Главное Свежее Вакансии   Проекты
575 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Настройка авторизации в Битрикс24 через Active Directory

Пошаговая инструкция как настроить авторизацию через Active Directory в Битрикс24.

Если у вас в компании для управления учётными записями пользователей используют Active Directory (сокращённо AD), то рано или поздно встанет вопрос: «Почему в нашем Битрикс24 пользователи используют какие-то отдельные учётные записи?». И ровно в этот момент вам нужно будет интегрировать Битрикс24 с Active Directory. К счастью, сделать это не так и сложно, если у Вас коробочная версия Битрикс24.

Что нужно знать и понимать до начала подключения:

  1. Если пользователь авторизуется на портале через Active Directory, то пароль не хранится в базе портала. Пара логин/пароль отправляется в AD в момент авторизации и если ответ будет положительный, пользователь будет авторизован.
  2. По-умолчанию модуль настроен так, что если пользователь при авторизации на портале вводит логин и пароль, проверку эта пара в AD проходит, но на портале пользователя с таким логином, то создаётся новый пользователь. Отключить это можно в настройках модуля «AD/LDAP интеграция».
  3. Более того, по-умолчанию, модуль настроен так, что если даже пользователь с таким логином есть, но авторизуется он не через AD, то будет создан новый, который будет авторизоваться через AD.
  4. А значит, до того, как авторизация через AD заработает, нужно проверить две вещи:

  • Логины пользователей портала совпадают с логинами в AD;
  • У пользователей портала установлен тип авторизации не «Внутренняя проверка», а «название вашего подключения к AD». Найти это не просто, потому что опция находится в карточке пользователя в административном разделе, но по-умолчанию она скрыта. Чтобы отобразить её, нужно изменить настройки карточки (шестерёнка в правом верхнем углу).


Проще не искать её, а просто вернуть настройки формы, отобразив тем самым все поля. И вот уже нужное поле на первой же вкладке.


Теперь перейдём к настройке самого подключения. Она производится в административной панели портала в разделе «Настройки» — «AD/LDAP». Заходим в этот раздел и нажимаем «Добавить». Откроется форма добавления подключения к новому серверу Active Directory.


Какой минимальный набор данных нам потребуется:

  • Адрес сервера и порт, по которому мы будем отправлять запросы в AD;
  • Логин и пароль пользователя с правами доступа на чтение к дереву (в формате логин@домен или домен\логин);
  • Домен для NTLM авторизации;
  • Тип подключения (Без шифрования, SSL, TLS).

Указав эти данные нажимаете «Проверить». Если нет ошибок, значит соединение устанавливается корректно и можно продолжать настройку. Если ошибка есть, придётся разбираться вместе с администратором, который работает с AD. Может быть не верный адрес, порт, права пользователя и ещё всё что угодно. Так что проще показать настройки администратору и попросить убедиться, что всё корректно.

Если с первой вкладкой «Сервер» всё хорошо, снимаем галку «Активен» (нам пока рано активировать это подключение), сохраняем и переходим ко второй вкладке.

В первом блоке «Параметры схемы сервера» в 90% случаев ничего трогать не придётся.


Но если у вас что-то отличается (об этом знает только админ) — поменяйте.

Во второй части второй вкладки вам предстоит настроить Соответствие полей пользователя и атрибутов LDAP. То есть в левой колонке вы выбираете поле пользователя в Битрикс24, а в правой пишете код атрибута LDAP, который в это поле нужно записать:


Имейте в виду, что все эти поля будут обновляться при каждой авторизации пользователя по данным из AD. И если в AD поле не заполнено, то и на портале оно затрётся. Поэтому, если не хотите обновлять пользователей, то можете оставить только поле «Активность». Вот оно точно пригодится.

В третьей части второй вкладки можно настроить импорт структуры из AD. Но мы ни разу не сталкивались с тем, чтобы этим кто-то пользовался. Вероятно, связано это с тем, что структура на портале чаще всего не соответствует структуре папок в AD


Резюме по второй вкладке: настраиваем сопоставление полей, которые точно заполнены в AD. Остальное без надобности не трогаем.

Переходим к третьей вкладке: «Группы»

Тут нам предлагается сопоставить группы в AD с группами на портале Битрикс24. Если пользователь AD входит в состав группы, которой в этой таблице поставлена в соответствие группа в Битрикс24, то в момент авторизации пользователю будет добавлена данная группа в настройках профиля. Это довольно удобно


Так же в этом разделе можно указать, какие группы AD не выгружаются в Битрикс24. Чаще всего, сделать это нужно, потому что в AD намного больше пользователей, чем нужно в портале. Не хотелось бы, чтобы любой пользователь, который есть в AD мог авторизоваться на портале, получив доступ к его содержимому, да и забрав на себя лицензию в этот момент. Кроме того, мы на следующей вкладке будем настраивать регулярную выгрузку пользователей.

Вкладка 4: «Синхронизация»

Если нам нужно, чтобы Битрикс24 автоматически получал информацию о пользователях, когда мы добавляем их в AD, а также периодически обновлял данные пользователей (поля, группы, активность), когда мы их меняем в AD, то мы ставим галку «Выполнять периодическую синхронизацию» и указываем период. Можно включить и создание новых пользователей.


После сохранения настройки вступают в силу.

Теперь нам нужно ещё раз убедиться, что мы всё учли, проверить сопоставление полей и групп ещё раз, проверить логины пользователей и тип авторизации, который у них установлен и только после этого активировать на первой вкладке данную настройку.

Одного администратора, кстати, рекомендуем на портале оставить с внутренней авторизацией. Мало ли что.

После активации можно попробовать авторизоваться с данными из AD. Если авторизоваться получилось — проверяем свой профиль и состав групп. Если всё корректно — ура! Мы настроили авторизацию через Active Directory.

За помощью вы всегда можете обратиться в нашу техническую поддержку.

Больше кейсов и проектов можно найти БЛОГЕ

Бесплатный курс внедрения Битрикс24 ТУТ

Подписывайтесь на наш YouTube канал!

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем