Если ваша организация имеет LDAP каталог своих пользователей, то теперь вы можете использовать провайдеры идентификации Microsoft Active Directory и FreeIPA (ALD Pro) протокола LDAP для доступа к платформе МТС Линк.
Инструкции для других протоколов и провайдеров идентификации:
На текущий момент функционал находится в стадии тестирования и постепенного релиза.
Если вы хотите получить ранний доступ, пожалуйста, обратитесь к персональному менеджеру или в службу технической поддержки.
Перед началом настройки рекомендуется установить пакет ldap-utils для ОС семейства Linux или аналогичное ПО для ОС семейства Windows/Mac OS X. |
Подготовка к настройке
Для настройки функционала вам понадобится поисковый пользователь:
поисковый пользователь должен иметь доступ к атрибутам и группам пользователей при просмотре всего каталога. Осуществить доступ к атрибутам при выводе каталога можно, например, так:
ldapsearch -H ldap://ldap.server -D ‘Search_User’ -w ‘Search_User_Password’ -b ‘ldap_domain’ ‘base_filter’
Здесь
‘Search_User’ — поисковый пользователь;
‘Search_User_Password’ — пароль поискового пользователя;
‘ldap_domain’ — домен LDAP, например, corp.org;
‘base_filter’ — базовый фильтр, например, (&(objectclass=user)(!(objectclass=Computer))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(mail=*));
поисковый пользователь должен иметь доступ к атрибутам и группам пользователей при просмотре отдельного пользователя. Осуществить доступ к атрибутам при выводе отдельного пользователя можно, например, так:
ldapsearch -H ldap://ldap.server -D ‘Search_User’ -w ‘Search_User_Password’ -b ‘ldap_domain’ ‘base_filter(SamAccountName=test_user)’
Здесь
‘Search_User’ — поисковый пользователь;
‘Search_User_Password’ — пароль поискового пользователя;
‘ldap_domain’ — домен LDAP, например, corp.org;
‘base_filter’ — базовый фильтр, например, (&(objectclass=user)(!(objectclass=Computer))(!(UserAccountControl:1.2.840.113556.1.4.803:=2))(mail=*));
test_user — SamAccountName тестового пользователя.
ВАЖНО: обратите внимание на вывод атрибутов
memberOf: CN=название1, OU=название2, OU=название3, DC=название4, DC=название5
mail: название@почтовыйдомен.ru
samaccountname: логин
title: должность
givenname: имя
sn: фамилия
department: организация
memberof: группы
telephonenumber: телефонЕсли их не будет в выводе, дальнейшая настройка будет невозможна!
Как настроить
Шаг 1. Подтверждение домена электронной почты
Перед добавлением группы LDAP нужно подтвердить домен электронной почты. Подтверждение необходимо, чтобы только вы могли использовать ваш домен для SSO в МТС Линк. Подробнее об этом читайте в статьях Подтверждение домена для SSO и SSO (Single Sign On) в МТС Линк.
ВАЖНО: без подтвержденного домена функционал работать не будет!
Шаг 2. Настраиваем LDAP на стороне сервера Организации
Настройка сервера включает в себя:
настройку порта и адреса сервера;
получение базового параметра Domain Name;
настройку каталога пользователей и их прав доступа.
Шаг 3. Заполняем формы настроек LDAP на стороне МТС Линк
Заходим в личный кабинет МТС Линк, переходим в подраздел "Настройки SSO" раздела "Бизнес" и далее:
в качестве протокола выбираем LDAP;
выбираем SSO провайдер: Microsoft Active Directory или FreeIPA (ALD Pro);
указываем "Адрес сервера LDAP (без протокола)" и порт;
выбираем "Версию протокола LDAP";
если есть, указываем "Тип шифрования";
прописываем "Домен LDAP". Используйте тот домен LDAP, с которым успешно сделали тестовые запросы;
указываем "Логин LDAP"/"Пароль" поискового пользователя;
нажимаем "Сохранить":
Если все параметры указаны правильно, они будут сохранены. Если же были указаны не все из них, или при вводе были допущены ошибки, то пустые поля/поля с ошибками будут выделены красным цветом и сохранить настройки будет невозможно:
В таком случае нужно сверить указанные значения параметров со значениями на сервере Организации.
Шаг 4. Настройка групп LDAP
После успешного сохранения настроек появится раздел "Разрешенные группы LDAP", в который нужно добавить группы пользователей. Для этого нажимаем на кнопку "Добавить":
В открывшемся окне задаем название и указываем группу LDAP, выбираем группу Организации, с которой будет сопоставлена создаваемая группа LDAP, и нажимаем на "Добавить":
ВАЖНО: названия групп должны совпадать с названиями этих же групп на сервере LDAP!
Например, при выводе атрибута memberOf: CN=название1, OU=название2, OU=название3, DC=название4, DC=название5 в поле группа LDAP нужно указать “название1” без кавычек.
Группы Организации должны быть заранее созданы и настроены в разделе "Бизнес" - "Сотрудники и группы" личного кабинета МТС Линк.
Сопоставление групп позволит сотрудникам Организации входить в личный кабинет через SSO с уже настроенными правами и доступами.
Примечание: одна группа LDAP может быть сопоставлена с одной группой Организации.
При успешном добавлении группа появится в разделе "Разрешенные группы LDAP". Группу можно изменить или удалить. Для этого необходимо нажать на три точки справа от группы и выбрать нужное действие:
Примечания:
Редактирование позволяет изменять только группу Организации, с которой была сопоставлена группа LDAP.
Пользователи из удаленной группы потеряют возможность входить в систему через LDAP.
Также станет доступна функция "Синхронизация пользователей". Если нажать на кнопку "Синхронизировать", будет проведена проверка пользователей, добавленных к группе LDAP на сервере, и их добавление на платформу МТС Линк в качестве Сотрудников Организации. Они будут отображаться в соответствующем списке в разделе "Бизнес" - "Организация" личного кабинета:
После синхронизации в личный кабинет поступит уведомление о ее завершении:
Если в процессе синхронизации не удалось добавить каких-либо пользователей, придет дополнительное уведомление вида "Не всех пользователей из LDAP удалось синхронизировать":
Здесь можно скачать файл, в котором будут указаны пользователи, которых не удалось добавить, а также причины неудавшейся синхронизации.
Примечание: синхронизация может выполняться не сразу. Возможно, потребуется некоторое время для ее завершения, после чего в личный кабинет поступит соответствующее уведомление.