Если ваша организация имеет LDAP каталог своих пользователей, то теперь вы можете использовать провайдер идентификации Microsoft Active Directory для доступа к платформе МТС Линк.
Инструкции для других протоколов и провайдеров идентификации:
На текущий момент функционал находится в стадии тестирования и постепенного релиза. Если вы хотите получить ранний доступ, пожалуйста, обратитесь к персональному менеджеру или в службу технической поддержки. |
Перед началом настройки рекомендуется установить пакет ldap-utils для ОС семейства Linux или аналогичное ПО для ОС семейства Windows/Mac OS X. |
Для настройки функционала вам понадобится поисковый пользователь:
поисковый пользователь должен иметь доступ к атрибутам и группам пользователей при просмотре всего каталога. Осуществить доступ к атрибутам при выводе каталога можно, например, так:
ldapsearch -H ldap://ldap.server -D ‘Search_User’ -w ‘Search_User_Password’ -b ‘ldap_domain’ ‘base_filter’
Здесь
‘Search_User’ — поисковый пользователь;
‘Search_User_Password’ — пароль поискового пользователя;
‘ldap_domain’ — домен LDAP, например, corp.org;
‘base_filter’ — базовый фильтр, например, (&(objectclass=user)(!(objectclass=Computer))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(mail=*));
поисковый пользователь должен иметь доступ к атрибутам и группам пользователей при просмотре отдельного пользователя. Осуществить доступ к атрибутам при выводе отдельного пользователя можно, например, так:
ldapsearch -H ldap://ldap.server -D ‘Search_User’ -w ‘Search_User_Password’ -b ‘ldap_domain’ ‘base_filter(SamAccountName=test_user)’
Здесь
‘Search_User’ — поисковый пользователь;
‘Search_User_Password’ — пароль поискового пользователя;
‘ldap_domain’ — домен LDAP, например, corp.org;
‘base_filter’ — базовый фильтр, например, (&(objectclass=user)(!(objectclass=Computer))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(mail=*));
test_user — SamAccountName тестового пользователя.
ВАЖНО: обратите внимание на вывод атрибутов
memberOf: CN=название1, OU=название2, OU=название3, DC=название4, DC=название5
mail: название@почтовыйдомен.ru
samaccountname: логин
title: должность
givenname: имя
sn: фамилия
department: организация
memberof: группы
telephonenumber: телефон
Если их не будет в выводе, дальнейшая настройка будет невозможна!
Перед добавлением группы LDAP нужно подтвердить домен электронной почты. Подтверждение необходимо, чтобы только вы могли использовать ваш домен для SSO в МТС Линк. Подробнее об этом читайте в статьях Подтверждение домена для SSO и Настройка SSO (OpenID).
ВАЖНО: без подтвержденного домена функционал работать не будет!
Настройка сервера включает в себя:
настройку порта и адреса сервера;
получение базового параметра Domain Name;
настройку каталога пользователей и их прав доступа.
Заходим в личный кабинет МТС Линк, переходим в подраздел "Настройки SSO" раздела "Бизнес" и далее:
в качестве протокола выбираем LDAP;
выбираем SSO провайдер Microsoft Active Directory;
указываем "Адрес сервера LDAP (без протокола)" и порт;
выбираем "Версию протокола LDAP";
указываем "Тип шифрования": к выбору доступны варианты "Не использовать", SSL и TLS;
прописываем "Домен LDAP". Используйте тот домен LDAP, с которым успешно сделали тестовые запросы;
указываем "Логин LDAP"/"Пароль" поискового пользователя;
нажимаем "Сохранить":
Если все параметры указаны правильно, они будут сохранены. Если же были указаны не все из них или при вводе были допущены ошибки, то пустые поля/поля с ошибками будут выделены красным цветом и сохранить настройки будет невозможно:
В таком случае нужно сверить указанные значения параметров со значениями на сервере Организации.