Если у вас в компании для управления учётными записями пользователей используют Active Directory (сокращённо AD), то рано или поздно встанет вопрос: «Почему в нашем Битрикс24 пользователи используют какие-то отдельные учётные записи?». И ровно в этот момент вам нужно будет интегрировать Битрикс24 с Active Directory. К счастью, сделать это не так и сложно, если у Вас коробочная версия Битрикс24.
Что нужно знать и понимать до начала подключения:
- Если пользователь авторизуется на портале через Active Directory, то пароль не хранится в базе портала. Пара логин/пароль отправляется в AD в момент авторизации и если ответ будет положительный, пользователь будет авторизован.
- По-умолчанию модуль настроен так, что если пользователь при авторизации на портале вводит логин и пароль, проверку эта пара в AD проходит, но на портале пользователя с таким логином, то создаётся новый пользователь. Отключить это можно в настройках модуля «AD/LDAP интеграция».
- Более того, по-умолчанию, модуль настроен так, что если даже пользователь с таким логином есть, но авторизуется он не через AD, то будет создан новый, который будет авторизоваться через AD.
- А значит, до того, как авторизация через AD заработает, нужно проверить две вещи:
-
Логины пользователей портала совпадают с логинами в AD;
-
У пользователей портала установлен тип авторизации не «Внутренняя проверка», а «название вашего подключения к AD». Найти это не просто, потому что опция находится в карточке пользователя в административном разделе, но по-умолчанию она скрыта. Чтобы отобразить её, нужно изменить настройки карточки (шестерёнка в правом верхнем углу).
Проще не искать её, а просто вернуть настройки формы, отобразив тем самым все поля. И вот уже нужное поле на первой же вкладке.
Теперь перейдём к настройке самого подключения. Она производится в административной панели портала в разделе «Настройки» - «AD/LDAP». Заходим в этот раздел и нажимаем «Добавить». Откроется форма добавления подключения к новому серверу Active Directory.
Какой минимальный набор данных нам потребуется:
-
Адрес сервера и порт, по которому мы будем отправлять запросы в AD;
-
Логин и пароль пользователя с правами доступа на чтение к дереву (в формате логин@домен или домен\логин);
-
Домен для NTLM авторизации;
-
Тип подключения (Без шифрования, SSL, TLS).
Указав эти данные нажимаете «Проверить». Если нет ошибок, значит соединение устанавливается корректно и можно продолжать настройку. Если ошибка есть, придётся разбираться вместе с администратором, который работает с AD. Может быть не верный адрес, порт, права пользователя и ещё всё что угодно. Так что проще показать настройки администратору и попросить убедиться, что всё корректно.
Если с первой вкладкой «Сервер» всё хорошо, снимаем галку «Активен» (нам пока рано активировать это подключение), сохраняем и переходим ко второй вкладке.
В первом блоке «Параметры схемы сервера» в 90% случаев ничего трогать не придётся.
Но если у вас что-то отличается (об этом знает только админ) – поменяйте.
Во второй части второй вкладки вам предстоит настроить Соответствие полей пользователя и атрибутов LDAP. То есть в левой колонке вы выбираете поле пользователя в Битрикс24, а в правой пишете код атрибута LDAP, который в это поле нужно записать:
Имейте в виду, что все эти поля будут обновляться при каждой авторизации пользователя по данным из AD. И если в AD поле не заполнено, то и на портале оно затрётся. Поэтому, если не хотите обновлять пользователей, то можете оставить только поле «Активность». Вот оно точно пригодится.
В третьей части второй вкладки можно настроить импорт структуры из AD. Но мы ни разу не сталкивались с тем, чтобы этим кто-то пользовался. Вероятно, связано это с тем, что структура на портале чаще всего не соответствует структуре папок в AD
Резюме по второй вкладке: настраиваем сопоставление полей, которые точно заполнены в AD. Остальное без надобности не трогаем.
Переходим к третьей вкладке: «Группы»
Тут нам предлагается сопоставить группы в AD с группами на портале Битрикс24. Если пользователь AD входит в состав группы, которой в этой таблице поставлена в соответствие группа в Битрикс24, то в момент авторизации пользователю будет добавлена данная группа в настройках профиля. Это довольно удобно
Так же в этом разделе можно указать, какие группы AD не выгружаются в Битрикс24. Чаще всего, сделать это нужно, потому что в AD намного больше пользователей, чем нужно в портале. Не хотелось бы, чтобы любой пользователь, который есть в AD мог авторизоваться на портале, получив доступ к его содержимому, да и забрав на себя лицензию в этот момент. Кроме того, мы на следующей вкладке будем настраивать регулярную выгрузку пользователей.
Вкладка 4: «Синхронизация»
Если нам нужно, чтобы Битрикс24 автоматически получал информацию о пользователях, когда мы добавляем их в AD, а также периодически обновлял данные пользователей (поля, группы, активность), когда мы их меняем в AD, то мы ставим галку «Выполнять периодическую синхронизацию» и указываем период. Можно включить и создание новых пользователей.
После сохранения настройки вступают в силу.
Теперь нам нужно ещё раз убедиться, что мы всё учли, проверить сопоставление полей и групп ещё раз, проверить логины пользователей и тип авторизации, который у них установлен и только после этого активировать на первой вкладке данную настройку.
Одного администратора, кстати, рекомендуем на портале оставить с внутренней авторизацией. Мало ли что.
После активации можно попробовать авторизоваться с данными из AD. Если авторизоваться получилось – проверяем свой профиль и состав групп. Если всё корректно – ура! Мы настроили авторизацию через Active Directory.
За помощью вы всегда можете обратиться в нашу техническую поддержку.
