Настройка SSO провайдера Microsoft Active Directory для протокола LDAP
Если ваша организация имеет LDAP каталог своих пользователей, то теперь вы можете использовать провайдер идентификации Microsoft Active Directory для доступа к платформе МТС Линк.
Инструкции для других протоколов и провайдеров идентификации:
На текущий момент функционал находится в стадии тестирования и постепенного релиза. Если вы хотите получить ранний доступ, пожалуйста, обратитесь к персональному менеджеру или в службу технической поддержки. |
Перед началом настройки рекомендуется установить пакет ldap-utils для ОС семейства Linux или аналогичное ПО для ОС семейства Windows/Mac OS X. |
Подготовка к настройке
Для настройки функционала вам понадобится поисковый пользователь:
поисковый пользователь должен иметь доступ к атрибутам и группам пользователей при просмотре всего каталога. Осуществить доступ к атрибутам при выводе каталога можно, например, так:
ldapsearch -H ldap://ldap.server -D ‘Search_User’ -w ‘Search_User_Password’ -b ‘ldap_domain’ ‘base_filter’Здесь
‘Search_User’ — поисковый пользователь;
‘Search_User_Password’ — пароль поискового пользователя;
‘ldap_domain’ — домен LDAP, например, corp.org;
‘base_filter’ — базовый фильтр, например, (&(objectclass=user)(!(objectclass=Computer))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(mail=*));
поисковый пользователь должен иметь доступ к атрибутам и группам пользователей при просмотре отдельного пользователя. Осуществить доступ к атрибутам при выводе отдельного пользователя можно, например, так:
ldapsearch -H ldap://ldap.server -D ‘Search_User’ -w ‘Search_User_Password’ -b ‘ldap_domain’ ‘base_filter(SamAccountName=test_user)’Здесь
‘Search_User’ — поисковый пользователь;
‘Search_User_Password’ — пароль поискового пользователя;
‘ldap_domain’ — домен LDAP, например, corp.org;
‘base_filter’ — базовый фильтр, например, (&(objectclass=user)(!(objectclass=Computer))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(mail=*));
test_user — SamAccountName тестового пользователя.
ВАЖНО: обратите внимание на вывод атрибутов
memberOf: CN=название1, OU=название2, OU=название3, DC=название4, DC=название5
mail: название@почтовыйдомен.ru
samaccountname: логин
title: должность
givenname: имя
sn: фамилия
department: организация
memberof: группы
telephonenumber: телефон
Если их не будет в выводе, дальнейшая настройка будет невозможна!
Как настроить
Шаг 1. Подтверждение домена электронной почты
Перед добавлением группы LDAP нужно подтвердить домен электронной почты. Подтверждение необходимо, чтобы только вы могли использовать ваш домен для SSO в МТС Линк. Подробнее об этом читайте в статьях Подтверждение домена для SSO и Настройка SSO (OpenID).
ВАЖНО: без подтвержденного домена функционал работать не будет!
Шаг 2. Настраиваем LDAP на стороне сервера Организации
Настройка сервера включает в себя:
настройку порта и адреса сервера;
получение базового параметра Domain Name;
настройку каталога пользователей и их прав доступа.
Шаг 3. Заполняем формы настроек LDAP на стороне МТС Линк
Заходим в личный кабинет МТС Линк, переходим в подраздел "Настройки SSO" раздела "Бизнес" и далее:
в качестве протокола выбираем LDAP;
выбираем SSO провайдер Microsoft Active Directory;
указываем "Адрес сервера LDAP (без протокола)" и порт;
выбираем "Версию протокола LDAP";
указываем "Тип шифрования": к выбору доступны варианты "Не использовать", SSL и TLS;
прописываем "Домен LDAP". Используйте тот домен LDAP, с которым успешно сделали тестовые запросы;
указываем "Логин LDAP"/"Пароль" поискового пользователя;
нажимаем "Сохранить":
Если все параметры указаны правильно, они будут сохранены. Если же были указаны не все из них или при вводе были допущены ошибки, то пустые поля/поля с ошибками будут выделены красным цветом и сохранить настройки будет невозможно:
В таком случае нужно сверить указанные значения параметров со значениями на сервере Организации.