Kaiten

Документация и инструкции

To Kaiten
АдминистрированиеНастройка SSO

Cинхронизация пользователей и групп с директорией

Синхронизация позволяет автоматически обновлять пользователей и группы в Kaiten в соответствии с данными из вашей директории:

  • новый пользователь в директории автоматически появляется в Kaiten;

  • при деактивации пользователя в директории он теряет доступ к Kaiten;

  • изменения в группах также синхронизируются.

Синхронизация будет запускаться раз в выбранный вами промежуток времени.

Возможность включить синхронизацию пользователей и групп с директорией доступна для каждого типа аутентификации (за исключением Google workspaces). Из коннекторов на данный момент доступен только LDAP.

На данный момент синхронизация работает в режиме BETA.

  1. Для настройки синхронизации пользователей или групп пользователей, нажмите на три точки рядом с нужным способом авторизации (протоколом) и перейдите в настройки:

  1. Выберите желаемый интервал для синхронизации в минутах. Синхронизация будет проходить каждые n минут, но не чаще чем раз в 60 минут.

  2. Настройка полей для соединения. В случае если тип аутентификации LDAP, то эти поля настраивать не нужно.

  • url — введите адрес для соединения с сервером по LDAP.
    Пример: ldap://0.0.0.0:389

  • bindDN — введите имя (Distinguished Name с правами на поиск пользователей) с помощью которого будет проходить аутентификация.
    Пример: cn=admin,dc=ramhlocal,dc=com

  • bindCredentials — введите пароль, который будет использоваться для bindDN.

  • searchBase — введите точку входа для сужения поиска.
    Пример: ou=users,dc=ramhlocal,dc=com

  1. Далее выберите нужные настройки синхронизации пользователей.

  1. Настройка схемы пользователей

  • objectClass — тип записи «пользователь» в директории.
    Пример: person или inetOrgPerson в open ldap, person или user в microsoft AD

  • objectFilter — фильтр по пользователям. С помощью фильтра вы можете сузить поиск и добавить синхронизацию только для пользователей по выбранным критериям (в случае если фильтр вам не нужен выберите всех пользователей).
    Пример: objectclass=person

  • Поле «Common Name» — введите название поля, которое используется для хранения имени объекта в директории.
    Пример: cn

  • Поле «Email» — введите название поля, которое используется для хранения email объекта в директории.
    Пример: mail

  • Поле «First Name» — введите название поля, которое используется для хранения имени пользователя в директории.
    Пример: givenName

  • Поле «Last Name» — введите название поля, которое используется для хранения фамилии пользователя в директории.
    Пример: sn

    Все поля настройки схемы пользователей обязательны для заполнения.

  1. Настройка синхронизации групп. Выберите нужный вам вариант синхронизации групп.

  • В случае выбора «Синхронизировать все группы» будут обработаны все группы, которые вернутся после поиска по директории.
    Группы будут обработаны по названию. Если группа с выбранным названием не найдена в Kaiten, то она будет создана с минимальным набором прав (с тем же набором прав что и при создании из интерфейса в Kaiten).
    Синхронизированные пользователи будут добавлены в группы. В случае если пользователь раньше состоял в группе, но при новой синхронизации данный пользователь в группе не найден, то он будет удален из такой группы.

  • В случае выбора «Синхронизировать только выбранные группы» вы вводите название группы в директории и название группы в Kaiten.
    Будут синхронизированы только введенные вами группы.
    Если группа с введенным именем в Kaiten не найдена, то она будет создана.

  1. Настройка маппинга групп

  • Метод маппинга по имени группы. В этом случае, если в вашей директории вы поменяли имя группы на новое, то при обновлении синхронизации (ручном или автоматическом) в Кайтене: создается новая группа с новым именем с текущими пользователями; остается предыдущая группа с предыдущими пользователями.

  • Метод маппинга по UID группы. Тогда при изменении названия, а также других параметров группы в директории, при обновлении синхронизации в Кайтене: обновится текущая синхронизированная группа; новая группа создаваться не будет.

    Также для этой настройки есть дополнительный опции:

    • Осуществить разовую перепривязку UID групп по именам — включите опцию, если переходите с маппинга по имени на маппинг по UID и хотите, чтобы при последующей синхронизации ваши текущие группы пивязались к группам по UID. (По умолчанию эта опция всегда активирована)

    • Переименовать связанную группу, если имя не совпадает — включите опцию, если хотите, чтобы при переименовании группы в директории связанная группа пользователей в Kaiten также изменяла свое название.

    • Запретить ручное редактирование синхронизированных групп — включите опцию, если хотите создать строгую синхронизацию групп пользователей с AD по UID, что позволит поддерживать состав группы в Kaiten в соответствии с данными из AD и запретить редактирование состава пользователей в таких группах через интерфейс Kaiten.

В списке групп строго синхронизированные группы (по UID с запретом на редактирование) будут обозначены соответствующим значком. Также важно:

  • Группы, ранее синхронизированные строгой синхронизацией (по UID и с запретом на редактирование), будут автоматически деактивированы в Кайтене, при удалении связанной группы в AD.

  • При восстановлении группы в AD, группа в Кайтене также будет активирована.

При деактивации группы, пользователи не исключаются из нее, но теряют доступ к рабочим элементам, которые были предоставлены через данную группу.

  1. Настройка схемы групп

  • searchBase — введите точку входа для сужения поиска по группам.
    Пример: ou=groups,dc=ramhlocal,dc=com

  • objectClass — тип записи «группа» в директории.
    Пример: groupOfUniqueNames в open ldap или group в microsoft AD

  • objectFilter — фильтр по группам. С помощью фильтра вы можете сузить поиск и добавить синхронизацию только для групп по выбранным критериям (поле отсутствует в случае если выбрана синхронизация только выбранных групп).
    Пример: objectclass=group

  • Поле «Common name» — введите название поля, которое используется для хранения имени объекта в директории.
    Пример: cn

  • Поле с идентификаторами пользователей — укажите атрибут, в котором хранится список участников группы.
    Пример: memberUid в OpenLDAP, member в Microsoft AD

  • Поле пользователей, на которое ссылаются группы — введите название поля пользователей, на которое ссылаются группы.
    Пример: uid пользователей в OpenLDAP, dn пользователей в Microsoft AD

  1. Сохраните введенные настройки синхронизации. Для активации синхронизации переведите переключатель «Синхронизация включена» в активное состояние (при переключении будет произведено тестовое соединение с вашей директорией).

  1. После включения, вы сможете протестировать синхронизацию запустив ее вручную

  1. Для проверки последних синхронизаций вы можете посмотреть логи. Для этого в списке способов аутентификации кликните на иконку логов.

Вы сможете увидеть дату, статус, а также краткую информацию по конкретной синхронизации

Для просмотра более подробной информации о конкретной синхронизации, кликните на нее.

Обратите внимание, синхронизации работает в режиме BETA. Пожалуйста, сообщайте о ваших пожеланиях в работе синхронизации, а также о возможных ошибках.