Настройка синхронизатора Active Directory
Чтобы зарегистрировать пользователей в Kontur.ID, установите и настройте синхронизатор Active Directory. Синхронизатор работает как служба Windows.
Программа сравнивает пользователей в кабинете администратора с пользователями, которые хранятся в службе каталога Active Directory
и приводит их в соответствие с данными службы каталога. Если пользователь не зарегистрирован, API Kontur.ID отправит приглашение пользователю на регистрацию в системе.
Установка
Приглашение на регистрацию будет отправлено всем пользователям, которые находятся в Active Directory. Чтобы отправить приглашение определённым пользователям, настройте синхронизацию для группы пользователей.
- Направьте заявку менеджеру внедрения на работу с синхронизатором.
- В кабинете администратора перейдите на вкладку «Пользователи».
- В верхней части экрана нажмите «Скачать синхронизатор».
- Распакуйте содержимое архива.
- В папке ActiveDirectorySynchronizer в файле appsettings.json настройте:
- Domain: укажите имя домена;
- GroupFilter: укажите синхронизацию для группы пользователей.
- Запустите файл install.bat от имени администратора.
Настройка
Для настройки синхронизатора откройте конфигурационный файл appsettings.json. После внесения изменений в файл перезапустите службу.
Синхронизация одной группы
В блоке DomainConfigurations в поле GroupFilter укажите:
"(&(objectClass=group)(Name=GroupName))"Чтобы настроить синхронизацию с двумя доменами, укажите настройки для каждого домена отдельно.
В блоке SynchronizationSettings в поле SynchronizationPeriodSeconds укажите количество секунд. Интервал синхронизации по умолчанию — 300 секунд.
"SynchronizationPeriodSeconds": 500Запуск синхронизации от имени пользователя
Стандартно синхронизатор запускается от имени компьютера. Чтобы запустить синхронизатор от имени пользователя, например, администратора, добавьте два поля в блок DomainConfigurations. В поле LdapLogin укажите имя администратора, в поле LdapPassword — пароль администратора.
"LdapLogin": "login",
"LdapPassword": "password",Пример настройки для запуска от имени пользователя
"DomainConfigurations": [
{
"LdapLogin": "Admin",
"LdapPassword": "***************",
...,
...,
}
]Запуск демо-режима
Для активации демонстрационного режима работы синхронизатора необходимо в блоке SynchronizationSettings установить параметр DemoEnabled: true. Все остальные параметры конфигурации соответствуют стандартным настройкам.
"SynchronizationSettings": {
"DemoEnabled": true,
...,
...,
"DomainConfigurations": [
...,
...,
]
}В демо-режиме синхронизатор:
- Получает и анализирует информацию о пользователях стандартным способом.
- Производит сравнение и определение необходимых действий.
- Вместо реального выполнения действий формирует отчет.
При каждом запуске синхронизатор автоматически создает CSV-файл в директории demo-statistic. В файле фиксируется связка «пользователь-действие», в которой хранится информация о том, какие действия были бы выполнены в рабочем режиме для каждого пользователя.
Пример настройки для запуска демо-режима
"SynchronizationSettings": {
...,
...,
"SynchronizationPeriodSeconds": 3,
"DemoEnabled": true,
"DomainConfigurations": [
{
"LdapLogin": "Admin",
"LdapPassword": "**********************",
"Domain": "test",
"RequisitesToLoad": [
"mail",
"sAMAccountName",
"userPrincipalName"
],
"UsersFilter": "(&(objectClass=user)(objectCategory=person)(!userAccountControl:1.2.840.113556.1.4.803:=2))",
"GroupFilter": "(&(objectClass=group)(Name=SyncLogs))",
"PageSize": 1000,
"SortUsersByRequisite": "mail",
"SortGroupsByRequisite": "Name",
"EnableNestedGroups": true
}
]
}Особенности работы
- Пользователи, которых нет в Active Directory, не будут добавлены в ручном режиме, если запущена служба синхронизатора.
- Две запущенные службы синхронизатора будут конфликтовать между собой.
