Интеграция Adobe Connect со службой каталогов LDAP

Узнайте, как создавать учетные записи Adobe Connect автоматически или аутентифицировать пользователей Adobe Connect с помощью службы каталогов LDAP.

Обзор интеграции со службой каталогов

Можно интегрировать Adobe Connect со службой каталогов; это позволит выполнять проверку подлинности пользователей в каталоге LDAP и даст возможность избежать производимого вручную добавления отдельных пользователей и групп. Учетные записи пользователей создаются автоматически в Adobe Connect посредством выполняемых вручную или запланированных синхронизаций с каталогом вашей организации.

Для интеграции с Adobe Connect сервер каталогов должен использовать облегченный протокол доступа к каталогу (LDAP) или защищенный облегченный протокол доступа к каталогу (LDAPS). LDAP является протоколом со схемой клиент-сервер, используемым в сети Интернет для поиска контактной информации пользователей через сервер каталогов, совместимый с LDAP.

Adobe Connect подключается к каталогу LDAP как клиент LDAP. Adobe Connect импортирует пользователей и группы и синхронизирует с каталогом LDAP информацию об этих пользователях и группах. Можно также настроить Adobe Connect на проверку подлинности пользователей в каталоге LDAP.

Любую службу каталогов, совместимую с LDAP, можно интегрировать с Adobe Connect. Список одобренных каталогов LDAP приведен по адресу www.adobe.com/go/learn_cnn_sysreqs_ru.

О структуре каталога LDAP

Организация информации в каталогах LDAP происходит в соответствии со стандартом X.500.

Пользователь или группа в каталоге LDAP называются запись. Запись представляет собой коллекцию атрибутов. Атрибут состоит из типа и одного или нескольких значений. Типы используют мнемонические строки, такие как ou для организационной единицы или cn для общего имени. Значения атрибута включают сведения, такие как номер телефона, электронный адрес и фотография. Чтобы определить структуру каталога LDAP вашей организации, свяжитесь с администратором LDAP.

В состав каждой записи входит отличительное имя (DN), которое посредством древовидной структуры описывает путь к записи от самой записи к корню. Отличительное имя записи каталога LDAP представляет собой соединение имени записи (называемого относительное отличительное имя (RDN)) и имен предшествующих ей записей в древовидной структуре.

Древовидная структура может отражать географические местоположения или границы между отделами внутри компании. Например, если Алисия Солис является пользователем отдела обеспечения качества компании Acme, Inc., находящейся во Франции, отличительным именем для нее может быть следующее имя:

cn=Алисия Солис, ou=отдел обеспечения качества, c=Франция, dc=компания Acme, dc=com

Импорт ветвей каталога

При импорте пользователей и групп из каталога LDAP в Adobe Connect укажите путь к разделу дерева LDAP, используя отличительное имя этого раздела. Это обозначит область поиска. Например, можно импортировать только пользователей, принадлежащих к определенной группе внутри организации. Для этого нужно знать расположение записей этой группы в древовидной структуре каталога.

Обычной практикой является использование домена Интернета организации в качестве корня для древовидной структуры. Например, компания Acme, Inc. может использовать dc=com для обозначения корневого элемента в дереве. Отличительным именем, обозначающим коммерческое представительство компании Acme, Inc. в Сингапуре, может быть следующее имя: ou=Singapore, ou=Marketing, ou=Employees, dc=Acme, dc=com. (В этом примере ou является сокращением для организационной единицы, а dc — сокращением для компонента домена.)

Примечание.

Не все каталоги LDAP имеют один корень. В данном случае можно импортировать ветви по отдельности.

Импорт пользователей и групп

Существует два способа структуризации записей пользователей и групп в каталоге LDAP: в одном узле ветви либо в разных ветвях.

Если пользователи и группы находятся в одном узле ветви LDAP, то настройки пользователей и групп, предназначенные для импорта записей, содержат одинаковое отличительное имя ветви. Это означает, что при импорте пользователей необходимо использовать фильтр для выбора только пользователей, а при импорте групп — для выбора только групп.

Если пользователи и группы находятся в разных ветвях дерева, используйте отличительное имя ветви, которое выбирает ветвь пользователей при импорте пользователей и ветвь группы при импорте групп.

Также можно импортировать подветви для импорта пользователей изо всех ветвей под определенным уровнем. Например, если нужно импортировать всех сотрудников отдела продаж, можно использовать следующее отличительное имя ветви:ou=Sales, dc=Acme, dc=comОднако информация о сотрудниках отдела продаж может храниться и в подветвях. В этом случае на экране «Отображение профилей пользователей» задайте для параметра «Поиск в поддереве» значение true, чтобы обеспечить импорт пользователей из подветвей, находящихся в дереве под этим уровнем.

ou=Sales, dc=Acme, dc=com

Фильтрация выбранных записей

Фильтр задает условие отбора записей. Это ограничивает выбор записей в пределах части дерева. Например, если фильтр задает (objectClass=organizationalPerson), то для импорта отбираются только записи с атрибутом organizationalPerson.

Примечание.

Атрибут objectClass должен быть в каждой записи каталога LDAP.

