Вход через SSO с использованием протокола LDAP

Настраивайте вход в личный кабинет и на онлайн-мероприятия с использованием протокола LDAP

Обновлено больше недели назад

Если ваша организация имеет LDAP-каталог своих пользователей, то теперь вы можете использовать протокол LDAP в качестве провайдера авторизации для доступа к платформе МТС Линк.

На текущий момент функционал находится в стадии тестирования и постепенного релиза.

Если вы хотите получить ранний доступ, пожалуйста, обратитесь к персональному менеджеру или в службу технической поддержки.

Перед началом настройки рекомендуется установить пакет ldap-utils для ОС семейства Linux или аналогичное ПО для ОС семейства Windows/Mac OS X.

Подготовка к настройке

Для настройки функционала вам понадобится поисковый пользователь:

  • поисковый пользователь должен иметь доступ к атрибутам и группам пользователей при просмотре всего каталога. Осуществить доступ к атрибутам при выводе каталога можно, например, так:

    ldapsearch -H ldap://ldap.server -D ‘Search_User’ -w ‘Search_User_Password’ -b ‘ldap_domain’ ‘base_filter’

    Здесь

    ‘Search_User’ — поисковый пользователь;

    ‘Search_User_Password’ — пароль поискового пользователя;

    ‘ldap_domain’ — домен LDAP, например, dc=corp, dc=org, dc=ru;

    ‘base_filter’ — базовый фильтр, например, (&(objectclass=user)(!(objectclass=Computer))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(mail=*));

  • поисковый пользователь должен иметь доступ к атрибутам и группам пользователей при просмотре отдельного пользователя. Осуществить доступ к атрибутам при выводе отдельного пользователя можно, например, так:

    ldapsearch -H ldap://ldap.server -D ‘Search_User’ -w ‘Search_User_Password’ -b ‘ldap_domain’ ‘base_filter(SamAccountName=test_user)’

    Здесь

    ‘Search_User’ — поисковый пользователь;

    ‘Search_User_Password’ — пароль поискового пользователя;

    ‘ldap_domain’ — домен LDAP, например, dc=corp, dc=org, dc=ru;

    ‘base_filter’ — базовый фильтр, например, (&(objectclass=user)(!(objectclass=Computer))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(mail=*));

    test_user — SamAccountName тестового пользователя.

    ВАЖНО: обратите внимание на вывод атрибутов

    memberOf: CN=название1, OU=название2, OU=название3, DC=название4, DC=название5

    и

    mail: название@почтовыйдомен.ru

    Если их не будет в выводе, дальнейшая настройка будет невозможна!

Как настроить

Шаг 1. Подтверждение домена электронной почты

Перед добавлением группы LDAP нужно подтвердить домен электронной почты. Подтверждение необходимо, чтобы только вы могли использовать ваш домен для SSO в МТС Линк. Подробнее об этом читайте в статьях Подтверждение домена для SSO и SSO (Single Sign On) в МТС Линк.

ВАЖНО: без подтвержденного домена функционал работать не будет!

Шаг 2. Настраиваем LDAP на стороне сервера Организации

Настройка сервера включает в себя:

  • настройку порта и адреса сервера;

  • получение базового параметра Domain Name;

  • настройку каталога пользователей и их прав доступа.

Шаг 3. Заполняем формы настроек LDAP на стороне МТС Линк

Заходим в личный кабинет МТС Линк, переходим в подраздел "Настройки SSO" раздела "Бизнес" и далее:

  • в качестве протокола выбираем "LDAP";

  • указываем "Адрес сервера LDAP (без протокола)" и порт;

  • выбираем "Версию протокола LDAP";

  • если есть, указываем "Тип шифрования";

  • прописываем "Домен LDAP". Используйте тот домен LDAP, с которым успешно сделали тестовые запросы.

  • указываем "Логин LDAP"/"Пароль" поискового пользователя;

  • нажимаем "Сохранить":

Если все параметры указаны правильно, они будут сохранены. Если же были указаны не все из них, или при вводе были допущены ошибки, то пустые поля/поля с ошибками будут выделены красным цветом и сохранить настройки будет невозможно:

В таком случае нужно сверить указанные значения параметров со значениями на сервере Организации.

Шаг 4. Настройка Разрешенных групп LDAP

После успешного сохранения настроек появится раздел "Разрешенные группы LDAP", в который нужно добавить группы пользователей. Для этого нажимаем на кнопку "Добавить":

В открывшемся окне прописываем соответствующие значения и нажимаем на "Добавить":

ВАЖНО: названия групп должны совпадать с названиями этих же групп на сервере LDAP!

Например, при выводе атрибута memberOf: CN=название1, OU=название2, OU=название3, DC=название4, DC=название5 в поле "Группа LDAP" нужно указать “название1” без кавычек.

При успешном добавлении группа появится в разделе "Разрешенные группы LDAP", а также станет доступна функция "Синхронизация пользователей":

Если нажать на кнопку "Синхронизировать", будет проведена проверка пользователей, добавленных к группе LDAP на сервере, и их добавление на платформу МТС Линк в качестве Сотрудников Организации. Они будут отображаться в соответствующем списке в разделе "Организация" личного кабинета:

После синхронизации в личный кабинет поступит уведомление о ее завершении:

Если в процессе синхронизации не удалось добавить каких-либо пользователей, придет дополнительное уведомление вида "Не всех пользователей из LDAP удалось синхронизировать":

Здесь можно скачать файл, в котором будут указаны пользователи, которых не удалось добавить, а также причины неудавшейся синхронизации.

ПРИМЕЧАНИЕ: синхронизация может выполняться не сразу. Возможно, потребуется некоторое время для ее завершения, после чего в личный кабинет поступит соответствующее уведомление.

Нашли ответ на свой вопрос?