Если ваша организация имеет LDAP каталог своих пользователей, то теперь вы можете использовать провайдеры идентификации Microsoft Active Directory и FreeIPA (ALD Pro) протокола LDAP для доступа к платформе МТС Линк.
Инструкции для других протоколов и провайдеров идентификации:
На текущий момент функционал находится в стадии тестирования и постепенного релиза.
Если вы хотите получить ранний доступ, пожалуйста, обратитесь к персональному менеджеру или в службу технической поддержки.
Перед началом настройки рекомендуется установить пакет ldap-utils для ОС семейства Linux или аналогичное ПО для ОС семейства Windows/Mac OS X. |
Для настройки функционала вам понадобится поисковый пользователь:
поисковый пользователь должен иметь доступ к атрибутам и группам пользователей при просмотре всего каталога. Осуществить доступ к атрибутам при выводе каталога можно, например, так:
ldapsearch -H ldap://ldap.server -D ‘Search_User’ -w ‘Search_User_Password’ -b ‘ldap_domain’ ‘base_filter’
Здесь
‘Search_User’ — поисковый пользователь;
‘Search_User_Password’ — пароль поискового пользователя;
‘ldap_domain’ — домен LDAP, например, corp.org;
‘base_filter’ — базовый фильтр, например, (&(objectclass=user)(!(objectclass=Computer))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(mail=*));
поисковый пользователь должен иметь доступ к атрибутам и группам пользователей при просмотре отдельного пользователя. Осуществить доступ к атрибутам при выводе отдельного пользователя можно, например, так:
ldapsearch -H ldap://ldap.server -D ‘Search_User’ -w ‘Search_User_Password’ -b ‘ldap_domain’ ‘base_filter(SamAccountName=test_user)’
Здесь
‘Search_User’ — поисковый пользователь;
‘Search_User_Password’ — пароль поискового пользователя;
‘ldap_domain’ — домен LDAP, например, corp.org;
‘base_filter’ — базовый фильтр, например, (&(objectclass=user)(!(objectclass=Computer))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(mail=*));
test_user — SamAccountName тестового пользователя.
ВАЖНО: обратите внимание на вывод атрибутов
memberOf: CN=название1, OU=название2, OU=название3, DC=название4, DC=название5
mail: название@почтовыйдомен.ru
samaccountname: логин
title: должность
givenname: имя
sn: фамилия
department: организация
memberof: группы
telephonenumber: телефон
Если их не будет в выводе, дальнейшая настройка будет невозможна!
Перед добавлением группы LDAP нужно подтвердить домен электронной почты. Подтверждение необходимо, чтобы только вы могли использовать ваш домен для SSO в МТС Линк. Подробнее об этом читайте в статьях Подтверждение домена для SSO и SSO (Single Sign On) в МТС Линк.
ВАЖНО: без подтвержденного домена функционал работать не будет!
Настройка сервера включает в себя:
настройку порта и адреса сервера;
получение базового параметра Domain Name;
настройку каталога пользователей и их прав доступа.
Заходим в личный кабинет МТС Линк, переходим в подраздел "Настройки SSO" раздела "Бизнес" и далее:
в качестве протокола выбираем LDAP;
выбираем SSO провайдер: Microsoft Active Directory или FreeIPA (ALD Pro);
указываем "Адрес сервера LDAP (без протокола)" и порт;
выбираем "Версию протокола LDAP";
если есть, указываем "Тип шифрования";
прописываем "Домен LDAP". Используйте тот домен LDAP, с которым успешно сделали тестовые запросы;
указываем "Логин LDAP"/"Пароль" поискового пользователя;
нажимаем "Сохранить":
Если все параметры указаны правильно, они будут сохранены. Если же были указаны не все из них, или при вводе были допущены ошибки, то пустые поля/поля с ошибками будут выделены красным цветом и сохранить настройки будет невозможно:
В таком случае нужно сверить указанные значения параметров со значениями на сервере Организации.
После успешного сохранения настроек появится раздел "Разрешенные группы LDAP", в который нужно добавить группы пользователей. Для этого нажимаем на кнопку "Добавить":
В открывшемся окне задаем название и указываем группу LDAP, выбираем группу Организации, с которой будет сопоставлена создаваемая группа LDAP, и нажимаем на "Добавить":
ВАЖНО: названия групп должны совпадать с названиями этих же групп на сервере LDAP!
Например, при выводе атрибута memberOf: CN=название1, OU=название2, OU=название3, DC=название4, DC=название5 в поле группа LDAP нужно указать “название1” без кавычек.
Группы Организации должны быть заранее созданы и настроены в разделе "Бизнес" - "Сотрудники и группы" личного кабинета МТС Линк.
Сопоставление групп позволит сотрудникам Организации входить в личный кабинет через SSO с уже настроенными правами и доступами.
Примечание: одна группа LDAP может быть сопоставлена с одной группой Организации.
При успешном добавлении группа появится в разделе "Разрешенные группы LDAP". Группу можно изменить или удалить. Для этого необходимо нажать на три точки справа от группы и выбрать нужное действие:
Примечания:
Редактирование позволяет изменять только группу Организации, с которой была сопоставлена группа LDAP.
Пользователи из удаленной группы потеряют возможность входить в систему через LDAP.
Также станет доступна функция "Синхронизация пользователей". Если нажать на кнопку "Синхронизировать", будет проведена проверка пользователей, добавленных к группе LDAP на сервере, и их добавление на платформу МТС Линк в качестве Сотрудников Организации. Они будут отображаться в соответствующем списке в разделе "Бизнес" - "Организация" личного кабинета:
После синхронизации в личный кабинет поступит уведомление о ее завершении:
Если в процессе синхронизации не удалось добавить каких-либо пользователей, придет дополнительное уведомление вида "Не всех пользователей из LDAP удалось синхронизировать":
Здесь можно скачать файл, в котором будут указаны пользователи, которых не удалось добавить, а также причины неудавшейся синхронизации.
Примечание: синхронизация может выполняться не сразу. Возможно, потребуется некоторое время для ее завершения, после чего в личный кабинет поступит соответствующее уведомление.