Внутренние и внешние пользователи и группы

Пользователи и группы, создаваемые непосредственно в Adobe Connect, а не импортируемые из каталога LDAP, называются внутренними пользователями и группами. Пользователи и группы, импортируемые в базу данных Adobe Connect из каталога LDAP, называются внешними пользователями и группами.

Чтобы обеспечить синхронизацию импортированных групп с внешним каталогом LDAP, нельзя добавлять внутренних пользователей и групп во внешние группы. Однако можно добавлять внешних пользователей и групп во внутренние группы.

Если значение имени или имени для входа записи импортированного пользователя или группы совпадает с именем для входа существующего внутреннего пользователя или группы, при синхронизации каталогов статус импортированного пользователя или группы с внутреннего изменится на внешний, а в журнале синхронизации появится предупреждение.

Интеграция Adobe Connect с каталогом LDAP

Интеграция со службой каталогов расположена на вкладке «Настройки службы каталогов» консоли управления приложениями. Используйте учетную запись администратора.

Можно настроить один сервер каталогов для проверки подлинности пользователей и синхронизации LDAP. Настройка может охватывать одну или несколько ветвей службы каталогов.

Открытие консоли управления приложениями.

В меню «Пуск» последовательно выберите пункты «Программы» > «Adobe Connect Server» > «Настроить Adobe Connect Server».

Ввод настроек подключения к серверу LDAP.

Откройте вкладку «Настройки службы каталогов». Введите значения в разделе «Настройки LDAP», расположенном на экране «Настройки подключения», и нажмите кнопку «Сохранить».

При нажатии кнопки «Сохранить» Adobe Connect проверит подключение LDAP. При неудачной проверке появится следующее сообщение:

Настройки успешно сохранены, но подключение LDAP проверить не удалось. Проверьте URL-адрес и порт для LDAP.

 

Поле

Значение по умолчанию

Описание

URL-адрес сервера LDAP

Нет по умолчанию.

Обычная форма выглядит следующим образом: ldap://[servername:portnumber]. Если ваша организация использует защищенный сервер LDAP, используйте ldaps://.

Если порт не указан, Adobe Connect использует стандартный LDAP-порт (389) или LDAPS-порт (636). Для LDAPS необходимы сертификаты SSL. При настройке Adobe Connect на работу в лесу Microsoft Active Directory, где включен глобальный каталог, используйте глобальный каталог (стандартный порт: 3268).

Метод проверки подлинности подключения LDAP

Нет по умолчанию.

Механизм проверки подлинности учетных данных (таких как имя пользователя LDAP, пароль LDAP) учетной записи службы LDAP для Connect (права администратора).

Простой (стандартная проверка подлинности — рекомендуется). Анонимный (отсутствие пароля — сервер LDAP должен быть настроен на разрешение анонимного имени для входа). Digest MD5 (настройте сервер LDAP на разрешение комбинированной проверки подлинности).

Имя пользователя для подключения LDAP

Нет по умолчанию.

Административное имя для входа на сервер LDAP.

Пароль для подключения LDAP

Нет по умолчанию.

Административный пароль для входа на сервер LDAP.

Время ожидания запроса LDAP

Нет по умолчанию.

Время (в секундах), которое может истечь до момента отмены запроса. Если это поле остается пустым, то время ожидания отсутствует. Установите для этого значения число 120.

Предел размера страницы для ввода запроса LDAP

Нет по умолчанию.

Размер страницы с результатами, возвращенными сервером LDAP. Если это поле остается пустым или имеет значение 0, размер страницы не используется.

Используйте это поле для серверов LDAP с максимально настроенным размером результатов. Установите размер страницы так, чтобы он был меньше максимального размера результатов, чтобы все результаты, извлекаемые с сервера, отображались на нескольких страницах.

Например, попытка не будет успешной, если при наличии 2000 пользователей для импорта пытаться интегрировать большой каталог LDAP, который может отображать только 1000 пользователей.

Если значение размера страницы для ввода запроса равно 100, результаты будут возвращены на 20 страницах, и все пользователи будут импортированы.

 

Далее приведен пример синтаксиса LDAP для настроек подключения:

URL:ldap://ldapserver.mycompany.com:389 
UserName:MYCOMPANY\jdoe 
Password:password123 
Query timeout:120 
Authentication mechanism:Simple 
Query page size:100

Сопоставление профилей пользователей Adobe Connect и каталога LDAP.

Откройте вкладку «Отображение профилей пользователей», введите значения и нажмите кнопку «Сохранить».

Поле

Значение по умолчанию

Описание

Вход

Нет по умолчанию.

Атрибут имени для входа службы каталогов.

Имя

Нет по умолчанию.

Атрибут имени службы каталогов.

Фамилия

Нет по умолчанию.

Атрибут фамилии службы каталогов.

Электронная почта

Нет по умолчанию.

Атрибут электронной почты службы каталогов.

Если пользовательские поля были определены, они отобразятся на экране «Отображение профилей пользователей». В этом примере показано сопоставление профиля пользователя Adobe Connect с профилем пользователя Active Directory LDAP; сетевое имя для входа является пользовательским полем.

