Раздел предназначен для настройки способов авторизации пользователей в системе, интеграции с LDAP/AD, а также настройки интервалов обновления и хранения пользовательских сессий.

Разрешенные способы аутентификации

В системе могут использоваться одновременно два способа аутентификации: локальная аутентификация, когда логин и пароль учетной записи пользователя хранятся в базе данных системы управления ECCM, и аутентификация с помощью внешнего LDAP-сервера. Включение и выключение способов аутентификации реализовано через виджет "Разрешенные способы аутентификации".

Виджет "Разрешенные способы аутентификации" содержит следующие параметры:

• LDAP — аутентификация пользователей по логину и паролю, которые хранятся на внешнем сервере LDAP. Для использования данного способа аутентификации необходимо настроить параметры для подключения к серверу LDAP в одноименном виджете и создать учетную запись пользователя с типом аккаунта "LDAP" на странице "Настройки" → "Система" → "Пользователи и роли" → "Пользователи" или настроить авторизацию c помощью внешнего LDAP-сервера (см. "Инструкция по настройке интеграции с LDAP/MSAD").
• Локальная — аутентификация пользователей по логину и паролю, которые хранятся локально в базе данных ECCM.

Интервал обновления сессии пользователя

Система управления позволяет настроить интервалы обновления и хранения сессий пользователей. Настройка этих параметров реализована через виджет "Интервал обновления сессии пользователя".

Виджет "Интервал обновления и хранения сессий пользователя" содержит следующие поля:

• Интервал обновления — интервал времени, в течение которого токен доступа пользователя (access-token) считается валидным;
• Интервал хранения — интервал времени, в течение которого сессия пользователя является активной. По истечении этого времени сессия пользователя будет автоматически закрыта, если пользователь не совершал никаких действий в системе (т. е. не происходило обновление токена доступа пользователя).

LDAP

Виджет "LDAP" предназначен для настройки интеграции с внешним LDAP-сервером. Виджет представляет собой совокупность вкладок для настройки параметров подключения к LDAP-серверу, поиска пользователей, ролей и групп в каталогах LDAP и настройки ограничений доступа для LDAP-пользователей.

На виджете отображено:

1. Вкладка "Основные настройки" — параметры для настройки подключения к внешнему LDAP-серверу, поиска пользователей и настройки соответствия между атрибутами LDAP и параметрами учетной записи пользователя ECCM;
2. Вкладка "Роли и группы доступа" — параметры для настройки соответствия атрибутов для получения ролей и групп из внешнего LDAP-сервера;
3. Вкладка "Ограничения пользователей" — параметры для настройки ограничения доступа пользователей к системе согласно LDAP-атрибутам;
4. Меню дополнительных действий:

   1. Кнопка "Очистить настройки" — удаление значений всех полей виджета LDAP;

      Нельзя очистить настройки виджета "LDAP", если включена LDAP-аутентификация.

      
      

   2. Кнопка "Импортировать" —  импорт параметров подключения и авторизации;
   3. Кнопка "Экспортировать" — сохранение параметров подключения и авторизации, настроенных в виджете, в json-файл;

   4. Кнопка "Синхронизация" — актуализация данных из LDAP-сервера.

      После синхронизации система сверит текущие настройки соответствий пользователей с каталогами LDAP-сервера и закроет сессии тех пользователей, которые не удовлетворяют условиям доступа.

      
      

Основные настройки

Во вкладке "Основные настройки" отображаются блоки настроек для подключения к внешнему LDAP-серверу, загрузки корневого сертификата для установки защищенного соединения, настройки соответствия между атрибутами LDAP и параметрами учетной записи пользователя ECCM, проверки подключения и аутентификации с настроенными параметрами.

