ADSCIM утилитасының көмегімен пайдаланушылар мен LDAP каталогі бар топтарды синхрондау

Егер компанияңызда Active Directory федерация қызметі қосылған болса, Бизнеске арналған Яндекс 360 ішіндегі қызметтер мен топтарды автоматты түрде синхрондауды реттеуге болады, ол үшін арнайы Windows қызметін орнатып, реттеу қажет.

Егер Active Directory пайдаланушыларын синхрондауды қосқыңыз келсе, YandexADSCIM төменде берілген нұсқау бойынша (компьютердегі Windows қызметі түріндегі утилита) утилитасын орнатып, бағдарламаны LDAP каталогінен оқу рұқсаты бар пайдаланушы атынан іске қосыңыз. YandexADSCIM Сервистер жабдығымен басқарылады. Реттеулер конфигурация файлында өзгертіледі.

Қазіргі уақытта Active Directory, Samba DC және Red ADM каталогтеріне толықтай қолдау көрсетіледі. Болашақта YandexADSCIM утилитасы *nix платформаларына портталған кезде, басқа LDAP каталогтеріне толығымен қолдау көрсетіледі. Қазіргі уақытта оны басқа LDAP каталогтерімен жұмысты реттеу кезінде пайдалануға болады, бірақ OC Windows құрылғысында іске қосу қажет.

ADSCIM утилитасын қосу және бастапқы реттеу

1-қадам. Реттеуді бастаңыз

  1. Бірыңғай кіру (SSO) опциясының қосылғанын және дұрыс жұмыс істейтінін тексеріңіз. Бірыңғай кіру опциясын қосу жолы

  2. Пайдаланушының бірегей идентификаторын көрсетіңіз:

    • Яндекс каталогіне енгізу үшін ADSCIM утилитасының PropertyLoginName параметріне жіберілетін Active Directory төлсипатын таңдаңыз.

      • UPN (ADSCIM утилитасындағы userPrincipalName) – егер пайдаланушының кіру атаулары өзгермесе;

      • objectSID, objectGUID немесе басқа — егер доменді немесе бизнес-процестерді өзгерту жоспарланған болса, бұл пайдаланушылардың UPN мәнінің өзгеруіне әкелуі мүмкін.

    Назар аударыңыз

    Негізгі идентификатор ретінде тағайындаған төлсипат өзгермеуі тиіс. Кіру кезінде басқа төлсипаты бар пайдаланушы жаңа пайдаланушы болып саналады.

    • Егер пайдаланушыларыңыз Яндекс 360 сервистерін бұрыннан пайдаланса және аутентификациядан SAML 2.0 протоколы көмегімен өтетін болса, төлсипаттардың сәйкестігін тексеріңіз: Active Directory ішіндегі NameID төлсипатының мәні ADSCIM PropertyLoginName утилитасының негізгі идентификаторына сәйкес келуі тиіс.

    PropertyLoginName туралы толығырақ ақпаратты 2.5 тармағындағы 4-қадамнан қараңыз.

  3. Active Directory ішіндегі пайдаланушылардың келесі төлсипаттары толтырылғанын тексеріңіз:

    • негізгі ретінде таңдалған идентификатор;

    • User SamAccountName;

    • E-mail.

2-қадам. Client ID және OAuth токенін алыңыз

  1. Қолданба жасау бетіне өтіңіз. Өту

  2. Қызмет атауын енгізіп, белгішесін тіркеңіз.

  3. Қолданба платформалары блогында Веб-сервистер опциясын таңдаңыз. Redirect URI өрісінде Түзету үшін URL қою сілтемесін басыңыз.

  4. Деректерге рұқсат блогындағы жолдың басында Федерацияларды басқару рұқсат атауын енгізіңіз.

  5. Байланыс үшін поштаңызды көрсетіңіз. Қолданба жасау түймесін басыңыз.

  6. OAuth токенін алу үшін POST сұрауын жіберіңіз. Мысалы, cURL арқылы оны келесі пәрменнің көмегімен жасауға болады:

    curl -X POST https://oauth.yandex.ru/token -d "grant_type=client_credentials&client_id=значение1&client_secret=мән2"

    бұл жердегі client_id параметрінің мәні — жасалған қолданбаның ID идентификаторы, ал client_secret — оның құпия кілті.

