Описание
В системе NAICE реализована поддержка аутентификации администраторов через внешние службы каталогов (Active Directory, OpenLDAP и др.).
Это позволяет:
- выполнять вход в веб-интерфейс с использованием корпоративных учетных записей;
- автоматически назначать права доступа на основе принадлежности пользователей к группам во внешнем каталоге.
Настройка
Процесс настройки включает пять последовательных этапов:
- Настройка внешнего источника идентификации.
- Настройка сопоставления информации о пользователях системы (опционально).
- Добавление групп из службы каталогов
- Выбор внешнего источника для входа в систему
- Добавление внешней роли
Настройка внешнего источника идентификации
Данный этап предполагает, что настройка интеграции с внешним источником идентификации уже выполнена в соответствии с одной из инструкций:
В результате настройки в системе должен быть создан внешний источник, готовый к добавлению групп и использованию для аутентификации.
Настройка сопоставления информации о пользователях системы (опционально)
При необходимости можно настроить автоматическое заполнение полей учетной записи (имя, фамилия, email) данными из внешнего каталога.
Для этого требуется:
- Открыть созданный внешний источник на редактирование.
- В блоке Сопоставление информации о пользователях системы укажите атрибуты, соответствующие:
- имени пользователя;
- фамилии пользователя;
- адресу электронной почты.
Для схемы "ACTIVE_DIRECTORY" поля атрибутов заполняются автоматически и имеют предустановленные значения:
Для схемы "CUSTOM" поля атрибутов заполняются вручную:
После заполнения атрибутов необходимо нажать Сохранить.
Если атрибуты в каталоге для пользователя не заполнены, соответствующие поля учетной записи останутся пустыми.
Если в каталоге атрибуты отсутствуют у конкретного пользователя, при проверке связи с сервером, даже при успешном подключении к серверу возвращается ошибка вида:
Найдено "10" субъектов, количество групп "3", но не удалось найти поле "mail"
Добавление внешних групп из службы каталогов
После успешной настройки внешнего источника необходимо выгрузить необходимые группы из службы каталогов. Необходимо вернуться к редактированию внешнего источника, перейти во вкладку «Группы» и добавить группы, которые предполагается использовать для сопоставления при аутентификации.
Нажать кнопку Получить данные и выбрать группы, которые требуется добавить. В данном примере добавлена группа "Гости домена".
Группы из внешнего источника необходимы для сопоставления с внешними ролями — пользователь должен состоять в определенных группах, чтобы получить соответствующие права.
Для добавления групп необходимо:
- Открыть внешний источник на редактирование.
- Перейти на вкладку Группы .
- Нажать кнопку
→ Выбрать группы из службы каталогов. - В поле фильтра указать критерии поиска (например,
*гости*) и нажать Получить данные. - Выбрать необходимые группы (например, "
Гости домена").
После выбора необходимых групп нажать кнопку Сохранить.
После сохранения группы становятся доступными для использования в настройках внешних ролей.
Выбор внешнего источника для входа в качестве основного источника аутентификации
Для активации внешней аутентификации требуется:
- Перейти в раздел «Настройки системы» → «Безопасность и доступ» → «Вход в систему».
- Активировать опцию «Использовать внешний источник идентификации в качестве основного источника аутентификации».
- Из выпадающего списка «Источник аутентификации» выбрать ранее настроенный внешний источник.
- Нажать Сохранить.
После сохранения на странице входа появится вкладка «Корпоративная УЗ». Вкладка «Локальная УЗ» остается доступной для входа по локальным учетным записям.
Добавление внешней роли
Для автоматического назначения прав доступа пользователям из внешнего источника необходимо создать внешнюю роль.
Подробнее про ролевую модель можно прочитать в разделе v1.1_6.1. Ролевая модель
Необходимо открыть раздел «Пользователи и устройства» → «Пользователи системы»→ «Роли» и добавить внешнюю роль.
Пример быстрого создания (на основе существующей роли):
Необходимо выделить с помощью чекбокса роль "System Admin" и нажать 
.
В открывшейся форме необходимо:
- Переименовать роль "System Admin" → "System Admin (External)"
- По желанию отредактировать поле "Описание"
- Выбрать тип роли "внешняя". Текущий источник аутентификации подставиться автоматически.
- Выбрать с помощью выпадающего списка группы из службы каталогов, которые будут использоваться для сопоставления при аутентификации в систему.
- Настроить привилегии в соответствии с требуемым уровнем доступа для пользователей из указанных групп.
Далее необходимо нажать кнопку Добавить.
Статус только что добавленной роли будет - 
.
Внешняя роль может перейти в статус 
после применения изменений конфигурации входа в систему (смена внешнего источника или отключение использования внешней аутентификации).
Подробное описание поведения внешних ролей при изменении источника аутентификации представлено во встроенной документации в разделе «Роли» → «Особенности при смене внешнего источника» (доступно по кнопке 
в меню навигации)
Условия получения внешней роли
Для успешного назначения пользователям внешней роли необходимо выполнение следующих условий:
- Роль должна иметь статус
- Связанный с ролью внешний источник должен быть доступен и корректно настроен.
- Пользователь должен состоять во всех группах, перечисленных в настройках внешней роли.
Если пользователю подходят несколько ролей, применяются следующие критерии выбора:
- Приоритет отдается роли с наибольшим количеством указанных групп.
- При равном количестве совпадающих групп выбирается роль, созданная раньше (с меньшим идентификатором).
Проверка входа под внешней учетной записью
После включения использования внешнего источника в качестве основного источника для аутентификации на странице авторизации появляется вкладка «Корпоративная УЗ» для входа по внешним учетным записям:
Далее необходимо выполнить вход в систему, указав учетные данные внешнего пользователя.
В данном примере вход был успешно выполнен под внешней учетной записью "ivan_ivanov".
При переходе в настройки профиля можно увидеть, что:
- учетная запись является внешней;
- была назначена ранее добавленная внешняя роль "System Admin (External)";
- информация о пользователе (имя, фамилия, email) успешно подтянулась.
Возможные ошибки при попытке входа
Ошибка «У вас недостаточно прав»
Возникает при отсутствии подходящей роли для пользователя.
Возможные причины:
- не настроена внешняя роль, соответствующая группам пользователя;
- настроенная роль имеет статус (например, при смене одного внешнего источника на другой или при отключении внешней аутентификации);
- группы пользователя не считываются из внешнего источника (проблемы с настройкой атрибутов).
При использовании схемы CUSTOM для внешнего источника возможна ситуация, когда группы не считываются из-за некорректной настройки атрибутов.
Это делает невозможным сопоставление групп и, соответственно, назначение роли.
Ошибка «Внешний источник недоступен»
Возникает при отсутствии ответа от внешнего источника или его некорректной настройке.
Требуется проверка:
- доступности сервера внешнего источника;
- корректности параметров подключения в настройках источника;
- сетевого взаимодействия между NAICE и внешним сервером.
Общая ошибка аутентификации «Произошла ошибка - обратитесь к администратору»
Возвращается при прочих ошибках аутентификации, не связанных с ролью или доступностью источника. Рекомендуется проверить настройки внешнего источника и обратиться к системным событиям для детальной диагностики.
Диагностика проблем
Детальная информация о причинах ошибок аутентификации доступна в разделе «Мониторинг» → «Система»→ «Системные события».
В таблице событий фиксируются:
- попытки входа пользователей;
- ошибки назначения ролей;
- проблемы подключения к внешним источникам;
- изменения конфигурации входа в систему.