменом данными).
4. Настройка сервиса AD-SCIM
С помощью пользовательского интерфейса:
- После установки сервиса запустите файл “UnSpot AD SCIM.exe” в папке приложения “UnSpotAdScim”
- В “Параметрах подключения” введите данные для синхронизации по протоколу LDAP
- В “Параметрах сервиса синхронизации” введите сохраненный ранее URL и токен из UnSpot
- Укажите желаемую частоту синхронизации
- Сохраните параметры (при изменении параметров нужно обязательно их снова сохранить)
- Также вы можете добавить и настроить несколько подключений к AD, нажав на “Добавить подключение”
Примечание по вводимым данным для параметров подключения:
Название | Описание |
Хост | Введите сетевой адрес вашего сервера, на котором установлен и работает ваш AD. Обычно это IP-адрес или доменное имя сервера. |
DN (Distinguished Name) |
Введите уникальный идентификатор в LDAP, который обозначает запись в иерархической структуре каталогов. Он представляет полный путь к объекту, начиная от корня и заканчивая целевым объектом, и состоит из пар “атрибут-значение”, разделённых запятыми.
DN используется для аутентификации и доступа к данным, обеспечивая уникальность идентификации объектов в каталоге. Пример: “CN=Users,DC=”Домен on-premise AD”,DC=”Доменная зона” |
Порт | Введите порт: по умолчанию для LDAP – 389, для LDAPS – 636 |
Логин, пароль | Введите учетные данные для подключения к on-premise AD. |
Данные для синхронизации | Выберите желаемые поля для синхронизации. Поля Email, Имя и Фамилия являются обязательными и не могут быть отключены. Аватар не является стандартным полем и не будет синхронизироваться. |
Фильтр пользователей и групп |
Можно установить фильтр для пользователей и групп.
Пример: – для пользователей: (objectClass=user) – для групп: (objectClass=group) |
Поле в AD для Email | Введите название поля, где у пользователей хранится email в AD. Это “userPrincipalName” или “mail”. |
Фильтрация по UAC | В соответствующие поля внесите флаги, которые необходимо включить или исключить. Формат: указывайте требуемые флаги в десятичной системе счисления, разделяя их запятыми.
Подробнее см. в статье Использование флагов UserAccountControl. |
Префикс для групп | Применение префиксов позволит предотвратить дублирование названий групп и обеспечит корректную синхронизацию в случае активных нескольких подключений с одинаковыми названиями групп. Вводить префикс можно на латинице и кириллице. |
Важно:
Запуск синхронизации происходит при следующих триггерах:
- кнопкой в интерфейсе приложения "Запустить сервис", а также остановить нажав "Остановить приложение".
Вы можете определить, запущен ли сервис или остановлен, проверив в поле «Статус».
Главный идентификатор пользователя в AD это email (если нет email - пользователь не синхронизируется)