  7. Алынған ID және OAuth токенін сақтаңыз. Олар келесі қадамдарда қажет болады.

3-қадам. Яндекс 360 қызметінде Client ID мәнін көрсетіп, Domain ID алыңыз

  1. Бизнеске арналған Яндекс 360 қызметінде ұйым кабинетін ашыңыз. Өту

  2. Жалпы реттеулер → Бірыңғай кіру (SSO) бөліміне өтіңіз.

  3. Реттеу опциясын басыңыз.

  4. SCIM синхрондау блогында 2-қадамда алынған қолданбаңыздың ID қойыңыз.

  5. Domain ID идентификаторын көшіріп алыңыз, ол сізге келесі қадамда қажет болады.

  6. Өзгерістерді сақтаңыз.

4-қадам. Синхрондау үшін Windows қызметін орнатыңыз және реттеңіз

  1. YandexADSCIM қызметін жүктеп алып, орнатыңыз. Орнатылым файлын жүктеп алу

  2. %ProgramData%\Yandex\YandexADSCIM\AD_Users.config конфигурация файлын тауып, оны кез келген мәтіндік редакторда ашыңыз.

    Кеңес

    Егер %ProgramData% қалтасын табу мүмкін болмаса, жасырылған файлдарды көрсету опциясын қосыңыз. Мұны жасау жолы

    Конфигурация файлындағы әр реттеу кілт=мән форматында бөлек жолмен жазылады. Қызмет # таңбасынан басталатын жолдарды елемейді.

    Конфигурация файлын реттеңіз:

    1. LDAP параметрінің мәнінде Active Directory қызметіне қосылу үшін дұрыс жолдың көрсетілгенін тексеріңіз. Олай болмаса, түзетіңіз. Іздеу параметрлеріне өз мәндеріңізді қойыңыз.

      Іздеу сұрауы үшін DIT = Directory Information Tree құрылымындағы жолды пайдаланыңыз (оңнан солға оқылады):

      LDAP = LDAP://CN=Users,OU=DomainGroup,DC=YourCompanyName,DC=com

      бұл жерде

      • DC – domainComponent, жеке домен және домен аймағы;

      • OU – OrganizationUnit, пайдаланушыларды алғыңыз келетін компания, департамент немесе бөлім;

      • CN – commonName, каталогтан алғыңыз келетін объект атауы.

    2. BearerToken параметрінің мәнінде 2-қадамда алынған OAuth токенін көрсетіңіз.

    3. DomainID параметрінің мәнінде 3-қадамда алынған домен идентификаторын көрсетіңіз.

    4. DryRun параметрінің мәні бастапқыда true мәніне орнатылған. Осы мәнді қалдырсаңыз, қызмет сынақ режимінде жұмыс істейді. Сұраулар журналдарда тіркеледі, бірақ синхрондау орындалмайды. Қазірдің өзінде SCIM синхрондауын қосу үшін, параметр мәнін false мәніне орнатыңыз.

    5. Active Directory қызметіндегі пайдаланушы деректерін синхрондаңыз. Яндекс 360 қызметінде пайдаланушыларды жасау немесе синхрондау кезінде төлсипаттарды қайта тағайындауға Property деп басталатын параметрлер мүмкіндік береді.

      Пайдаланушы идентификаторына сәйкес келетін PropertyLoginName параметрі үш мәннің біреуін қабылдай алады:

      • userPrincipalName — UPN, әдепкі мән;

      • objectSID;

      • objectGUID.

      Параметрдің мәні NameID төлсипатының мәніне сәйкес болуы тиіс.

      Егер сіз username@domain.com емес, username түріндегі төлсипатты пайдалансаңыз, онда қосымша true мәні бар IgnoreUsernameDomain параметрін көрсетіңіз.

      Қалған пайдаланушы төлсипаттары үшін:

      YandexADSCIM утилитасы параметрінің атауы

      Төлсипат атауы (орыс.)

      Active Directory ішіндегі әдепкі мән

      Мысал

      PropertyFirstName

      Аты

      givenName

      Иван

      PropertyMiddleName

      Әкесінің аты

      middleName

      Иванович

      PropertyLastName

      Тегі

      sn (SurName)

      Иванов

      PropertyDisplayName

      Көрсетілетін аты

      displayName

      Иванов И. И.

      PropertyWorkMail

      Негізгі пошта

      mail

      I_ivanov@domain.ru

      PropertyTitle

      Лауазым

      title

      Әзірлеуші

      PropertyMobilePhoneNumber

      Мобильді телефон

      mobile

      +7 012 345-67-89

      PropertyWorkPhoneNumber

      Жұмыс телефоны

      telephoneNumber

      +7 495 123-45-67

      PropertyIpPhoneNumber

      IP телефоны

      ipPhone

      7495 012-34-56

      Property деп басталатын параметрлерді бірнеше рет көрсетуге болады, бұл жағдайда параметр мәні тізім болады. Бұл жағдайда төлсипаттар реті маңызды болады. Мысалы, пайдаланушы тегін алу үшін келесі төлсипаттарды орнатуға болады: PropertyLastName = surName, PropertyLastName = sn, PropertyLastName = lastName. Егер surName төлсипаты бар болса, оның мәні пайдаланылады. Егер бұл төлсипат болмаса, sn төлсипатының мәні пайдаланылады. Егер ол да болмаса — lastName төлсипатының мәні пайдаланылады.

    6. Пайдаланушылардың жүктелуін шектеу үшін UsersFilter сүзгісін пайдалануға және LDAP сұрауларының стандартты синтаксисін қолдануға болады.

      • Пайдаланушыларды белгілі бір топтағы мүшелігі бойынша таңдау үшін сүзгіні пайдаланыңыз:

        UsersFilter =(memberOf=CN=groupname,CN=Users,DC=domainname,DC=com)

      • Егер Active Directory ішінде блокталған пайдаланушылардың іріктемесінен қосымша алып тастау қажет болса, сүзгіні пайдаланыңыз:

        UsersFilter =(&(memberOf=CN=groupname,CN=Users,DC=domainname,DC=com) (!(userAccountControl:1.2.840.113556.1.4.803:=2)))

        Синхрондау нәтижесінде ұйымыңыздың пошта доменінде тіркелген, бірақ сүзгіге кірмеген пайдаланушылар блокталады.

    7. Active Directory ішіндегі пошта жәшіктерінің алиастары Бизнеске арналған Яндекс 360 қызметімен синхрондалуы үшін, true мәні бар EnableAliases параметрін қосыңыз. Active Directory ішіндегі SMTP түріндегі proxyAdresses пайдаланушы төлсипатында көрсетілген домендік пошталық алиастар Бизнеске арналған Яндекс 360 ішіндегі қызметкер аккаунтына автоматты түрде қосылады.

      Маңызды

      Алиастардың белгілі бір синхрондалуы үшін YandexADSCIM утилитасының нұсқасы 1.1.0.144 немесе одан кейінгі нұсқа болуы тиіс. Орнатылым файлын жүктеп алу

    8. Active Directory ішіндегі топтарды синхрондаңыз — true мәні бар EnableGroups параметрін қосыңыз.

      Топтар тізімін шектеу үшін GroupsFilter сүзгісін пайдалануға және LDAP сұрауларының стандартты синтаксисін қолдануға болады. Мысалы, таратылымдардың барлық тізімдерін жүктеп алу үшін, сүзгіні пайдаланыңыз:

      GroupsFilter =(&(objectClass=group)(!(groupType:1.2.840.113556.1.4.803:=2147483648)))

    9. Active Directory ішіндегі топтар төлсипаттарын синхрондаңыз. Яндекс 360 қызметінде топтарды жасау немесе синхрондау кезінде төлсипаттарды қайта тағайындауға PropertyGroup деп басталатын параметрлер мүмкіндік береді.

      YandexADSCIM утилитасы параметрінің атауы

      Төлсипат атауы (орыс.)

      Active Directory ішіндегі әдепкі мән

      Мысал

      PropertyGroupDisplayName

      Атауы

      name

      Біріктіру жобасы

      PropertyGroupDescription

      Сипаттамасы

      description

      Біріктіру жобасына қатысатын қызметкерлер

      PropertyGroupEmail

      Таратылым

      mail

      int@domain.ru

      PropertyGroup деп басталатын параметрлерді бірнеше рет көрсетуге болады, бұл жағдайда параметр мәні тізім болады. Бұл жағдайда төлсипаттар реті маңызды болады. Мысалы, топ атауын алу үшін, келесі төлсипаттарды орнатуға болады: PropertyGroupDisplayName = name, PropertyGroupDisplayName = cn. Егер name төлсипаты бар болса, оның мәні пайдаланылады. Егер бұл төлсипат болмаса, cn төлсипатының мәні пайдаланылады.

    10. Яндекс 360 қызметінде пайдалансаңыз, сыртқы контактілерді синхрондаңыз. Ол үшін true мәні бар EnableContacts параметрін қосыңыз.

      Маңызды

      Контактілердің белгілі бір синхрондалуы үшін YandexADSCIM утилитасының нұсқасы 1.1.0.156 немесе одан кейінгі нұсқа болуы тиіс. Орнатылым файлын жүктеп алу

      Әдепкі бойынша Active Directory ішіндегі контактілер ретінде (&(objectClass=contact)) LDAP сұрауын орындайтын барлық объектілер синхрондалады. Контактілер тізімін шектеу үшін ContactsFilter сүзгісін пайдалануға және LDAP сұрауларының стандартты синтаксисін қолдануға болады. Мысалы groupname тобындағы контактілерді ғана жүктеп алу үшін, келесі сүзгіні пайдаланыңыз:

      ContactsFilter = (&(objectClass=contact)(memberOf=CN=groupname,CN=Users,DC=domainname,DC=com))

    11. Active Directory ішіндегі контактілердің төлсипаттарын синхрондаңыз. Яндекс 360 қызметінде контактілерді жасау немесе синхрондау кезінде төлсипаттарды қайта тағайындауға PropertyContact деп басталатын параметрлер мүмкіндік береді.

      YandexADSCIM утилитасы параметрінің атауы

      Төлсипат атауы (орыс.)

      Active Directory ішіндегі әдепкі мән

      Мысал

      PropertyContactFirstName

      Аты

      givenName

      Иван

      PropertyContactMiddleName

      Әкесінің аты

      middleName

      Иванович

      PropertyContactLastName

      Тегі

      sn (SurName)

      Иванов

      PropertyContactTitle

      Лауазым

      title

      Әзірлеуші

      PropertyContactDepartment

      Бөлім

      department

      Әзірлеу бөлімі

      PropertyContactCompany

      Компания

      company

      «Страна чудес» ЖШҚ

      PropertyContactMail

      Негізгі электрондық пошта*

      mail

      I_ivanov@domain.ru

      PropertyContactWorkPhone

      Негізгі жұмыс телефоны

      telephoneNumber

      +7 495 123-45-67

      PropertyContactOtherWorkPhone

      Басқа жұмыс телефондары

      otherTelephone

      +7 495 765-43-21

      PropertyContactMobile

      Негізгі мобильді телефон

      mobile

      +7 012 345-67-89

      PropertyContactOtherMobile

      Басқа мобильді телефондар

      otherMobile

      +7 987 654-32-10

      PropertyContactIpPhone

      Негізгі IP телефоны

      ipPhone

      7495 012-34-56

      PropertyContactOtherIpPhone

      Басқа IP телефондары

      otherIpPhone

      7495 987-65-43

      PropertyContactAddress1

      Мекенжай — Көше

      streetAddress

      Юбилейная

      PropertyContactAddress2

      Мекенжай — Қала

      l

      Подольск

      PropertyContactAddress3

      Мекенжай — Аймақ

      st

      Мәскеу облысы

      PropertyContactAddress4

      Мекенжай — Индекс

      postalCode

      142121
      (*) Негізгі емес email — smtp: (Active Directory ішінде proxyAddresses) жұрнағы бар мекенжайларды — қайта анықтауға болмайды. Бірақ оларды true мәні бар ContactIgnoreProxyAddresses параметрін қосу арқылы өшіруге болады.

      PropertyContact деп басталатын параметрлерді бірнеше рет көрсетуге болады, бұл жағдайда параметр мәні тізім болады. Бұл жағдайда төлсипаттар реті маңызды болады.