Подключение к серверу

1. Поле "Адрес сервера" — адрес LDAP-сервера в формате IP-адреса или доменного имени;
2. Поле "Порт" — порт для подключения к LDAP-серверу;
3. Переключатель "Авторизованный доступ" для настройки авторизованного подключения к LDAP-серверу. При включении становятся доступными следующие поля:

   1. Поле "Полный DN учетной записи" — полный DN той учетной записи, от имени которой будет происходить подключение к LDAP-серверу. Пример: "uid=ldap-integration,ou=Management system,ou=Admins,dc=company,dc=loc";

   2. Поле "Пароль учетной записи" — пароль учетной записи, от имени которой будет происходить подключение к LDAP-серверу;
4. Флаг "Безопасное соединение" — использовать безопасное соединение при подключении к LDAP-серверу;
5. Флаг "Отключить проверку адреса сервера" — адрес сервера не будет проверяться на соответствие серверному сертификату;

6. Флаг "Использовать корневой сертификат" — использовать пользовательский корневой сертификат для подключения к LDAP-серверу. Применяется для обеспечения доверия серверу в случае, когда сертификат LDAP-сервера выпущен не общеизвестным центром сертификации;

7. Кнопка "Импортировать" — загрузка на сервер ЕССМ пользовательского корневого сертификата для подключения к LDAP-серверу;
8. Кнопка удаления сертификата — удаление пользовательского корневого сертификата из ЕССМ;
9. Кнопка "Проверить" — тестовое подключение к LDAP-серверу. В случае, если проверка подключения к LDAP-серверу прошла успешно, рядом с кнопкой появится иконка. При возникновении ошибки подключения к серверу с настроенными параметрами рядом с кнопкой отобразится иконка.

Поиск пользователей

1. Поле "Базовый DN для поиска пользователей" — базовый DN для поиска пользователей в каталогах LDAP-сервера при создании нового пользователя или аутентификации существующего;
2. Поле "Атрибут username" — атрибут, в котором на LDAP-сервере хранится информация о логине пользователя;
3. Кнопка "Проверить" — проверка аутентификации с заданными параметрами. При нажатии на кнопку откроется соответствующее диалоговое окно:

Введите в поля имя пользователя и пароль существующего LDAP-пользователя и нажмите кнопку "Проверить". Если данные для подключения к серверу и поиска пользователей были введены верно, аутентификация пользователя пройдет успешно и рядом с кнопкой "Проверить" отобразится иконка :

В случае неуспешной аутентификации пользователя рядом с кнопкой "Проверить" отобразится иконка :

Соответствие атрибутов LDAP — настройка соответствия атрибутов LDAP параметрам учетной записи пользователя системы управления ECCM:

1. Поле "Атрибут имя" — атрибут, в котором на LDAP-сервере хранится информация об имени пользователя;
2. Поле "Атрибут фамилия" — атрибут, в котором на LDAP-сервере хранится информация о фамилии пользователя;
3. Поле "Атрибут отчество" — атрибут, в котором на LDAP-сервере хранится информация об отчестве пользователя;
4. Поле "Атрибут e-mail" — атрибут, в котором на LDAP-сервере хранится информация о e-mail пользователя;
5. Поле "Атрибут номер телефона" — атрибут, в котором на LDAP-сервере хранится информация о номере телефона пользователя;
6. Кнопка "Проверить" — позволяет проверить получение атрибутов с LDAP-сервера. При нажатии на кнопку откроется соответствующее диалоговое окно:

Введите в поле "Имя пользователя" логин существующего LDAP-пользователя и нажмите кнопку "Проверить". Если поиск пользователя прошел успешно, то в окне отобразятся новые поля с заполненными значениями из указанных атрибутов LDAP:

Если пользователь с данным именем не найден, рядом с кнопкой "Проверить" отобразится иконка :

Для сохранения изменений в виджете "LDAP" нажмите на кнопку "Сохранить". Для отмены изменений и возврата к последнему сохраненному состоянию нажмите на кнопку "Сбросить".

Роли и группы доступа

Во вкладке "Роли и группы доступа" отображаются блоки настроек соответствия атрибутов для получения ролей и групп доступа из LDAP, настроек соответствий ролей и групп доступа ЕССМ группам внешнего LDAP-сервера и проверки поиска пользователей в каталогах внешнего LDAP-сервера.

