Интеграция с LDAP
LDAP (Lightweight Directory Access Protocol) — это протокол для доступа к корпоративному каталогу пользователей.
Подключение LDAP позволяет использовать существующие учётные записи сотрудников для входа в систему без необходимости создавать пользователей отдельно.
Как работает интеграция с LDAP
При включённой интеграции:
- Пользователь вводит логин и пароль в Юздеске
- Система отправляет запрос на LDAP-сервер
- LDAP проверяет учётные данные
-
В зависимости от результата:
- если данные корректны — пользователь получает доступ;
- если нет — вход отклоняется.
При использовании LDAP пользователи хранятся на стороне LDAP-сервера: Юздеск не создаёт и не хранит учётные записи локально, управление доступом выполняется администратором LDAP.
В Юздеске создаются копии учётных записей из LDAP — сохраняется email пользователя и телефон (если он указан в LDAP).
Пароли пользователей также не хранятся в Юздеске — аутентификация полностью происходит на стороне LDAP, что снижает риски утечки данных.
Интеграция с LDAP упрощает управление доступом и особенно полезна компаниям с большим количеством сотрудников и корпоративной инфраструктурой.
С её помощью можно:
- использовать единую учётную запись для всех корпоративных систем;
- централизованно управлять пользователями и их доступами;
- быстро отключать доступ (например, при увольнении сотрудника);
- снизить нагрузку на администраторов за счёт отсутствия ручного управления в каждой системе
Настройка LDAP (/settings/ldap/index)
|
Поле |
Описание |
|
Хост |
Url или IP сервиса LDAP |
|
Пользователь |
DN пользователя для подключения к сервису LDAP |
|
Пароль |
Пароль пользователя для подключения к сервису LDAP |
|
Использовать SSL/TLS |
На данный момент используется значение «Без шифрования» |
|
DN каталога и Порт сервиса LDAP |
Заполняются в соответствии с настройками сервиса |
|
Атрибут GUID в LDAP |
Для ActiveDirectory заполнять не нужно |
|
Атрибут CN в LDAP |
Названия атрибутов из сервиса LDAP, используются при импорте пользователей из LDAP в Usedesk |
|
Атрибут mail в LDAP |
|
|
Атрибут телефона в LDAP |
|
|
DN группы пользователей LDAP |
Если заполнено, пользователи будут импортироваться только из этой группы |
|
Группа по умолчанию |
Группа в Юздеске, в которую будут сохранены пользователи |
|
Роль по умолчанию |
Роль в Юздеске, которая будет назначена импортированным пользователям |
Синхронизация пользователей
После заполнения формы настроек и нажатия кнопки «Сохранить» в форме выводится статус подключения к сервису LDAP. Если статус «Подключено» — данные настроек сохранены. Пользователи импортируются крон-процессом с запуском каждые 15 минут.
Вручную можно импортировать пользователей нажатием кнопки «Импортировать пользователей». В момент синхронизации загружаются данные пользователей из сервиса LDAP. Если пользователь ранее был импортирован из LDAP, но при синхронизации не загрузился, он будет удалён из Юздеска.
Импортированные агенты
Сейчас в списке агентов пользователи из LDAP не отмечаются отдельно. Данные агента из LDAP нельзя изменить, если открыть форму редактирования агента.
Логин агента из LDAP
Перед попыткой логина агент должен быть импортирован из сервиса LDAP в Юздеск. Пароль пользователя не хранится в Юздеске. Логин импортированного пользователя в Юздеск выполняется через стандартную форму логина (/login) с вводом email и пароля. Данные пользователя проверяются в сервисе LDAP, и при успешной проверке пользователь авторизуется в Юздеске.