      Бұл параметрлердің әрқайсысын оның мәні ретінде - (азайту) таңбасын көрсету арқылы өшріуге болады. Мысалы, «Лауазым» төлсипатын синхрондауды өшіру үшін PropertyContactTitle = - параметрін көрсету қажет.

    12. Сервисті іске қоспас бұрын, егер бұрын (2.4 тармағында) false мәніне өзгерткен болсаңыз, DryRun параметрінің мәнін true мәніне ауыстырыңыз. Қызметті іске қосу аралығы N — минутпен берілген аралық болатын UpdateEveryMins = N параметрімен анықталады. Қызметті жабдық арқылы іске қосып, журнал файлын талдаңыз.

      Журналдардағы жүйелік хабарлар

      Хабарландыру

      Нәтиже

      CORE Update user: user@domain.ru (Active:true -> false)

      Пайдаланушы блокталады.

      SCIM Update user

      Яндекс каталогінде пайдаланушы төлсипаттарын өзгерту.

      SCIM Add user

      Яндекс каталогіне пайдаланушы қосу.

      CORE Users: added 0, removed 3 237, modified 0

      Қосылды — 0, блокталды — 3 237, өзгертілді — 0.

      SCIM GET Users: Response is successful

      Пайдаланушылар Яндекс каталогінен сәтті оқылды.

      AD Received user count: N

      Active Directory қызметінен N пайдаланушы жүктелді.

      AD Received groups count: N

      Active Directory қызметінен N топ жүктелді.

      AD_CONFIG Wrong line N

      Конфигурация файлының N жолында қате пайда болды.

      AD Received contacts count: N

      Active Directory қызметінен N контакт жүктелді.

      SCIM Add SharedContact:

      Яндекс каталогіне контакт қосу.

  3. Конфигурация файлындағы өзгертулерді қолдану үшін қызметті тоқтатып, қайта іске қосыңыз. Мұны жасау жолы

Реттеулерді өзгерту

Егер реттеулерді өзгерткіңіз келсе, конфигурация файлына өзгерістер енгізіп, YandexADSCIM қызметін пәрмен жолағы немесе тапсырмалар диспетчері арқылы нұсқаулық бойынша қайта іске қосыңыз.

Журналдарды қарау

Қызметтің барлық логтері %ProgramData%\Yandex\YandexADSCIM қалтасында сақталады.

ADSCIM утилитасын жаңарту

Қолданба автоматты түрде жаңартылады: әдепкісінше конфигурация файлында AutoUpdate = True мәні көрсетіледі немесе True мәні әдепкі мәні болып табылатындықтан, бұл параметр жоқ.

Егер қолданбаны қолмен жаңартқыңыз келсе, AutoUpdate = False мәнін көрсетіңіз. Енді қолданбаны жаңарту үшін сізге YandexADSCIM соңғы нұсқасын жүктеп алып (жүктеп алу), орнату файлын іске қосу қажет болады.

ADSCIM утилитасын тоқтату және қайта іске қосу

YandexADSCIM — Windows қызметі, сондықтан ол жүйені іске қосқан кезде автоматты түрде орындалады және пайдаланушының күйіне байланысты болмайды. Бірақ сіз оны қолмен өшіре аласыз, ол үшін пәрмен жолында (cmd.exe) sc stop yandexadscim параметрін енгізіңіз немесе тапсырмалар диспетчерінде Тоқтату түймесін басыңыз.

Қызметті қайта іске қосу үшін, пәрмен жолында sc start yandexadscim параметрін енгізіңіз. Сонымен қатар ADSCIM утилитасын тапсырмалар диспетчеріндегі Қызметтер қосымшасында қайта іске қосуға болады.

ADSCIM утилитасын жою

Егер қызметті біржола жойғыңыз келсе, sc delete yandexadscim пәрменін пайдаланыңыз.

ADSCIM утилитасымен жұмыс кезінде орын алуы мүмкін жағдайлар

Жағдай

Нәтиже

Пайдаланушының Active Directory ішіндегі төлсипаттары өзгерді, бірақ бірегей идентификаторы өзгерген жоқ

Жүйе Яндекс каталогінде төлсипаттарды жаңартады (негізгі пошта мен NameID параметрінен басқа).

Пайдаланушының бірегей идентификаторы өзгерді

Жүйе бастапқы идентификаторы бар нысанды таба алмай, алдыңғы пайдаланушыны блоктайды. Содан кейін жүйе пайдаланушыны жаңа идентификатормен қосуға тырысады, бірақ оны жасай алмайды, себебі пайдаланушының логині бұрынғы пайдаланушыға тиесілі. Егер сіз блокталған пайдаланушыны жойсаңыз, жүйе ескі пайдаланушыдан ешқандай деректерді тасымалдамай жаңасын қосады.

Пайдаланушы Active Directory қызметінде жойылды

Пайдаланушы Яндекс каталогінде блокталады.

Active Directory қызметінде жаңа пайдаланушы.

Пайдаланушы тиісті төлсипаттармен бірге Яндекс каталогіне қосылады.

Яндекс каталогіндегі барлық пайдаланушы блокталған.

Ол келесі себептерден орын алуы мүмкін:

  • негізгі идентификатор өрісі өзгерді;

  • қолданба қандай да бір себепке байланысты Active Directory каталогіндегі пайдаланушыларды оқи алмады.
Қолдау қызметіне жазу

Аутентификацияны жүзеге асыруға мүмкіндік беретін ұйым, каталогтер, пайдаланушылар туралы деректерді сақтау протоколы.

Microsoft компаниясы ұсынатын, әртүрлі жүйелерді және қолданбаларды пайдалану үшін бірыңғай кіруді ұйымдастыруға мүмкіндік беретін технология. Active Directory федерациясының қызметтеріне шолу

Windows операциялық жүйесін іске қосу кезінде орындалатын қолданба. (https://ru.wikipedia.org/wiki/Служба_Windows)

Интернетте аутентификация және авторизация деректерін бөлісуге мүмкіндік беретін қауіпсіздік стандарты. SAML 2.0 негізіндегі SSO қалай жұмыс істейді

Деректерді серверге және серверден тасымалдау үшін қолданылатын пәрмендер жолағының құралы. Оның көмегімен веб-сайттармен және API интерфейсімен өзара әрекеттесуге, деректерді жіберуге және алуға, файлдарды жүктеп алуға және жүктеп салуға болады. URL сипаттамасы

Кіріс мақұлдау түрі (немесе AD FS интерфейсі үшін ағылшын тілінде Incoming claim type) өрісінде көрсетілетін және пайдаланушыны анықтау үшін пайдаланатын төлсипатты реттеу туралы Мақұлдауларды салыстыру реттеуі (немесе AD FS интерфейсі үшін ағылшын тілінде Claims Mapping реттеу) бөлімінен оқыңыз.

Бір доменнің ішіндегі синоним пошта мекенжайлары. Пошта жәшіктерінің алиастары туралы

Ұйым қызметкерлері Яндекс 360 сервистерін пайдалана алуы үшін, оларға жеке аккаунттар қажет. Аккаунтты әртүрлі тәсілдермен жасауға, соның ішінде пайдалану рұқсатын басқару жүйесімен автоматты түрде синхрондауға (мысалы, Active Directory) болады. Нұсқаулықтар

Негізгі емес email — smtp: (Active Directory ішінде proxyAddresses) жұрнағы бар мекенжайларды — қайта анықтауға болмайды. Бірақ оларды true мәні бар ContactIgnoreProxyAddresses параметрін қосу арқылы өшіруге болады.

Серверде жаңа ресурс жасауға қатысты API сұрауы. Жаңа нысанды құру немесе қандай да бір әрекетті орындау үшін деректерді серверге жіберу үшін қолданылады.

Белгілі бір пайдаланушы атынан деректерді пайдалануға мүмкіндік беретін арнайы код.

UPN (User Principal Name) — есептік жазба атауынан, @ таңбасынан және ұйым доменінен тұратын пайдаланушы аты. UPN Active Directory және Azure AD сияқты Microsoft сервистерінде пайдаланушының аутентификациясы үшін пайдаланылады және пошта мекенжайына сәйкес келмеуі мүмкін.

Алдыңғы
Multifactor реттеу
Келесі
Куәліктер жеткізушісін (IdP) ауыстыру