Настройка доверенного провайдера ALD Pro

Примечание: функционал входит в платную версию Pro и требует наличия лицензии.

Доверенный провайдер ALD Pro предназначен для организации входа в информационные системы по учетным данным (логин/пароль) пользователей в ALD Pro.

ALD Pro - Astra Linux Domain Pro – служба каталога для Linux (https://www.aldpro.ru/).

При первом входе через доверенный провайдер в сервисе Trusted.ID создается пользователь. Профиль такого пользователя не доступен для редактирования самим пользователем. Все данные пользователя выгружаются из внешней системы и являются доверенными.

Обновление данных профиля происходит при каждом входе пользователя в информационную систему через доверенный провайдер.

Настройка на стороне внешней системы

  1. В ALD Pro создать пользователя:
    • Обладающего правами администратора, с возможностью изменять пароль пользователей в ALD Pro;
    • Состоящего в группе безопасности Администраторы домена.

Настройка на стороне сервиса Trusted.ID

  1. В сервисе Trusted.ID создать провайдер по шаблону ALD Pro.

  2. Заполнить настройки способа входа:

    • Название провайдера;
    • Описание провайдера - описание, которое будет отображаться при наведении на способ входа на форме авторизации;
    • Логотип провайдера;
      provider-ald-main.png
    • Адрес сервера LDAP (ldap_url);
    • База поиска (ldap_base) - каталог, начиная с которого будет производиться поиск пользователей;
    • Домен LDAP (ldap_domain);
    • Фильтр поиска (ldap_filter) [опционально] – фильтр поиска пользователя;
    • Сопоставление атрибутов LDAP (ldap_mapping) [опционально] – сопоставление атрибута пользователя Trusted.ID с атрибутом пользователя в ALD Pro (в формате given_name:givenName, family_name:sn, email:mail);
    • Логин администратора (ldap_admin_dn) – логин пользователя в ALD Pro, созданного на шаге1;
    • Пароль администратора (ldap_admin_pwd) - пароль пользователя в ALD Pro, созданного на шаге1;
      provider-ald-params.png
    • Дополнительные параметры доверенного провайдера:
    • Публичный способ входа – при включении тогла провайдер будет доступен как способ входа для добавления в другие приложения сервиса. Редактирование и удаление способа входа доступны только Владельцу сервиса в настройках личного кабинета;
    • Требовать подтверждение паролем –при входе пользователя после авторизации во внешней системе идентификации будет запрошен пароль пользователя в сервисе Trusted.ID;
      Примечание: Для способа входа ALD Pro не предусмотрена функциональность самостоятельного сброса пароля пользователем от своей учетной записи в ALD Pro. Поэтому отсутствует настройка параметра Запретить сброс пароля, доступная для способов входа LDAP и 1C.
      provider-ald-addition.png
    • Внешний вид виджета (настройка параметров доступна при редактировании провайдера):
      • Показывать логотип в виджете - при включении тогла рядом с названием способа входа отображается изображение, загруженное в качестве логотипа;
      • Заголовок провайдера - в строке ввода задается название способа входа, которое отображается в виджете, когда пользователь авторизуется через данный способ входа. По умолчанию Вход на <Название способа входа>;
      • Цвет кнопок, Цвет шрифта на кнопках, Цвет ссылок - задается цветовая схема кнопок, текста на кнопках и ссылок по hex-коду.
        В Превью отображается макет внешнего вида виджета.
        provider-ald-preview.png
  3. Добавить способ входа в виджет сервиса или приложения (подробное описание в п. Настройка виджета входа).

  4. В сервис/приложение можно входить, используя созданный способ входа.

    provider-ald-widget.png

Правила настройки сопоставления атрибутов LDAP (ldap_mapping)

Сопоставление атрибутов позволяет настроить сопоставление поля профиля пользователя Trusted.ID с атрибутом пользователя в ALD Pro. Если значение поля не задано, используется значение по умолчанию given_name:givenName, family_name:sn, email:mail.

Основные поля пользователя Trusted.ID:

  • sub – ID пользователя;
  • email – адрес электронной почты;
  • phone_number - номер телефона;
  • nickname – публичное имя;
  • given_name – имя;
  • family_name – фамилия;
  • login – логин;
  • birthdate – дата рождения;
  • picture – фото профиля.

Допускается задать сопоставление на дополнительные поля профиля пользователя. В таком случае в качестве поля профиля Trusted.ID указывается Название дополнительного поля (подробное описание в п. Дополнительная информация).

Возможно задать сопоставление на поле Логин, для того, чтобы логины пользователя в Trusted.ID и во внешней системе совпадали.
Важно! Логин во внешней системе должен иметь уникальное значение.
В случае, когда в сопоставлении атрибутов отсутствует настройка сопоставления на поле Логин, или логин уже используется для другого пользователя, при автоматической регистрации пользователю в Trusted.ID формируется внутреннее значение.