| Оглавление |
|---|
Описание
В системе NAICE реализована поддержка аутентификации администраторов через внешние службы каталогов (Active Directory, OpenLDAP и др.).
Это позволяет:
- выполнять вход в веб-интерфейс с использованием корпоративных учетных записей;
- автоматически назначать права доступа на основе принадлежности пользователей к группам во внешнем каталоге.
Настройка
Процесс настройки включает пять последовательных этапов:
- Настройка внешнего источника идентификации.
- Настройка сопоставления информации о пользователях системы (опционально).
- Добавление групп из службы каталогов
- Выбор внешнего источника для входа в систему
- Добавление внешней роли
Настройка внешнего источника идентификации
Данный этап предполагает, что настройка интеграции с внешним источником идентификации уже выполнена в соответствии с одной из инструкций:
В результате настройки в системе должен быть создан внешний источник, готовый к добавлению групп и использованию для аутентификации.
Настройка сопоставления информации о пользователях системы (опционально)
При необходимости можно настроить автоматическое заполнение полей учетной записи (имя, фамилия, email) данными из внешнего каталога.
Для этого требуется:
- Открыть созданный внешний источник на редактирование.
- В блоке Сопоставление информации о пользователях системы укажите атрибуты, соответствующие:
- имени пользователя;
- фамилии пользователя;
- адресу электронной почты.
Для схемы "ACTIVE_DIRECTORY" поля атрибутов заполняются автоматически и имеют предустановленные значения:
Для схемы "CUSTOM" поля атрибутов заполняются вручную:
После заполнения атрибутов необходимо нажать Сохранить.
| Примечание |
|---|
Если атрибуты в каталоге для пользователя не заполнены, соответствующие поля учетной записи останутся пустыми. Если в каталоге атрибуты отсутствуют у конкретного пользователя, при проверке связи с сервером, даже при успешном подключении к серверу возвращается ошибка вида:
|
Добавление внешних групп из службы каталогов
После успешной настройки внешнего источника необходимо выгрузить необходимые группы из службы каталогов. Необходимо вернуться к редактированию внешнего источника, перейти во вкладку «Группы» и добавить группы, которые предполагается использовать для сопоставления при аутентификации.
Нажать кнопку Получить данные и выбрать группы, которые требуется добавить. В данном примере добавлена группа "Гости домена".
Группы из внешнего источника необходимы для сопоставления с внешними ролями — пользователь должен состоять в определенных группах, чтобы получить соответствующие права.
Для добавления групп необходимо:
- Открыть внешний источник на редактирование.
- Перейти на вкладку Группы .
- Нажать кнопку → Выбрать группы из службы каталогов.
- В поле фильтра указать критерии поиска (например,
*гости*) и нажать Получить данные. - Выбрать необходимые группы (например, "
Гости домена").
После выбора необходимых групп нажать кнопку Сохранить.
После сохранения группы становятся доступными для использования в настройках внешних ролей.
Выбор внешнего источника для входа в качестве основного источника аутентификации
Для активации внешней аутентификации требуется:
- Перейти в раздел «Настройки системы» → «Безопасность и доступ» → «Вход в систему».
- Активировать опцию «Использовать внешний источник идентификации в качестве основного источника аутентификации».
- Из выпадающего списка «Источник аутентификации» выбрать ранее настроенный внешний источник.
- Нажать Сохранить.
После сохранения на странице входа появится вкладка «Корпоративная УЗ». Вкладка «Локальная УЗ» остается доступной для входа по локальным учетным записям.
| Предупреждение |
|---|
| При смене или отключении использования внешнего источника в качестве основного источника аутентификации все текущие сессии пользователей, аутентифицированных через внешние источники, будут немедленно завершены. После подтверждения изменений пользователям потребуется повторная авторизация. |
Добавление внешней роли
Для автоматического назначения прав доступа пользователям из внешнего источника необходимо создать внешнюю роль.
| Информация |
|---|
Подробнее про ролевую модель можно прочитать в разделе v1.2_6.2. Ролевая модель. |
Необходимо открыть раздел «Пользователи и устройства» → «Пользователи системы»→ «Роли» и добавить внешнюю роль.
Пример быстрого создания (на основе существующей роли):
Необходимо выделить с помощью чекбокса роль "System Admin" и нажать .
В открывшейся форме необходимо:
- Переименовать роль "System Admin" → "System Admin (External)"
- По желанию отредактировать поле "Описание"
- Выбрать тип роли "внешняя". Текущий источник аутентификации подставиться автоматически.
