Настройка провайдера LDAP#

Обзор функционала
Параметры провайдера
Правила настройки сопоставления атрибутов LDAP
Создание провайдера
- 1. Настройка Active Directory
- 2. Настройка Trusted.ID
Настройка виджета
- 1. Описание настроек
- 2. Как настроить виджет

🔐 Важно:
Данный функционал доступен в Enterprise-версии Trusted.ID
Приобрести лицензию | Техподдержка

Обзор функционала#

Доверенный провайдер LDAP позволяет организовать единый вход в информационные системы с использованием учетных данных Active Directory.

Ключевые особенности:

Автоматическое создание пользователей при первом входе,
Данные пользователя выгружаются из внешней системы и являются доверенным,
Запрет редактирования профиля пользователями,
Автоматическое обновление данных при каждом входе.

Параметры провайдера#

1. Основные параметры#

Параметр	Описание	Обязательность	Ограничения
Имя	Отображается в интерфейсе личного кабинета и виджета входа	✓	- Макс. 50 символа - Латиница, кириллица, цифры и пробелы
Описание	Краткое описание провайдера	✗	- Макс. 255 символов
Логотип	Иконка для отображения в интерфейсе и виджете входа	✗	- Форматы: JPG, webp, BMP или WEBP - Макс. размер: 1 МБ

2. Параметры подключения#

Параметр	Описание	Обязательность	Ограничения
`ldap_url`	Адрес сервера LDAP/Active Directory	✓	- Должен быть валидным URL (начинаться с `ldap://` или `ldaps://`)
`ldap_base`	Базовый каталог, начиная с которого будет производиться поиск пользователей	✓	- Должен быть корректным DN (например, `dc=example,dc=com`) - Макс. длина: 256 символов
`ldap_domain`	Имя домена, которому принадлежат пользователи	✓	- Должен соответствовать домену в AD (например, `example.com`)
`ldap_filter`	Фильтр поиска пользователя (дополнительные условия)	✗	- Должен быть валидным LDAP-фильтром (например, `(objectClass=user)`)
`ldap_mapping`	Сопоставление атрибутов пользователя (Trusted.ID ↔ AD)	✗	- Формат: `trusted_id_attribute:ldap_attribute` (например, `given_name:givenName`, `family_name:sn`, `email:mail`, `picture:photo`)
`ldap_admin_dn`	Учетная запись администратора для подключения	✓	- Полный DN (например, `cn=admin,dc=example,dc=com`) - Требуются права на чтение пользовательских данных и права на изменений паролей пользователей
`ldap_admin_pwd`	Пароль администратора LDAP	✗	-
`password_error`	Текст ошибки, который будет отображаться пользователю при сбрасывании пароля в LDAP (при получении кода ошибки 0000052D)	✗	-

3. Дополнительные настройки#

Параметр	Описание
Публичный способ входа	При активации настройки провайдер как способ входа будет доступен для добавления в другие приложения сервиса. Редактирование и удаление провайдера доступны только Администратору сервиса.
Требовать подтверждение паролем	При входе пользователя после авторизации во внешней системе идентификации будет запрошен пароль пользователя в сервисе Trusted.ID
Запретить сброс пароля	При активации настройки пользователь не сможет сменить пароль от учетной записи внешней системы. В виджете входа кнопка Сменить пароль будет скрыта.

Правила настройки сопоставления атрибутов LDAP#

Сопоставление атрибутов позволяет настроить сопоставление поля профиля пользователя Trusted.ID с атрибутом пользователя в Active Directory. Если значение поля не задано, используется значение по умолчанию given_name:givenName, family_name:sn, email:mail.

Основные поля пользователя Trusted.ID:

Поле	Описание
`sub`	Идентификатор пользователя
`email`	Адрес электронной почты
`phone_number`	Номер телефона
`nickname`	Публичное имя
`given_name`	Имя
`family_name`	Фамилия
`login`	Логин
`birthdate`	Дата рождения
`picture`	Фото профиля

Допускается настройка сопоставления на дополнительные поля профиля пользователя. В таком случае в качестве поля профиля Trusted.ID указывается Название дополнительного поля.

Возможно задать сопоставление на поле Логин, для того, чтобы логины пользователя в Trusted.ID и во внешней системе совпадали. В этом случае логин во внешней системе должен иметь уникальное значение.

Если в сопоставлении атрибутов отсутствует настройка сопоставления на поле Логин, или логин уже используется для другого пользователя, при автоматической регистрации пользователю в Trusted.ID присваивается внутреннее значение.

Создание провайдера#

1. Настройка Active Directory#

В Active Directory необходимо создать пользователя:

Обладающего правами администратора, с возможностью изменять пароль пользователей в Active Directory;
Состоящего в группе безопасности Администраторы домена.

2. Настройка Trusted.ID#

В сервисе Trusted.ID необходимо создать доверенный провайдер по шаблону LDAP.

Чтобы создать провайдер:

Перейдите в раздел ЛК Trusted ID → вкладка Настройки.
Раскройте блок Доверенные провайдеры и нажмите Настроить.
В открывшемся окне нажмите на кнопку Создать .
Откроется окно со списком шаблонов.
Выберите шаблон провайдера LDAP.
На форме создания заполните поля или вставьте скопированные значения из ранее созданного доверенного провайдера LDAP.
Нажмите Сохранить.

После успешного создания провайдер отобразится в списке.

🔍 Добавьте созданный способ входа в виджет личного кабинета или приложения.

Настройка виджета#

1. Описание настроек#

Параметр	Описание	Формат	По умолчанию
Показывать логотип	Если активно, рядом с названием провайдера будет размещен его логотип	Переключатель (`Вкл`/`Выкл`)	`Выкл`
Заголовок способа входа	Текст в шапке виджета	Текст	`Вход в PROVIDER_TITLE`
Цвет кнопок	Основной цвет фона главных кнопок	HEX	`#2E7D32`
Цвет шрифта на кнопках	Цвет текста на главных кнопках	HEX	`#FFFFFF`
Цвет ссылок	Цвет вспомогательных элементов	HEX	`#1E88E5`

2. Как настроить виджет#

⚠️ Примечание: Настройка параметров виджета входа доступна при редактировании провайдера.

Чтобы настроить виджет входа:

Перейдите в раздел ЛК Trusted ID → вкладка Настройки.
Раскройте блок Доверенные провайдеры и нажмите Настроить.
Откроется окно со списком провайдеров.
Нажмите на кнопку Редактировать , размещенную на панели с провайдером.
Откроется окно Редактировать провайдер.
Установите необходимые настройки виджета.
В Превью просмотрите макет внешнего вида.
Нажмите Сохранить.