Синхронизации¶
В разделе Синхронизации (AD, LDAP) настраивается соответствие полей между "Первой Формой" и внешними сервисами.
ℹ️ Для каждого сервиса может быть только одна активная настройка синхронизации
Для добавления новой синхронизации нажмите кнопку Создать и в открывшемся окне заполните обязательные поля.
В поле Сервис можно выбрать один из настроенных сервисов. Сейчас в системе поддерживается один вид синхронизации, он используется для синхронизации учетных записей пользователей "Первой Формы" с учетными записями выбранного сервиса.
После создания новая синхронизация появится в таблице.
Для редактирования существующей синхронизации нажмите на строку списка — она перейдёт в режим редактирования.
По клику на ссылку в колонке Настройки откроется окно для настройки параметров синхронизации пользователей.
Настройки синхронизации¶
Настройка параметров синхронизации:
| Параметр | Описание |
|---|---|
| Синхронизация с AD | Если параметр включен, то информация о пользователях системы "Первая Форма" будет синхронизироваться с информацией в Active Directory в соответствии с расписанием задания ADSyncJob |
| Данные пользователей | Если параметр включен, то система будет синхронизировать данные пользователей в соответствии с настройками |
| Названия групп | Если параметр включен, то система будет синхронизировать названия групп в системе "Первая Форма" с данными в Active Directory |
| Создание новых групп | Если параметр включен, то новые группы из AD будут автоматически создаваться в системе "Первая Форма" |
| Членство пользователей | Если параметр включен, то система "Первая Форма" будет синхронизировать состав групп в системе "Первая Форма" с данными из Active Directory |
| Вложенность групп | Если параметр включен, то система "Первая Форма" будет синхронизировать связи групп между собой в системе "Первая Форма" с данными из Active Directory |
| Создавать пользователей из AD | Если параметр включен, то система "Первая Форма" будет автоматически создавать новых пользователей при появлении информации о них в AD |
| Создавать новых пользователей из AD по расписанию | Если параметр включен, то система "Первая Форма" будет автоматически создавать новых пользователей из AD на основании параметров маппинга и настроек для новых пользователей по умолчанию, в соответствии с расписанием задания ADSyncJob |
| Логины при синке с AD сохранять в формате Domain\Nick | Если параметр включен, то логины пользователей будут содержать названия доменов. Функция нужна, если приложение работает в нескольких доменах, и там есть пользователи с одинаковыми никами |
| Только орг. единиц из Active Directory | Если параметр отключен, то при синхронизации из AD все существующие орг. единицы пользователя затираются, а новые орг. единицы добавляются пользователю. Если параметр включен, то при синхронизации из AD затираются только те существующие орг. единицы пользователя, которые ранее были добавлены из AD. Новые орг. единицы также добавляются пользователю. Таким образом, включенный параметр позволяет сохранить существующие орг. единицы, добавленные пользователю вручную в интерфейсе администрирования или в рамках синхронизаций с другими системами и сервисами |
| Маска для создания групп из AD | Все группы в Active Directory, соответствующие введенным маскам, будут автоматически создаваться в системе |
| Организационные единицы для синхронизации из AD | Дерево орг. единиц (OU) из Active Directory. При синхронизации в "Первой Форме" будут автоматически создаваться пользователи из отмеченных орг. единиц. Если не отмечена ни одна орг. единица, то при синхронизации проверяются пользователи по всей орг.структуре. Созданным пользователям сразу же выдаются лицензии на работу в "Первой Форме" (если есть свободные лицензии) |
| AD фильтр пользователей | Отбор и фильтрация синхронизируемых учетных записей пользователей. Максимально доступное количество символов для ввода — 1000. Синтаксис фильтров можно посмотреть здесь. Примеры: (|(company=1Forma)(city=Moscow)) |
| AD фильтр групп | Отбор и фильтрация синхронизируемых групп. Синтаксис фильтров можно посмотреть здесь. Примеры: (|(company=1Forma)(city=Moscow)) |
| Максимально допустимое количество обновлений при синхронизации с AD | В случае, если в задании по синхронизации данных из Active Directory количество обновляемых строк превышает указанное значение, то обновления не происходит. Чтобы все же выполнить обновление, соответствующее задание можно запустить вручную |
| Информация о требуемой сложности пароля в AD | Текст сообщения о недостаточной сложности пароля. Если параметр указан, то при соответствующей ошибке (от AD) пользователю выводится это сообщение |
| Настройки EWS | Сервис ExhangeWebService. Необходимо выбрать при синхронизации с Exchange. |
ℹ️ Автоматическая авторизация AD в Mozilla Firefox: В отличие от Internet Explorer и Chrome, Firefox не передает AD аутентификацию автоматически, но этот процесс можно настроить для конкретных сайтов. Для этого надо: - в адресной строке написать "about:config" и нажать "Enter", - найти ключ "network.automatic-ntlm-auth.trusted-uris" и в его значение вписать имена сайтов, для которых требуется доменная аутентификация, через запятую.
