Центр помощи / Администратор / 4. Интеграции / Синхронизация пользователей из AD в UnSpot с помощью приложения AD-LDAP-SCIM-Unspot

Синхронизация пользователей из AD в UnSpot с помощью приложения AD-LDAP-SCIM-Unspot

В статье:
1. Настройка веб-приложения UnSpot
2. Установка приложения-сервиса UnSpotAdScim
3. Настройка приложения-сервиса UnSpotAdScim
– с помощью пользовательского интерфейса
4. Настройки безопасности


UnSpotAdScim — это приложение-сервис, который позволяет синхронизировать пользователей и группы между Active Directory (AD) и UnSpot, используя протоколы SCIM (System for Cross-domain Identity Management) и LDAP (Lightweight Directory Access Protocol). Это решение разработано для упрощения управления учетными записями пользователей, автоматизации процессов и повышения уровня безопасности.

Вы можете синхронизироваться с UnSpot с помощью SCIM, а синхронизацию через LDAP и AD выполнять на своей стороне, используя приложение UnSpotAdScim.

Сервис обеспечивает синхронизацию данных, связанных с добавлением, обновлением и удалением пользователей и групп, а также позволяет обмениваться этой информацией между AD и UnSpot.


1. Настройка веб-приложения UnSpot

  1. Перейдите в Настройки > Интеграции > Синхронизации
  2. В разделе “Синхронизация пользователей” выберите карточку SCIM 2.0 и нажмите Подключить
  3. Сохраните у себя данные URL и секретный токен (в дальнейшем его будет невозможно получить)
  4. Настройте желаемую опцию отправки приветственных писем для пользователей


2. Установка приложения-сервиса UnSpotAdScim

  1. Обратитесь к своему менеджеру с просьбой предоставления установочного файла приложения UnSpotAdScim
  2. Установите приложение на устройстве с OC Windows.
  3. Убедитесь, что разрешен исходящий трафик с AD для серверов UnSpot. Это необходимо для корректной работы приложения и синхронизации информации о пользователях и группах (без этого могут возникнуть проблемы с обменом данными).


3. Настройка приложения-сервиса UnSpotAdScim

С помощью пользовательского интерфейса:

  1. После установки сервиса запустите файл “UnSpot AD SCIM.exe” в папке приложения “UnSpotAdScim” или через иконку на рабочем столе.
  2. В “Параметрах подключения” введите данные для синхронизации по протоколу LDAP
  3. В “Параметрах сервиса синхронизации” введите сохраненный ранее URL и токен из UnSpot
  4. Укажите желаемую частоту синхронизации
  5. Сохраните параметры (при изменении параметров нужно обязательно их снова сохранить)
  6. Также вы можете добавить и настроить несколько подключений к AD, нажав на “Добавить подключение”

Примечание по вводимым данным для параметров подключения:

Название Описание
Хост Введите сетевой адрес вашего сервера, на котором установлен и работает ваш AD. Обычно это IP-адрес или доменное имя сервера.
DN
(Distinguished Name)
Введите уникальный идентификатор в LDAP, который обозначает запись в иерархической структуре каталогов. Он представляет полный путь к объекту, начиная от корня и заканчивая целевым объектом, и состоит из пар “атрибут-значение”, разделённых запятыми.
DN используется для аутентификации и доступа к данным, обеспечивая уникальность идентификации объектов в каталоге.
Пример: “CN=Users,DC=”Домен on-premise AD”,DC=”Доменная зона”
Порт Введите порт: по умолчанию для LDAP – 389, для LDAPS – 636
Логин, пароль Введите учетные данные для входа в on-premise AD.
Данные для синхронизации Выберите желаемые поля для синхронизации. Поля Email, Имя и Фамилия являются обязательными и не могут быть отключены. Аватар не является стандартным полем и не будет синхронизироваться.
Фильтр пользователей и групп Можно установить фильтр для пользователей и групп.
Пример:
– для пользователей: (objectClass=user)
– для групп: (objectClass=group)
Поле в AD для Email Введите название поля, где у пользователей хранится email в AD. Обычно это “userPrincipalName”.
Поля UAC Добавьте в поля UserAccountControl используемые флаги.
Подробнее см. в статье Использование флагов UserAccountControl.

    
        Важно:

        Запуск синхронизации происходит при следующих триггерах:
        - кнопкой в интерфейсе приложения "Запустить сервис", а также остановить нажав "Остановить приложение".
        - или при запуске самого приложения
        Вы можете определить, запущен ли сервис или остановлен, проверив в поле «Статус».

        Главный идентификатор пользователя в AD это ID (если нет email - пользователь не синхронизируется)
       

    


4. Настройки безопасности

Безопасность передачи данных

Синхронизация между Active Directory и приложением-сервисом UnSpotAdScim, установленном в контуре Windows Server, выполняется с использованием LDAP-протокола. Процесс включает следующие шаги:
– Active Directory передает информацию о пользователях и группах.
– Приложение-сервис UnSpotAdScim принимает и обрабатывает эти данные, сохраняя их в кеше.
– На основе заданной частоты синхронизации или в ответ на триггер, приложение-сервис UnSpotAdScim отправляет данные в веб-приложение UnSpot.

Следует отметить, что связь является односторонней: приложение-сервис UnSpotAdScim исключительно отправляет данные в веб-приложение UnSpot и не получает их обратно. Передача информации между UnSpotAdScim и веб-приложением UnSpot осуществляется через защищенные зашифрованные протоколы HTTPS REST API и сертификаты TLS в соответствии с протоколом SCIM. Для этой передачи используется стандартный порт 443, предназначенный для HTTPS.

База данных SQL Lite используется для хранения кеша отправленных данных из AD в приложение-сервис UnSpotAdScim, что позволяет избежать постоянных запросов к веб-приложениию UnSpot .
Запросы с данными отправляются в UnSpot через SCIM-протокол только после обработки данных в кеше. Для очистки кеша приложения-сервиса UnSpotAdScim предусмотрена кнопка “Очистить кеш” либо можно удалить данные из базы данных вручную (файл cashe).

Синхронизация проходит в следующем порядке:
– Группы
– Пользователи
– Вхождение пользователей в группы

Оставьте заявку, и мы свяжемся с вами в течение 30 минут.

Загрузка