Аутентификация через LDAP и интеграция с адресной книгой LDAP

Аутентификацию пользователей в Платформе IVA MCU можно выполнять при помощи службы LDAP-каталогов. В качестве наиболее часто используемого варианта далее приведено описание каталога Microsoft для операционных систем семейства Windows Server — Active Directory.

Платформа IVA MCU также позволяет провести поиск не только по адресной книге Платформы, но и в адресных книгах LDAP.

Во время добавления серверов LDAP, при необходимости, можно разделить аутентификацию через один сервер LDAP, а интеграцию с адресной книгой через другой сервер LDAP.

Для настройки аутентификации через сервера LDAP и интеграции с адресной книгой серверов LDAP, необходимо:

перейти к списку LDAP-серверов:
Войти в web-панель администрирования → Перейти в раздел LDAP → Выбрать домен (если их несколько) → Нажать кнопку LDAP сервера
добавить LDAP-сервер:
Нажать кнопку Добавить LDAP сервер → Создание → Ввести данные (обязательные поля для заполнения: Название, Доменное имя, Адрес сервера, Отличительное имя подключения (bind DN), Пароль подключения (bind credential), База поиска (base context DN), Фильтр поиска (base filter) → Нажать кнопку Создать

При добавлении LDAP-сервера Платформа учитывает выбранные типы аутентификации:

если параметр Учетные данные не выбран, то Платформа не использует данный LDAP-сервер для аутентификации пользователей по логину / паролю
если параметр ADFS SAML не выбран, то Платформа не использует данный LDAP-сервер для поиска пользователей и дальнейшей их аутентификации через внешнего провайдера аутентификации
если параметр Kerberos не выбран, то система не использует данный LDAP-сервер для поиска пользователей и дальнейшей их аутентификации по Kerberos

Локальный пользователь Платформы (кроме Главного администратора системы и Администратора системы) не сможет авторизоваться, если в настройках домена / системных настройках (в секции Системные настройки) отключена функция Возможность аутентификации локальных пользователей и настроен хотя бы один внешний сервер аутентификации или один LDAP-сервер с возможностью аутентификации по логину и паролю.
Чтобы у локальных пользователей была возможность авторизоваться с помощью своих учетных данных, данная функция должна быть включена

Если при авторизации пользователя с помощью LDAP с использованием профиля Active Directory не находится его профиль в Платформе IVA MCU, то создается новый профиль, параметры которого заполняются из атрибутов LDAP-записи. Далее этот профиль IVA MCU используется в качестве профиля для вошедшего пользователя.

Все параметры профиля пользователя Платформы IVA MCU автоматически синхронизируются со значениями из Active Directory в следующих случаях:

при каждом входе пользователя в Платформу в соответствии с режимом, указанном в настройке Синхронизация пользователя при аутентификации в системных настройках параметров LDAP
периодически в соответствии со значением настройки Периодичность проверки пользователей в системных / доменных настройках параметров LDAP
периодически (каждые 24 часа), если включена настройка Автоматическая синхронизация пользователей в разделе LDAP

Если в настройках атрибутов LDAP на вкладке Атрибуты пользователей заполнен атрибут Дата изменения пароля пользователя, то при изменении пароля сессия пользователя будет автоматически завершена, и потребуется авторизация пользователя по новому паролю

Блокировка LDAP-пользователей

Чтобы в Платформе IVA MCU LDAP-пользователь считался заблокированным, необходимо, чтобы этот пользователь больше не передавался в Платформу IVA MCU согласно фильтру, настроенному в LDAP-коннекторе.

В случае такой блокировки в профиле пользователя в поле Пользователь заблокирован появится запись Пользователь заблокирован из EXTERNAL.

Если LDAP-сервер будет возвращать данные пользователя в Платформу IVA MCU, то этот пользователь не будет считаться заблокированным в Платформе