Синхронизация
Синхронизация доступна только в расширенной редакции Пассворк
Синхронизация позволяет сопоставить группы безопасности из Active Directory и OpenLDAP с ролями в Пассворке. Для управления доступами и ролями в Пассворке доступно использование доменов на базе Windows (Active Directory) и Linux (OpenLDAP, FreeIPA, ALD Pro и т.д.).
Работа синхронизации включает следующие этапы:
- Выполняется LDAP-запрос в соответствии с введенными на вкладке Пользователи данными. Пассворк получает список пользователей, который содержит для каждого пользователя массив данных memberOf.
- Выполняется LDAP-запрос в соответствии с введенными на вкладке Группы данными. Пассворк получает список групп.
- Пассворк на основании полученного списка групп формирует список групп, которые были сопоставлены с ролями.
- Пассворк проводит сравнение списка групп, сопоставленных с ролями, и массива, составленного из массивов memberOf каждого пользователя.
- В случае, если данные совпадают, Пассворк назначает пользователю роли, которые были сопоставлены с соответствующей группой.
- Если включена опция Автоматически регистрировать новых пользователей из групп LDAP, выполняется проверка, зарегистрирован ли в Пассворке пользователь, для которого найдены совпадения.
- Если включена опция Автоматически деактивировать пользователей, если они не входят в группы LDAP, сопоставленные с ролями, выполняется проверка на предмет принадлежности пользователя к группам с сопоставленными ролями. В случае, если пользователь не является членом таких групп, он будет автоматически деактивирован.
Вы можете использовать DN-фильтры для получения вложенных групп или пользователей. Вложенные объекты будут отображены, но ограничение групп или сопоставление с ролями, не будет распространятся на вложенные группы.
Чтобы сопоставить роли с группами безопасности, выберите группу безопасности в списке и щелкните кнопку в правой части списка. В открывшемся окне выберите группы и сохраните результат.
Для работы Синхронизации необходимо настроить фоновые задачи
Настройки синхронизации позволяют:
- Автоматически деактивировать пользователей, если они не входят в группы LDAP, сопоставленные с ролями.
- Автоматически регистрировать новых пользователей из групп LDAP.
- Выбрать тип авторизации, который будет по умолчанию назначаться пользователям из LDAP.
- Задать интервал для синхронизации LDAP.
Пассворк хранит логи синхронизации как часть истории выполнения фоновых задач. Чтобы просмотреть лог синхронизации, щелкните кнопку Перейти ко всем логам в нижней части вкладки Синхронизация или выберите фильтр Синхронизация LDAP на вкладке История задач в разделе Фоновые задачи.
