Подключение коннектора LDAP в КриптоАРМ IDM#
📋 Эта инструкция входит в серию статей по настройке коннекторов. Общая информация доступна в инструкции Коннекторы в КриптоАРМ IDM.
LDAP-коннектор позволяет подключить внешнюю LDAP/Active Directory систему к КриптоАРМ IDM для импорта, экспорта и синхронизации пользователей.
Содержание:
- Шаг 1. Подготовка внешней системы
- Шаг 2. Создание коннектора
- Шаг 3. Привязка лицензии
- Шаг 4. Настройка коннектора
- Рекомендуемые правила сопоставления полей профиля
- Смотрите также
Шаг 1. Подготовка учетной записи в LDAP#
На стороне внешнего LDAP/Active Directory необходимо подготовить учетную запись, которая будет использоваться для подключения коннектора.
Рекомендуется использовать сервисную учетную запись с правами на чтение каталога пользователей и (при необходимости) изменение паролей.
Учетная запись должна:
- иметь право на выполнение LDAP-запросов к каталогу;
- иметь доступ к области поиска, указанной в параметре
ldap_base; - при необходимости — иметь право на изменение пользовательских атрибутов (например, при включенной синхронизации паролей).
💡 В большинстве случаев используется отдельная сервисная учетная запись, а не административный пользователь домена.
Шаг 2. Создание коннектора#
- Перейдите в панель IDM → Коннекторы.
- Нажмите кнопку Добавить
. -
В открывшемся окне укажите обязательные параметры для подключения:
- Имя коннектора,
- Тип коннектора: LDAP,
- Адрес сервера LDAP (
ldap_url), - База поиска (
ldap_base), - Учетные данные администратора: логин (
ldap_admin_dn) и пароль (ldap_admin_pwd).
💡 Поле Лицензия можно заполнить позже. Подробнее — в разделе Привязка лицензии.
-
Нажмите Создать.
Параметры коннектора#
| Параметр | Обязательное | Описание |
|---|---|---|
| Имя коннектора | ✔ | Отображаемое название коннектора в интерфейсе IDM. Используется для идентификации подключения. |
| Тип коннектора | ✔ | Тип внешней системы |
| Коннектор активен | ✘ | Включает или отключает коннектор. Неактивный коннектор не участвует в синхронизации. |
| Лицензия | ✔ | Лицензия, назначенная коннектору |
| Адрес сервера LDAP (ldap_url) | ✔ | Адрес LDAP-сервера в формате ldaps://example.com |
| База поиска (ldap_base) | ✔ | DN-объект каталога, начиная с которого выполняется поиск |
| Фильтр поиска (ldap_filter) | ✘ | LDAP-фильтр для поиска учетных записей |
| Источник LDAP/AD | ✘ | Логический идентификатор директории |
| База домена (domain_base_dn) | ✘ | Используется для tombstone-поиска удалённых объектов. Можно указать DN (DC=corp,DC=local) или домен (corp.local). |
| Логин администратора (ldap_admin_dn) | ✔ | Учетная запись для подключения к LDAP. |
| Пароль администратора (ldap_admin_pwd) | ✔ | Пароль учетной записи администратора LDAP. |
| Область поиска | ✘ | Определяет глубину поиска объектов |
| Размер страницы | ✘ | Количество объектов в одном запросе |
| Время ожидания (миллисекунды) | ✘ | Максимальное время ожидания ответа сервера |
| Проверять TLS сертификат | ✘ | Проверка TLS/SSL-сертификата сервера |
Шаг 3. Привязка лицензии#
- При создании коннектора найдите поле Лицензия. Если коннектор уже создан, откройте его настройки и перейдите в раздел Параметры подключения → Лицензия.
-
Добавьте лицензию одним из способов:
- Выберите ключ из выпадающего списка (если лицензия уже сохранена в системе),
- Нажмите Добавить и в открывшемся окне введите лицензионный ключ.
-
Сохраните изменения.
Шаг 4. Настройка коннектора#
После создания коннектора выполните настройку в соответствии с инструкциями:
- Режим синхронизации
- Расписание синхронизации
- Правила сопоставления пользователей
- Настройка импорта
- Настройка экспорта
- Сопоставление полей профиля
Рекомендуемые правила сопоставления полей профиля#
При интеграции LDAP-каталогов рекомендуется использовать следующие сопоставления:
| Поле IDM | LDAP атрибут | Рекомендуемая нормализация |
|---|---|---|
email | mail | trim, lowercase |
login | sAMAccountName | trim |
family_name | sn | trim |
given_name | givenName | trim |
phone_number | telephoneNumber | digits_only |
Использование этих правил помогает:
- избежать дублирования пользователей;
- корректно объединять учетные записи;
- минимизировать ошибки сопоставления;
- поддерживать единый формат данных профиля.
Смотрите также#
- Обзор КриптоАРМ IDM — общая информация о системе IDM, её назначении и компонентах.
- Каталог в КриптоАРМ IDM — описание структуры каталога пользователей, групп и папок.
- RBAC модель в КриптоАРМ IDM — описание ролевой модели доступа, ресурсов, ролей и их связи с пользователями и группами.
- Коннекторы в КриптоАРМ IDM — обзор коннекторов в КриптоАРМ IDM, включая принципы работы, типы интеграций и общую модель синхронизации с внешними системами.