Синхронизация пользователей из AD в UnSpot с помощью приложения AD-LDAP-SCIM-Unspot
В статье:
1. Настройка веб-приложения UnSpot
2. Установка приложения-сервиса UnSpotAdScim
3. Настройка приложения-сервиса UnSpotAdScim
– с помощью пользовательского интерфейса
4. Настройки безопасности
UnSpotAdScim — это приложение-сервис, который позволяет синхронизировать пользователей и группы между Active Directory (AD) и UnSpot, используя протоколы SCIM (System for Cross-domain Identity Management) и LDAP (Lightweight Directory Access Protocol). Это решение разработано для упрощения управления учетными записями пользователей, автоматизации процессов и повышения уровня безопасности.
Вы можете синхронизироваться с UnSpot с помощью SCIM, а синхронизацию через LDAP и AD выполнять на своей стороне, используя приложение UnSpotAdScim.
Сервис обеспечивает синхронизацию данных, связанных с добавлением, обновлением и удалением пользователей и групп, а также позволяет обмениваться этой информацией между AD и UnSpot.
1. Настройка веб-приложения UnSpot
- Перейдите в Настройки > Интеграции > Синхронизации
- В разделе “Синхронизация пользователей” выберите карточку SCIM 2.0 и нажмите Подключить
- Сохраните у себя данные URL и секретный токен (в дальнейшем его будет невозможно получить)
- Настройте желаемую опцию отправки приветственных писем для пользователей
2. Установка приложения-сервиса UnSpotAdScim
- Обратитесь к своему менеджеру с просьбой предоставления установочного файла приложения UnSpotAdScim
- Установите приложение на устройстве с OC Windows.
- Убедитесь, что разрешен исходящий трафик с AD для серверов UnSpot. Это необходимо для корректной работы приложения и синхронизации информации о пользователях и группах (без этого могут возникнуть проблемы с обменом данными).
3. Настройка приложения-сервиса UnSpotAdScim
С помощью пользовательского интерфейса:
- После установки сервиса запустите файл “UnSpot AD SCIM.exe” в папке приложения “UnSpotAdScim”
- В “Параметрах подключения” введите данные для синхронизации по протоколу LDAP
- В “Параметрах сервиса синхронизации” введите сохраненный ранее URL и токен из UnSpot
- Укажите желаемую частоту синхронизации
- Сохраните параметры (при изменении параметров нужно обязательно их снова сохранить)
- Также вы можете добавить и настроить несколько подключений к AD, нажав на “Добавить подключение”
Примечание по вводимым данным для параметров подключения:
| Название | Описание |
| Хост | Введите сетевой адрес вашего сервера, на котором установлен и работает ваш AD. Обычно это IP-адрес или доменное имя сервера. |
| DN (Distinguished Name) |
Введите уникальный идентификатор в LDAP, который обозначает запись в иерархической структуре каталогов. Он представляет полный путь к объекту, начиная от корня и заканчивая целевым объектом, и состоит из пар “атрибут-значение”, разделённых запятыми.
DN используется для аутентификации и доступа к данным, обеспечивая уникальность идентификации объектов в каталоге. Пример: “CN=Users,DC=”Домен on-premise AD”,DC=”Доменная зона” |
| Порт | Введите порт: по умолчанию для LDAP – 389, для LDAPS – 636 |
| Логин, пароль | Введите учетные данные для подключения к on-premise AD. |
| Данные для синхронизации | Выберите желаемые поля для синхронизации. Поля Email, Имя и Фамилия являются обязательными и не могут быть отключены. Аватар не является стандартным полем и не будет синхронизироваться. |
| Фильтр пользователей и групп |
Можно установить фильтр для пользователей и групп.
Пример: – для пользователей: (objectClass=user) – для групп: (objectClass=group) |
| Поле в AD для Email | Введите название поля, где у пользователей хранится email в AD. Это “userPrincipalName” или “mail”. |
| Фильтрация по UAC | В соответствующие поля внесите флаги, которые необходимо включить или исключить. Формат: указывайте требуемые флаги в десятичной системе счисления, разделяя их запятыми.
Подробнее см. в статье Использование флагов UserAccountControl. |
| Префикс для групп | Применение префиксов позволит предотвратить дублирование названий групп и обеспечит корректную синхронизацию в случае активных нескольких подключений с одинаковыми названиями групп. Вводить префикс можно на латинице и кириллице. |
Важно:
Запуск синхронизации происходит при следующих триггерах:
- кнопкой в интерфейсе приложения "Запустить сервис", а также остановить нажав "Остановить приложение".
Вы можете определить, запущен ли сервис или остановлен, проверив в поле «Статус».
Главный идентификатор пользователя в AD это email (если нет email - пользователь не синхронизируется)
4. Настройки безопасности
Безопасность передачи данных
Синхронизация между Active Directory и приложением-сервисом UnSpotAdScim, установленном в контуре Windows Server, выполняется с использованием LDAP-протокола. Процесс включает следующие шаги:
– Active Directory передает информацию о пользователях и группах.
– Приложение-сервис UnSpotAdScim принимает и обрабатывает эти данные, сохраняя их в кеше.
– На основе заданной частоты синхронизации приложение-сервис UnSpotAdScim отправляет данные в веб-приложение UnSpot.
Следует отметить, что связь является односторонней: приложение-сервис UnSpotAdScim исключительно отправляет данные в веб-приложение UnSpot и не получает их обратно. Передача информации между UnSpotAdScim и веб-приложением UnSpot осуществляется по протоколу SCIM через защищенные зашифрованные протоколы HTTPS REST API и сертификаты TLS. Для этой передачи используется стандартный порт 443, предназначенный для HTTPS.
База данных SQL Lite используется для хранения кеша отправленных данных из AD в приложение-сервис UnSpotAdScim, что позволяет избежать постоянных запросов к веб-приложениию UnSpot .
Запросы с данными отправляются в UnSpot через SCIM-протокол только после обработки данных в кеше. Для очистки кеша приложения-сервиса UnSpotAdScim удалите файл cache.db вручную в папке приложения “UnSpotAdScim”.
Синхронизация проходит в следующем порядке:
– Группы
– Пользователи
– Вхождение пользователей в группы
