1. Контур.ID
  2. С чего начать

Регистрация пользователей

Для проверки аутентификации пользователи должны быть зарегистрированы в панели администратора Kontur.ID. После регистрации пользователь сможет подтверждать уведомления на своем устройстве через приложение Контур.Коннект.

Зарегистрировать пользователей можно несколькими способами:

Регистрация через вход на ресурс

Сотрудник организации может зарегистрироваться самостоятельно. После подключения к ресурсу организации он получит приглашение на электронную почту или SMS. Способ используется по умолчанию.

Отправка приглашения при VPN и RDP

Сотрудник вводит логин и пароль для подключения к VPN или RDP.

RADIUS Proxy:

  1. Делает запрос в API Kontur.ID:
    • Проверяет наличие пользователя в панели администратора Kontur.ID.
    • Проверяет наличие у пользователя двухфакторной аутентификации.
  2. Получает результат запроса от API Kontur.ID.
  3. Собирает данные для отправки приглашения сотруднику:
    • Почта пользователя из Active Directory,
    • Доменный логин от VPN или RDP,
    • Домен из настроек организации в панели администратора Kontur.ID.
  4. Отправляет запрос в API Kontur.ID на отправку приглашения.

API Kontur.ID:

  1. Генерирует уникальную одноразовую ссылку.
  2. Отправляет приглашение сотруднику на почту пользователя из Active Directory.

Сотрудник:

  1. Входит через браузер в личный кабинет пользователя Kontur.ID по ссылке из почты.
  2. Устанавливает и настраивает приложение Контур.Коннект.

После настройки сотрудник может подтвердить аутентификацию на устройстве.

Отправка приглашения при AD FS

Сотрудник вводит логин и пароль на странице Active Directory Federation Services (AD FS).

AD FS адаптер:

  1. Собирает данные для отправки приглашения сотруднику:
    • Почта пользователя из Active Directory,
    • Доменный логин из AD FS,
    • Домен из AD FS.
  2. Переадресует сотрудника на личный кабинет пользователя Kontur.ID.

Сотрудник при наличии почты пользователя:

  1. Подтверждает отправку приглашения нажатием кнопки «Получить ссылку для входа».
  2. Получает приглашение на регистрацию или настройку от API Kontur.ID.
  3. Входит в личный кабинет пользователя Kontur.ID по одноразовой ссылке из почты.
  4. Устанавливает и настраивает приложение Контур.Коннект.

Сотрудник при отсутствии почты пользователя:

  1. Самостоятельно вводит почту для получения приглашения.
  2. Подтверждает отправку приглашения нажатием кнопки «Получить ссылку для входа».
  3. Получает приглашение на регистрацию или настройку от API Kontur.ID.
  4. Входит в личный кабинет пользователя Kontur.ID по одноразовой ссылке из почты.
  5. Устанавливает и настраивает приложение Контур.Коннект.

После настройки сотрудник может подтвердить аутентификацию на устройстве.

Отправка приглашения при OWA

Сотрудник вводит логин и пароль на странице Outlook Web App (OWA).

OWA адаптер:

  1. Собирает данные для переадресации:
    • Доменный логин из OWA,
    • Домен из настроек организации в панели администратора Kontur.ID.
  2. Переадресует сотрудника на личный кабинет пользователя Kontur.ID.

Сотрудник:

  1. Самостоятельно вводит номер телефона.
  2. Подтверждает отправку SMS нажатием кнопки «Получить код для входа».
  3. Получает SMS-код для входа от API Kontur.ID.
  4. Входит в личный кабинет пользователя Kontur.ID по коду из SMS.
  5. Устанавливает и настраивает приложение Контур.Коннект.

После настройки сотрудник может подтвердить аутентификацию на устройстве.

Регистрация через синхронизатор

Зарегистрировать пользователей можно с помощью синхронизации списка сотрудников и групп из Active Directory. Cинхронизатор ежеминутно сравнивает пользователей в панели администратора Kontur.ID и приводит их в соответствие с пользователями и группами из Active Directory. При наличии незарегистрированных пользователей API Kontur.ID отправит приглашение на регистрацию.

Как настроить процесс синхронизации:

  1. Добавьте LDAP-сервер при создании конфигурации.

  2. Настройте синхронизатор.

Как происходит отправка приглашения

Синхронизатор Kontur.ID:

  1. Отправляет запрос в Active Directory для получения: всех пользователей или определенной группы пользователей в домене.

    Получение пользователей или группы пользователей зависит от настроек конфигурации синхронизатора.

  2. Получает список пользователей или групп пользователей.
  3. Отправляет запрос в API Kontur.ID для получения всех пользователей из панели администратора Kontur.ID.
  4. Получает список всех пользователей.
  5. Сравнивает списки пользователей из Active Directory и панели администратора Kontur.ID.
  6. Отправляет запрос в API Kontur.ID на изменение списка пользователей в соответствии со списком из Active Directory.
    • Если у пользователя изменился доменный логин, то он обновится в панели администратора Kontur.ID.
    • Если у пользователя изменилась почта, то ему будет отправлено приглашение на регистрацию.

API Kontur.ID:

  1. Генерирует уникальную одноразовую ссылку.
  2. Отправляет приглашение сотруднику на почту пользователя из Active Directory.

Сотрудник:

  1. Входит через браузер в личный кабинет пользователя Kontur.ID по ссылке из почты.
  2. Устанавливает и настраивает приложение Контур.Коннект.

После настройки сотрудник может подтвердить аутентификацию на устройстве.

Регистрация через ручное добавление

Сотрудника организации можно зарегистрировать вручную через панель администратора Kontur.ID. Ему будет отправлено приглашение на электронную почту для прохождения регистрации. После отправки приглашения сотрудник сразу появится в списке пользователей.

Как добавить пользователя

  1. Перейдите в раздел «Пользователи».
  2. Нажмите «Добавить».
  3. Введите логин и почту пользователя.
  4. Нажмите «Выслать приглашение».​

Сотрудник:

  1. Входит через браузер в личный кабинет пользователя Kontur.ID по ссылке из почты.
  2. Устанавливает и настраивает приложение Контур.Коннект.

После настройки сотрудник может подтвердить аутентификацию на устройстве.

Регистрация через менеджера

Зарегистрировать сотрудника можно через менеджера по внедрению. Администратору организации нужно выгрузить файл с пользователями из Active Directory и отправить на почту менеджера.

Что указать в письме

  1. Домен организации.
  2. Файл с логинами и почтами пользователей в формате CSV. 

Как выгрузить пользователей

  1. Перейдите на сервер с пользователями из Active Directory.

  2. Откройте PowerShell и выполните команду:

    Get-ADUser -LDAPFilter '(!userAccountControl:1.2.840.113556.1.4.803:=2)' -properties * | Select-Object -Property mail,UserPrincipalName | Export-csv -path c:\users.csv -encoding unicode

     

    Добавьте в команду фильтр перед Select-Object, если нужно исключить пользователей с определенным префиксом. Например, чтобы исключить учетные записи Exchange Server.

    Where-Object {$_.userPrincipalName -notlike «HealthMailbox*»}

  3. Откройте директорию диска C:\. В полученном csv-файле будут пользователи с «UserPrincipalName» и «mail».
С чего начать
Сценарии использования Регистрация пользователей Технические требования
База знаний