Для использования внешней несквозной или сквозной аутентификации настройте подключение к контроллеру домена по протоколу LDAP. Если будет использоваться сквозная аутентификация, то после этого также настройте необходимые протоколы: OpenID Connect 1.0, OAuth 2.0, SAML 2.0 или WS-Federation.

Примечание. Если сотрудники работают в мобильных приложениях Solo или Jazz, настройте сквозную аутентификацию по протоколу OAuth 2.0 на сервисе NOMAD.

Чтобы настроить подключение к контроллеру домена по протоколу LDAP, в конфигураторе Directum Launcher в секции Общие настройки (common_config) добавьте параметры:

•LDAP_SERVER_ADDRESS – адрес сервера с контроллером домена;

•LDAP_SERVER_PORT – порт сервера с контроллером домена. Значение можно не указывать, если оно совпадает со стандартными портами LDAP: 389 или 636;

•LDAP_USE_SSL – использование протокола SSL для подключения к серверу. Возможные значения: флажок установлен (true) – протокол SSL используется, флажок снят (false) – не используется;

•LDAP_SSL_SERVER_CERTIFICATE_THUMBPRINT – отпечаток серверного SSL-сертификата контроллера домена. Если протокол SSL не используется, то параметр заполнять не нужно;

•LDAP_USER_NAME, LDAP_PASSWORD – имя и пароль пользователя для подключения к домену. В зависимости от настроек контроллера домена, может потребоваться указать имя пользователя в формате Distinguished Name (DN);

•LDAP_USER_SEARCH_CONTAINER – контейнер, который содержит доменных пользователей. Поиск пользователей также выполняется в его дочерних контейнерах;

•LDAP_ENABLE_REFERRAL_FOLLOWING – включить обращение к поддоменам. Возможные значения: флажок установлен (true) – обращение включено, флажок снят (false) – выключено. По умолчанию флажок снят. Установите флажок (true), если для подключения к Directum RX помимо основного домена используются поддомены и в лог-файле веб-сервера появляется ошибка вида "LdapReferralException: Search result reference received, and referral following is off (10)".

Пример настройки в config.yml:

LDAP_SERVER_ADDRESS: '192.168.101.135'

LDAP_SERVER_PORT: ''
LDAP_USE_SSL: 'true'
LDAP_SSL_SERVER_CERTIFICATE_THUMBPRINT: '59844FAF1D015D9D387EAB78DA34FBFD959DFF1B'
LDAP_USER_NAME: 'CN=admin,CN=Users,DC=usergroup,DC=lan'
LDAP_PASSWORD: 'password'
LDAP_USER_SEARCH_CONTAINER: 'CN=Users,DC=usergroup,DC=lan'
LDAP_ENABLE_REFERRAL_FOLLOWING: 'true'

Примечание. Если аутентификация настраивается для сервиса интеграции, то укажите параметры в секции IntegrationService.

Если вместо службы каталогов Active Directory используется другая служба, например, OpenLDAP, и после выполненных настроек не работает аутентификация пользователей, то добавьте дополнительные параметры. В остальных случаях эти параметры не рекомендуется менять.

•LDAP_SEARCH_FILTER_TEMPLATE – шаблон фильтра поиска пользователей для аутентификации в системе. По умолчанию значение параметра не задано, а фильтрация выполняется по шаблону:

LDAP_SEARCH_FILTER_TEMPLATE: '(&(objectCategory=user)(objectClass=user)(|(samAccountName={0})(userPrincipalName={0})(distinguishedName={0})(name={0})))

В параметр {0} передается имя учетной записи.

Добавьте этот шаблон в качестве значения параметра и адаптируйте под настройки используемой службы каталогов. Например, если не используется фильтр objectCategory (все объекты), то его нужно убрать из шаблона. Подробнее о параметрах фильтрации см. в документации Microsoft статью «Синтаксис фильтра поиска».

•LDAP_ADDITIONAL_ATTRIBUTES_FOR_USER_MATCHING – дополнительные атрибуты для сопоставления данных пользователя. Через «;» перечислите атрибуты, которые помогут найти пользователя для аутентификации в системе.

Пример настройки:

LDAP_ADDITIONAL_ATTRIBUTES_FOR_USER_MATCHING: 'samAccountName;userPrincipalName;distinguishedName;name;sn'