Документация и инструкции

To Kaiten
Документация и инструкцииАдминистрированиеБезопасность и доступыНастройка SSO

Cинхронизация пользователей и групп с директорией

Синхронизация позволяет поддерживать состояние пользователей и групп в Kaiten в синхронном состоянии с вашей директорией:

  • В случае добавления нового пользователя в директорию — пользователь добавляется в Kaiten.

  • При деактивации пользователя в директории — пользователь деактивируется в Kaiten.

  • Также можно синхронизировать и группы. При добавлении пользователя в группу в директории — он также будет добавлен в группу в Kaiten, в случае удаления пользователя из группы в директории — он будет удален из группы в Kaiten.

Синхронизация будет запускаться раз в выбранный вами промежуток времени.

Возможность включить синхронизацию пользователей и групп с директорией доступна для каждого типа аутентификации (за исключением Google workspaces). Из коннекторов на данный момент доступен только LDAP.

На данный момент синхронизация работает в режиме BETA.

Для настройки синхронизации пользователей или групп пользователей, нажмите на три точки рядом с нужным способом аутентификации (протоколом) и перейдите в Настройки:

  • Выберите желаемый интервал для синхронизации в минутах. Синхронизация будет проходить каждые n минут, но не чаще чем раз в 60 минут.

  • Настройка полей для соединения. В случае если тип аутентификации LDAP, то данные поля настраивать не нужно.

    • url — введите адрес для соединения с сервером по LDAP (пример: ldap://0.0.0.0:389).

    • bindDN — введите имя (Distinguished Name с правами на поиск пользователей) с помощью которого будет проходить аутентификация (пример: cn=admin,dc=ramhlocal,dc=com).

    • bindCredentials — введите пароль, который будет использоваться для bindDN.

    • searchBase — введите точку входа для сужения поиска (например: ou=users,dc=ramhlocal,dc=com).

  • Далее выберите нужные настройки синхронизации пользователей.

  • Настройка схемы пользователей

    • objectClass — тип записи «пользователь» в директории (пример: person или inetOrgPerson в open ldap, person или user в microsoft AD)

    • objectFilter — фильтр по пользователям. С помощью фильтра вы можете сузить поиск и добавить синхронизацию только для пользователей по выбранным критериям (в случае если фильтр вам не нужен выберите всех пользователей (objectclass=person))

    • Поле «Common Name» — введите название поля, которое используется для хранения имени объекта в директории (пример: cn)

    • Поле «Email» — введите название поля, которое используется для хранения email объекта в директории (пример: mail)

    • Поле «First Name» — введите название поля, которое используется для хранения имени пользователя в директории (пример: givenName)

    • Поле «Last Name» — введите название поля, которое используется для хранения фамилии пользователя в директории (пример: sn)

      Все поля настройки схемы пользователей являются обязательными для заполнения.

  • Настройка синхронизации групп. Выберите нужный вам вариант синхронизации групп.

    • В случае выбора «Синхронизировать все группы» будут обработаны все группы, которые вернутся после поиска по директории.
      Группы будут обработаны по названию. Если группа с выбранным названием не найдена в Kaiten, то она будет создана с минимальным набором прав (с тем же набором прав что и при создании из интерфейса в Kaiten).
      Синхронизированные пользователи будут добавлены в группы. В случае если пользователь раньше состоял в группе, но при новой синхронизации данный пользователь в группе не найден, то он будет удален из такой группы.

    • В случае выбора «Синхронизировать только выбранные группы» вы вводите название группы в директории и название группы в Kaiten.
      Будут синхронизированы только введенные вами группы.
      Если группа с введенным именем в Kaiten не найдена, то она будет создана.

  • Настройка маппинга групп

    • Метод маппинга по имени группы. В этом случае, если в вашей директории вы поменяли имя группы на новое, то при обновлении синхронизации (ручном или автоматическом) в Кайтене: создается новая группа с новым именем с текущими пользователями; остается предыдущая группа с предыдущими пользователями.

    • Метод маппинга по UID группы. Тогда при изменении названия, а также других параметров группы в директории, при обновлении синхронизации в Кайтене: обновится текущая синхронизированная группа; новая группа создаваться не будет.

      Также для этой настройки есть дополнительный опции:

      • Осуществить разовую перепривязку UID групп по именам — включите опцию, если переходите с маппинга по имени на маппинг по UID и хотите, чтобы при последующей синхронизации ваши текущие группы пивязались к группам по UID. (По умолчанию эта опция всегда активирована)

      • Переименовать связанную группу, если имя не совпадает — включите опцию, если хотите, чтобы при переименовании группы в директории связанная группа пользователей в Kaiten также изменяла свое название.

      • Запретить ручное редактирование синхронизированных групп — включите опцию, если хотите создать строгую синхронизацию групп пользователей с AD по UID, что позволит поддерживать состав группы в Kaiten в соответствии с данными из AD и запретить редактирование состава пользователей в таких группах через интерфейс Kaiten.

В списке групп строго синхронизированные группы (по UID с запретом на редактирование) будут обозначены соответствующим значком. Также важно:

  • Группы, ранее синхронизированные строгой синхронизацией (по UID и с запретом на редактирование), будут автоматически деактивированы в Кайтене, при удалении связанной группы в AD.

  • При восстановлении группы в AD, группа в Кайтене также будет активирована.

При деактивации группы, пользователи не исключаются из нее, но теряют доступ к рабочим элементам, которые были предоставлены через данную группу.

  • Настройка схемы групп

    • searchBase — введите точку входа для сужения поиска по группам (например ou=groups,dc=ramhlocal,dc=com)

    • objectClass — тип записи «группа» в директории (например groupOfUniqueNames в open ldap или group в microsoft AD)

    • objectFilter — фильтр по группам. С помощью фильтра вы можете сузить поиск и добавить синхронизацию только для групп по выбранным критериям (данное поле отсутствует в случае если выбрана синхронизация только выбранных групп. Пример - (objectclass=group))

    • Поле «Common name» — введите название поля, которое используется для хранения имени объекта в директории (пример: cn)

    • Поле содержащее идентификаторы пользователей — введите название поля, в котором содержится информация о пользователях группы (список с уникальными идентификаторами пользователей. Пример: memberUid в open ldap, member в microsoft AD)

    • Поле пользователей, на которое ссылаются группы — введите название поля пользователей, на которое ссылаются группы.

    • Поле содержащее идентификаторы пользователей содержит идентификаторы пользователей. В случае open ldap в этом списке — uid пользователей, в случае Microsoft AD — dn пользователей.

  • Сохраните введенные настройки синхронизации. Для активации синхронизации переведите переключатель «Синхронизация включена» в активное состояние (при переключении будет произведено тестовое соединение с вашей директорией).

  • После включения, вы сможете протестировать синхронизацию запустив ее вручную

  • Для проверки последних синхронизаций вы можете посмотреть логи. Для этого в списке способов аутентификации кликните на иконку логов.

  • Вы сможете увидеть дату, статус, а также краткую информацию по конкретной синхронизации

  • для просмотра более подробной информации о конкретной синхронизации кликните на интересующую вас синхронизацию. В открывшемся окне вы сможете увидеть более подробную информацию о конкретной синхронизации.

Обратите внимание, синхронизации работает в режиме BETA. Пожалуйста, сообщайте о ваших пожеланиях в работе синхронизации, а также о возможных ошибках.