Настройка доверенного провайдера LDAP
Примечание: функционал входит в платную версию Pro и требует наличия лицензии.
Доверенный провайдер LDAP предназначен для организации входа в информационные системы по учетным данным (логин/пароль) пользователей в Active Directory (AD).
При первом входе через доверенный провайдер в сервисе Trusted.ID создается пользователь. Профиль такого пользователя не доступен для редактирования самим пользователем. Все данные пользователя выгружаются из внешней системы и являются доверенными.
Обновление данных профиля происходит при каждом входе пользователя в информационную систему через доверенный провайдер.
Настройка на стороне внешней системы
В Active Directory создать пользователя:
- Обладающего правами администратора, с возможностью изменять пароль пользователей в AD;
- Состоящего в группе безопасности **Администраторы домена**.
Настройка на стороне сервиса Trusted.ID
- В сервисе Trusted.ID создать доверенный провайдер по шаблону LDAP.
-
Заполнить настройки:
- Название провайдера;
- Описание провайдера - описание, которое будет отображаться при наведении на способ входа на форме авторизации;
- Логотип провайдера;
- Адрес сервера LDAP (ldap_url);
- База поиска (ldap_base) - каталог, начиная с которого будет производиться поиск пользователей;
- Домен LDAP (ldap_domain);
- Фильтр поиска (ldap_filter) [опционально] – фильтр поиска пользователя;
- Сопоставление атрибутов LDAP (ldap_mapping) [опционально] – сопоставление атрибута пользователя Trusted.ID с атрибутом пользователя в AD (в формате given_name:givenName, family_name:sn, email:mail).
- Логин администратора (ldap_admin_dn) – логин пользователя в AD, созданного на шаге1;
- Пароль администратора (ldap_admin_pwd) - пароль пользователя в AD, созданного на шаге1;
-
Дополнительные параметры провайдера:
- Публичный способ входа – при включении тогла провайдер как способ входа будет доступен для добавления в другие приложения сервиса. Редактирование и удаление провайдера доступны только Владельцу сервиса в настройках личного кабинета;
- Требовать подтверждение паролем –при входе пользователя после авторизации во внешней системе идентификации будет запрошен пароль пользователя в сервисе Trusted.ID;
- Запретить сброс пароля - при включении тогла пользователь не сможет сменить пароль от учетной записи AD. В виджете входа кнопка Сменить пароль будет скрыта;
-
Внешний вид виджета (настройка параметров доступна при редактировании провайдера):
- Показывать логотип в виджете - при включении тогла рядом с названием способа входа отображается изображение, загруженное в качестве логотипа;
- Заголовок способа входа - в строке ввода задается название способа входа, которое отображается в виджете, когда пользователь авторизуется через данный способ входа. По умолчанию Вход на <Название способа входа>;
- Цвет кнопок, Цвет шрифта на кнопках, Цвет ссылок - задается цветовая схема кнопок, текста на кнопках и ссылок по hex-коду.
В Превью отображается макет внешнего вида виджета.
-
Добавить способ входа в виджет сервиса или приложения (подробное описание в п. Настройка виджета входа).
-
В сервис/приложение можно входить, используя созданный способ входа.
Правила настройки сопоставления атрибутов LDAP (ldap_mapping)
Сопоставление атрибутов позволяет настроить сопоставление поля профиля пользователя Trusted.ID с атрибутом пользователя в AD. Если значение поля не задано, используется значение по умолчанию given_name:givenName
, family_name:sn
, email:mail
.
Основные поля пользователя Trusted.ID:
sub
– идентификатор пользователя;email
– адрес электронной почты;phone_number
- номер телефона;nickname
– публичное имя;given_name
– имя;family_name
– фамилия;login
– логин;birthdate
– дата рождения;picture
– фото профиля.
Допускается задать сопоставление на дополнительные поля профиля пользователя. В таком случае в качестве поля профиля Trusted.ID указывается Название дополнительного поля. Подробное описание в п. Дополнительная информация.
Возможно задать сопоставление на поле Логин, для того, чтобы логины пользователя в Trusted.ID и во внешней системе совпадали.
Важно! Логин во внешней системе должен иметь уникальное значение.
В случае, когда в сопоставлении атрибутов отсутствует настройка сопоставления на поле Логин, или логин уже используется для другого пользователя, при автоматической регистрации пользователю в Trusted.ID формируется внутреннее значение.