Настройка доверенного провайдера LDAP

Примечание: функционал входит в платную версию Pro и требует наличия лицензии.

Доверенный провайдер LDAP предназначен для организации входа в информационные системы по учетным данным (логин/пароль) пользователей в Active Directory (AD).

При первом входе через доверенный провайдер в сервисе Trusted.ID создается пользователь. Профиль такого пользователя не доступен для редактирования самим пользователем. Все данные пользователя выгружаются из внешней системы и являются доверенными.

Обновление данных профиля происходит при каждом входе пользователя в информационную систему через доверенный провайдер.

Создание провайдера

Шаг 1. Настройка на стороне внешней системы

В Active Directory необходимо создать пользователя:

  • Обладающего правами администратора, с возможностью изменять пароль пользователей в AD;
  • Состоящего в группе безопасности Администраторы домена.

Шаг 2. Настройка на стороне сервиса Trusted.ID

В сервисе Trusted.ID необходимо создать доверенный провайдер по шаблону LDAP.

Для создания провайдера LDAP необходимо:

  1. Перейти в раздел Приложения → вкладка Настройки.

  2. Раскрыть блок Доверенные провайдеры и нажать Настроить.

    Настройки доверенного провайдера

  3. В открывшемся окне Настроить провайдеры нажать Создать Добавление доверенного провайдера.

  4. Выбрать шаблон провайдера LDAP.

    Выбор шаблона доверенного провайдера

  5. В открывшейся форме создания провайдера заполнить настройки:

    • Название приложения - название, которое будет отображаться в интерфейсе сервиса Trusted.ID и виджете входа;
    • Описание приложения - краткое описание, которое будет отображаться в интерфейсе сервиса Trusted.ID;
    • Логотип приложения - изображение, которое будет отображаться в интерфейсе сервиса Trusted.ID и виджете входа;

    provider-ldap-main.png

    • Адрес сервера LDAP (ldap_url);
    • База поиска (ldap_base) - каталог, начиная с которого будет производиться поиск пользователей;
    • Домен LDAP (ldap_domain);
    • Фильтр поиска (ldap_filter) [опционально] – фильтр поиска пользователя;
    • Сопоставление атрибутов LDAP (ldap_mapping) [опционально] – сопоставление атрибута пользователя Trusted.ID с атрибутом пользователя в AD (в формате given_name:givenName, family_name:sn, email:mail).
    • Логин администратора (ldap_admin_dn) – логин пользователя в AD, созданного на шаге1;
    • Пароль администратора (ldap_admin_pwd) - пароль пользователя в AD, созданного на шаге1;

    provider-ldap-params.png

    • Дополнительные параметры провайдера:

      • Публичный способ входа – при включении тогла провайдер как способ входа будет доступен для добавления в другие приложения сервиса. Редактирование и удаление провайдера доступны только Владельцу сервиса в настройках личного кабинета;
      • Требовать подтверждение паролем – при входе пользователя после авторизации во внешней системе идентификации будет запрошен пароль пользователя в сервисе Trusted.ID;
      • Запретить сброс пароля - при включении тогла пользователь не сможет сменить пароль от учетной записи AD. В виджете входа кнопка Сменить пароль будет скрыта;

    provider-ldap-addition.png

  6. Нажать Сохранить.

Добавьте способ входа в виджет сервиса или приложения. Подробное описание в инструкции Добавление способов входа.

Настройка виджета входа

Настройка параметров виджета входа доступна при редактировании провайдера.

Для настройки виджета необходимо:

  1. Перейти в раздел Приложения → вкладка Настройки.
  2. В блоке Доверенные провайдеры нажать Настроить.
  3. Откроется окно Настроить провайдеры.
  4. Нажать на кнопку Редактировать, размещенную на панели с провайдером.
  5. Откроется окно Редактировать провайдер.

  6. Установить настройки:

    • Показывать логотип в виджете - при включении тогла рядом с названием способа входа отображается изображение, загруженное в качестве логотипа;
    • Заголовок способа входа - в строке ввода задается название способа входа, которое отображается в виджете, когда пользователь авторизуется через данный способ входа. По умолчанию Вход на <Название способа входа>;
    • Цвет кнопок, Цвет шрифта на кнопках, Цвет ссылок - задается цветовая схема кнопок, текста на кнопках и ссылок по hex-коду.

    В Превью отображается макет внешнего вида виджета.

    provider-ldap-preview.png

  7. Нажать Сохранить.

Правила настройки сопоставления атрибутов LDAP (ldap_mapping)

Сопоставление атрибутов позволяет настроить сопоставление поля профиля пользователя Trusted.ID с атрибутом пользователя в AD. Если значение поля не задано, используется значение по умолчанию given_name:givenName, family_name:sn, email:mail.

Основные поля пользователя Trusted.ID:

  • sub – идентификатор пользователя;
  • email – адрес электронной почты;
  • phone_number - номер телефона;
  • nickname – публичное имя;
  • given_name – имя;
  • family_name – фамилия;
  • login – логин;
  • birthdate – дата рождения;
  • picture – фото профиля.

Допускается задать сопоставление на дополнительные поля профиля пользователя. В таком случае в качестве поля профиля Trusted.ID указывается Название дополнительного поля. Подробное описание в инструкции Дополнительная информация.

Возможно задать сопоставление на поле Логин, для того, чтобы логины пользователя в Trusted.ID и во внешней системе совпадали.

Важно! Логин во внешней системе должен иметь уникальное значение.

В случае, когда в сопоставлении атрибутов отсутствует настройка сопоставления на поле Логин, или логин уже используется для другого пользователя, при автоматической регистрации пользователю в Trusted.ID формируется внутреннее значение.