ℹ️ Создание пользователей по расписанию возможно только при указании орг. единиц в параметре "Организационные единицы для синхронизации из AD" (см. ниже)
Выгрузка из AD¶
При выгрузке пользователей из AD можно включать и исключать из этого процесса подразделения и отдельных пользователей.
Для оптимизации длительной загрузки дерева Active Directory может быть использована кастомная настройка приложения LDAP_AdGlobalCatalogHosts.
Связь с AD¶
Чтобы установить связь между учетными записями пользователей в "Первой Форме" и AD, отметьте нужные записи в левой колонке. SID из этих записей будут установлены в профилях соответствующих пользователей.
При включенном параметре Только сотрудники в списке будут отображаться только сотрудники организации (пользователи, у которых в профиле включен параметр "Сотрудник компании").
При включенном параметре Скрыть уволенных в списке не будут отображаться уволенные пользователи (у которых в профиле не включен параметр "Уволен").
Синхронизация с AD¶
Если в системе включена синхронизация учетных записей пользователей с информацией из Active Directory, она выполняется в соответствии с расписанием задания ADSyncJob.
Для разового выполнения процедуры синхронизации (вне расписания) запустите задание ADSyncJob вручную.
ℹ️ Список обязательных полей: E-mail, Логин, Фамилия, Псевдоним (рус.)
В окне настройки выгрузки пользователей отображаются значения всех выгружаемых полей. На вкладке Общие настройки установите, по возможности, для каждого поля профиля пользователя из системы "Первая Форма" поле, с которым оно будет синхронизироваться в AD.
Часть полей уже вшиты в систему:
При необходимости вы можете самостоятельно добавить свои параметры. Для этого просто впишите в поле нужное значение с учетом регистра: displayname и DisplayName будет распознаваться системой как два разных параметра.
Пример синхронизации полей:
| В системе "Первая Форма" | В Active Directory |
|---|---|
| Компания | company |
| Отдел | department |
| Должность | description |
| Имя | givenName |
| Псевдоним на русском | displayName |
| Рабочий | telephoneNumber |
Для синхронизации фото в поле "Аватар" укажите название thumbnailPhoto.
ℹ️ Названия полей регистрозависимые! Названия полей в настройках синхронизации в "Первой Форме" должны точно совпадать с названиями этих полей в ActiveDirectory
ℹ️ Для корректной настройки параметров обратитесь к документации по AD
Для синхронизации часовых поясов необходимо в AD создать дополнительное поле. В нем должны храниться значения в определенном формате (см. файл). В "Первой Форме" это поле должно быть выбрано в поле "Часовой пояс" (блок "Контакты").
ℹ️ Возможности и ограничения синхронизации с ActiveDirectory описаны здесь
Также вы можете настроить синхронизацию расширенных свойств пользователя во вкладке Расширенные настройки пользователя.
Для указания значения расширенного свойства пользователя дважды нажмите на строку в колонке Свойство и выберите нужный вариант из выпадающего списка.
При переименовании пользователя в AD он сможет зайти в приложение под своей новой учетной записью даже если синхронизация еще не произошла. При включенной синхронизации с AD после входа в систему данные пользователя будут обновлены.
Описание синхронизации в прежнем интерфейсе администрирования