- Выбрать условие для получения внешней роли. Настройка становится доступна при указании 2 и более групп из службы каталогов. По умолчанию - состоять во всех указанных группах (AND).
| Информация |
|---|
Правила совместимости групп и логики:
|
5. Выбрать с помощью выпадающего списка группы из службы каталогов, которые будут использоваться для сопоставления при аутентификации в систему.
6. Настроить привилегии в соответствии с требуемым уровнем доступа для пользователей из указанных групп.
Далее необходимо нажать кнопку Добавить.
Статус только что добавленной роли будет - .
| Примечание |
|---|
Внешняя роль может перейти в статус после применения изменений конфигурации входа в систему (смена внешнего источника или отключение использования внешней аутентификации). Подробное описание поведения внешних ролей при изменении источника аутентификации представлено во встроенной документации в разделе «Роли» → «Особенности при смене внешнего источника» (доступно по кнопке в меню навигации) |
Условия получения внешней роли
Для успешного назначения пользователям внешней роли необходимо выполнение следующих условий:
- Роль должна иметь статус
. Роли со статусом не назначаются. - Связанный с ролью внешний источник должен быть доступен и корректно настроен.
Пользователь должен удовлетворять условию, заданному в настройках роли:
при логике «И» — состоять во всех группах, перечисленных в настройках роли;
при логике «ИЛИ» — состоять хотя бы в одной из указанных групп.
| Информация |
|---|
| Назначение роли проверяется и пересчитывается при каждом входе пользователя на основе актуального состава групп во внешнем источнике. |
Выбор роли при множественном соответствии
Если пользователь соответствует условиям нескольких внешних ролей, назначение выполняется по следующему алгоритму:
1. Приоритет AND перед OR. В первую очередь рассматриваются роли с логикой AND. Если найдена хотя бы одна подходящая AND-роль, роли с логикой OR не рассматриваются.
2. Выбор среди AND-ролей. Из всех подходящих AND-ролей выбирается та, которая требует наличия наибольшего количества групп. Если таких ролей несколько, приоритет отдаётся роли, созданной раньше (с меньшим идентификатором).
3. Выбор среди OR-ролей. Если подходящих AND-ролей нет, система проверяет подходящие OR-роли. Если таких ролей несколько, приоритет отдаётся роли, созданной раньше (с меньшим идентификатором).
Проверка входа под внешней учетной записью
После включения использования внешнего источника в качестве основного источника для аутентификации на странице авторизации появляется вкладка «Корпоративная УЗ» для входа по внешним учетным записям:
Далее необходимо выполнить вход в систему, указав учетные данные внешнего пользователя.
В данном примере вход был успешно выполнен под внешней учетной записью "ivan_ivanov".
При переходе в настройки профиля можно увидеть, что:
- учетная запись является внешней;
- была назначена ранее добавленная внешняя роль "System Admin (External)";
- информация о пользователе (имя, фамилия, email) успешно подтянулась.
Возможные ошибки при попытке входа
Ошибка «У вас недостаточно прав»
Возникает при отсутствии подходящей роли для пользователя.
Возможные причины:
- не настроена внешняя роль, соответствующая группам пользователя;
- настроенная роль имеет статус (например, при смене одного внешнего источника на другой или при отключении внешней аутентификации);
- группы пользователя не считываются из внешнего источника (проблемы с настройкой атрибутов).
| Примечание |
|---|
При использовании схемы Это делает невозможным сопоставление групп и, соответственно, назначение роли. |
Ошибка «Внешний источник недоступен»
Возникает при отсутствии ответа от внешнего источника или его некорректной настройке.
Требуется проверка:
- доступности сервера внешнего источника;
- корректности параметров подключения в настройках источника;
- сетевого взаимодействия между NAICE и внешним сервером.
Общая ошибка аутентификации «Произошла ошибка - обратитесь к администратору»
Возвращается при прочих ошибках аутентификации, не связанных с ролью или доступностью источника. Рекомендуется проверить настройки внешнего источника и обратиться к системным событиям для детальной диагностики.
Диагностика проблем
Детальная информация о причинах ошибок аутентификации доступна в разделе «Мониторинг» → «Система»→ «Системные события».
В таблице событий фиксируются:
- попытки входа пользователей;
- ошибки назначения ролей;
- проблемы подключения к внешним источникам;
- изменения конфигурации входа в систему.







