Настройка способа входа LDAP

Примечание: функционал входит в платную версию Pro и требует наличия лицензии.

Способ входа LDAP предназначен для организации входа в информационные системы по учетным данным (логин/пароль) пользователей в Active Directory (AD).

Настройка на стороне внешней системы

  1. В Active Directory создать пользователя:

  2. обладающего правами администратора, с возможностью изменять пароль пользователей в AD;

  3. Состоящего в группе безопасности Администраторы домена.

Настройка на стороне сервиса Trusted.ID

  1. В сервисе Trusted.ID создать провайдер по шаблону LDAP.
  2. Заполнить настройки способа входа:
    • Название способа входа;
    • Описание способа входа - описание, которое будет отображаться при наведении на способ входа на форме авторизации;
    • Логотип способа входа;
      provider-ldap-main.png
    • Адрес сервера LDAP (ldap_url);
    • База поиска (ldap_base) - каталог, начиная с которого будет производиться поиск пользователей;
    • Домен LDAP (ldap_domain);
    • Фильтр поиска (ldap_filter) [опционально] – фильтр поиска пользователя;
    • Сопоставление атрибутов LDAP (ldap_mapping) [опционально] – сопоставление атрибута пользователя Trusted.ID с атрибутом пользователя в AD (в формате given_name:givenName, family_name:sn, email:mail). Если значение поля не задано, будет использоваться значение по умолчанию.
      Возможно задать сопоставление на поле Логин, для того, чтобы логины пользователя в Trusted.ID и внешней системе совпадали.
      Важно! Логин во внешней системе должен иметь уникальное значение.
      В случае, когда в сопоставлении атрибутов отсутствует настройка сопоставления на поле Логин, или логин уже используется для другого пользователя, при авторегистрации пользователю формируется внутреннее значение.
    • Логин администратора (ldap_admin_dn) – логин пользователя в AD, созданного на шаге1;
    • Пароль администратора (ldap_admin_pwd) - пароль пользователя в AD, созданного на шаге1;
      provider-ldap-params.png
    • Дополнительные параметры способа входа:
    • Публичный способ входа – при включении тогла способ входа будет доступен для добавления в другие приложения сервиса. Редактирование и удаление способа входа доступны только Владельцу сервиса в настройках личного кабинета;
    • Требовать подтверждение паролем –при входе пользователя после авторизации во внешней системе идентификации будет запрошен пароль пользователя в сервисе Trusted.ID;
    • Запретить сброс пароля - при включении тогла пользователь не сможет сменить пароль от учетной записи AD. В виджете входа через данный способ входа ссылка Сменить пароль будет скрыта;
    • Авторегистрация пользователей – при первой авторизации пользователя через данный способ входа, в сервисе будет автоматически создан профиль пользователя с данными из внешней системы идентификации;
    • Не требовать наличие электронной почты – при входе пользователя в сервис через данный способ входа при отсутствии адреса электронной почты в профиле не будет требоваться его добавление.
      provider-ldap-addition.png
  3. Внешний вид виджета (параметры доступны при редактировании способа входа):
    • Показывать логотип способа входа в виджете - при включении тогла рядом с названием способа входа отображается изображение, загруженное в качестве логотипа;
    • Заголовок провайдера - в строке ввода задается название способа входа, которое отображается в виджете, когда пользователь авторизуется через данный способ входа. По умолчанию Вход на <Название способа входа>;
    • Цвет кнопок, Цвет шрифта на кнопках, Цвет ссылок - задается цветовая схема кнопок, текста на кнопках и ссылок по hex-коду.
      В Превью отображается макет внешнего вида виджета.
      provider-ldap-preview.png
  4. При необходимости, добавить способ входа в виджет сервиса или приложения.
  5. В сервис/приложение можно входить, используя созданный способ входа.

provider-ldap-widget.png