Соответствие атрибутов для получения ролей и групп доступа из LDAP

1. Поле "Базовый DN для поиска групп" — базовый DN, с которого начинается поиск групп в каталогах LDAP-сервера;
2. Поле "Атрибут DN" — атрибут, в котором на LDAP-сервере хранятся DN записей (distinguished name — уникальный идентификатор записи в рамках LDAP-каталога);
3. Поле "Атрибут членства пользователя в группе" — атрибут группы, в котором на LDAP-сервере хранится информация о входящих в эту группу пользователях.
4. Переключатель "Получать роли для LDAP пользователей из LDAP — активация получения ролей из LDAP-каталогов для LDAP-пользователей;
5. Переключатель "Получать группы доступа для LDAP пользователей из LDAP — активация получения групп доступа из LDAP-каталогов LDAP-пользователей;
6. Поле "Политика при невозможности определить роль" — действие системы при невозможности определить роль для LDAP-пользователя при его авторизации. Система не сможет определить роль пользователя, если она не была определена в блоке настроек "Соответствие ролей" или пользователю присвоены несколько ролей из блока. В таких случаях к LDAP-пользователю будет применена указанная политика;

7. Поле "Политика при невозможности определить группу доступа" — действие системы при невозможности определить группу доступа для LDAP-пользователя при его авторизации. Система не сможет определить группу доступа пользователя в случае, если в блоке "Соответствие групп доступа" не было установлено соответствие группы пользователя из LDAP с группой из системы управления ECCM.

Настройка соответствия ролей и групп доступа

В блоке "Соответствие ролей" группе LDAP устанавливается соответствие системной роли ECCM, которая будет присваиваться пользователю при авторизации в системе.  

Кнопка "Добавить" добавляет новую строку в раздел для настройки соответствия "Роль в ЕССМ ↔ Группа в LDAP". В поле "Роль" выберите одну из существующих в ЕССМ ролей, далее нажмите кнопку "Выбрать группу в LDAP": откроется диалоговое окно выбора группы, которое представляет собой дерево каталогов LDAP:

Укажите LDAP-группу, которая будет соответствовать выбранной роли в системе, и нажмите "Выбрать". 

Проверить корректность настройки соответствий можно нажатием кнопки "Проверить": откроется диалоговое окно с результатами поиска пользователей в указанных каталогах LDAP:

Если соответствия настроены верно, то рядом с кнопкой "Проверить" отобразится иконка :

Если соответствия настроены некорректно или не удалось определить LDAP-группу, то рядом с кнопкой "Проверить" отобразится иконка :

Соответствие групп доступа ЕССМ каталогам LDAP устанавливается аналогичным образом в блоке "Соответствие групп доступа".

Ограничения пользователей

Во вкладке "Ограничения пользователей" отображаются настройки ограничения доступа к системе для LDAP-пользователей. Во вкладке отображено:

1. Переключатель "Проверять ограничения пользователей" — активирует автоматическую блокировку доступа LDAP-пользователей к системе, которые попадают хотя бы под одно из условий ограничения;
2. Поле "Используемый LDAP сервер" — определяет тип LDAP-сервера. Возможные значения: "Другой LDAP сервер", "Microsoft Active Directory".

Если выбран "Другой LDAP сервер", то настройка осуществляется через предоставление названий атрибутов и их значений, которые определяют ограничения учетной записи. При нажатии кнопки "Добавить" появляется соответствие "Название атрибута ↔ Значение атрибута" для настройки условия ограничения.

Если выбран "Microsoft Active Directory", то настройка осуществляется путем выбора одного или более встроенных в данном сервере индикаторов ограничений учетной записи.

Проверка ограничений учетной записи MS AD осуществляется по следующим индикаторам:

• Аккаунт отключен — учетная запись пользователя в MS AD отключена (атрибут userAccountControl включает флаг ACCOUNTDISABLE);
• Аккаунт заблокирован — учетная запись пользователя в MS AD заблокирована (атрибут userAccountControl включает флаг LOCKOUT);
• Срок действия пароля истек — срок действия пароля учетной записи пользователя в MS AD истек (атрибут userAccountControl включает флаг PASSWORD_EXPIRED).

Для проверки корректности настроек ограничений пользователей нажмите на кнопку "Проверить": откроется диалоговое окно. Введите имя пользователя в соответствующее поле и нажмите кнопку "Проверить". Если условие ограничения не выполняется, то будет отображена иконка(доступ разрешен):

Если условие ограничения выполняется, то будет отображена иконка (доступ запрещен):