Синхронизация
Синхронизация доступна только в Расширенной лицензии Пассворка
Пассворк поддерживает синхронизацию групп безопасности из внешних каталогов, таких как Active Directory и OpenLDAP, с группами в Пассворке. Это позволяет централизованно управлять доступом к ресурсам через существующую инфраструктуру каталогов.
Для управления доступами в Пассворк поддерживаются следующие типы доменов:
- Windows-домены (на базе Active Directory);
- Linux-домены (OpenLDAP, FreeIPA, ALD Pro и др.).
Процесс синхронизации включает следующие этапы:
- Выполняется LDAP-запрос на основе данных, указанных на вкладке Пользователи. Пассворк получает список пользователей, каждый из которых содержит массив memberOf с информацией о членстве в LDAP-группах.
- Выполняется LDAP-запрос на основе данных, указанных на вкладке Группы. Пассворк получает список LDAP-групп.
- На основе полученных данных Пассворк формирует список LDAP-групп, сопоставленных с группами в Пассворке.
- Сопоставленные группы Пассворка сравниваются с объединёнными массивами memberOf всех пользователей.
- В случае совпадений Пассворк назначает пользователям соответствующие группы.
- Если включена опция Автоматически создавать новых пользователей из сопоставленных групп LDAP, Пассворк проверяет, зарегистрирован ли каждый найденный пользователь. Если нет — пользователь регистрируется автоматически.
- Если включена опция Автоматически деактивировать пользователей, если они не входят ни одну сопоставленную LDAP-группу, Пассворк проверяет, остаётся ли пользователь членом соответствующих LDAP-групп. Если нет — пользователь автоматически деактивируется.
Вы можете использовать DN-фильтры для получения вложенных групп или пользователей. Вложенные объекты будут отображены, но ограничение групп или сопоставление с группами не будет распространятся на вложенные группы.
Чтобы сопоставить группы Пассворка с группами безопасности, выберите группу безопасности в списке и щелкните кнопку в правой части списка. В открывшемся окне выберите группы и сохраните результат.
Для работы синхронизации необходимо настроить фоновые задачи
Настройки синхронизации позволяют:
- Автоматически деактивировать пользователей, если они не входят в группы LDAP, сопоставленные с группами в Пассворке.
- Автоматически регистрировать новых пользователей из групп LDAP.
- Выбрать тип авторизации, который будет по умолчанию назначаться пользователям из LDAP.
- Задать интервал для синхронизации LDAP.
Пассворк хранит логи синхронизации как часть истории выполнения фоновых задач. Чтобы просмотреть лог синхронизации, щелкните кнопку Перейти ко всем логам в нижней части вкладки Синхронизация или выберите фильтр Синхронизация LDAP на вкладке Задачи в разделе Фоновые задачи.