Login:mail 
FirstName:givenName 
LastName:sn 
Email:userPrincipalName 
NetworkLogin:mail

(Необязательно) Добавление ветви пользователей.

Нажмите «Добавить» для добавления сведений о пользователе из конкретной ветви вашей компании. Введите значения в поле «Ветвь» и в поле «Фильтр», затем нажмите кнопку «Сохранить».

Если требуется импортировать пользователей из подветвей, в меню «Поиск в поддереве» выберите значение «Истина»; в противном случае выберите значение «Ложь».

Дополнительные сведения см. в разделе О структуре каталога LDAP.

Поле

Значение по умолчанию

Атрибут/примечания LDAP

Отличительное имя ветви

Нет по умолчанию.

Отличительное имя корневого узла ветви. Отображение ссылки к выбранной ветви.

Фильтр

Нет по умолчанию.

Строка фильтра для запроса.

Поиск в поддереве

Истина

Истина или Ложь. Значение «Истина» инициирует рекурсивный поиск всех поддеревьев ветви.

Сопоставление профилей групп Adobe Connect и каталога LDAP.

Откройте вкладку «Отображение профилей групп», введите значения и нажмите кнопку «Сохранить».

Примечание. Профили групп Adobe Connect не поддерживают пользовательские поля.

Поле

Значение по умолчанию

Атрибут/примечания LDAP

Имя группы

Нет по умолчанию.

Атрибут имени группы службы каталогов.

Член группы

Нет по умолчанию.

Атрибут члена группы службы каталогов.

Далее представлено сопоставление атрибутов записи группы LDAP и профиля группы Adobe Connect:

Name:cn 
Membership:member

(Необязательно) Добавление ветви групп.

Нажмите «Добавить» для добавления сведений о пользователе из ветви вашей компании. Введите значения в поле «Ветвь» и в поле «Фильтр», затем нажмите кнопку «Сохранить».

Если требуется импортировать группы из подветвей, в меню «Поиск в поддереве» выберите значение «Истина»; в противном случае выберите значение «Ложь».

Дополнительные сведения см. в разделе О структуре каталога LDAP.

Поле

Значение по умолчанию

Атрибут/примечания LDAP

Отличительное имя ветви

Нет по умолчанию.

Отличительное имя корневого узла ветви. Каждая ветвь организации имеет свой собственный атрибут отличительного имени LDAP. Отображение ссылки к выбранной ветви.

Фильтр

Нет по умолчанию.

Строка фильтра для запроса.

Поиск в поддереве

Истина

Логическое значение true или false. Значение true инициирует рекурсивный поиск всех поддеревьев ветви.

В следующем примере показан синтаксис LDAP для добавления ветви организации и определения ее групп:

DN:cn=USERS,DC=myteam,DC=mycompany,DC=com 
Filter:(objectClass=group) 
Subtree search:True

Ввод настроек проверки подлинности.

Откройте вкладку «Настройки проверки подлинности». Если требуется выполнять проверку подлинности пользователей Adobe Connect в соответствии со службой каталогов вашей компании, выберите «Включить проверку подлинности каталога LDAP». Если данный параметр не выбран, Adobe Connect использует собственную проверку подлинности (учетные данные пользователей, хранимые в базе данных Adobe Connect).

Если установлен флажок «Включить восстановление Connect при сбое проверки подлинности каталога LDAP», Adobe Connect использует собственную проверку подлинности.

Примечание.

Этот вариант может быть полезен при временном сбое подключения LDAP в сети. Однако учетные данные LDAP могут отличаться от учетных данных базы данных Adobe Connect.

Установите флажок «Создать учетную запись пользователя Connect после успешной проверки подлинности с использованием каталога LDAP» для обеспечения работы новых пользователей на сервере Adobe Connect в случае успешной проверки подлинности LDAP. Если кому-либо из пользователей службы каталогов разрешено использовать Adobe Connect, оставьте этот флажок установленным и выберите «Внутренний» в качестве типа учетной записи пользователя. Дополнительные сведения см. в разделе Внутренние и внешние пользователи и группы.

Установите флажок «Включить зачисление в группы только при первом входе», чтобы создать в Adobe Connect имя для входа, а также поместите пользователей в определенные группы при их первом входе в Adobe Connect. Введите группы в поле «Имена групп».

Планирование синхронизации.

Откройте вкладку «Настройки синхронизации». На экране «Настройки расписаний» установите флажок «Включить запланированную синхронизацию», чтобы запланировать регулярное выполнение синхронизации в определенное время ежедневно, еженедельно или ежемесячно. Дополнительные сведения см. в разделе Рекомендуемые практики синхронизации.

На экране «Действия при синхронизации» также можно выполнить синхронизацию вручную.

Установка политики паролей и политики удаления.

Откройте вкладку «Настройки политик», выберите «Политика установки пароля» и «Политика удаления, затем нажмите «Сохранить». Дополнительные сведения о политике паролей см. в разделе Управление паролями.

Примечание.

Если выбран вариант «Удалить пользователей и группы», во время синхронизации все внешние пользователи, удаленные с сервера LDAP, также удаляются с сервера Adobe Connect.

Предварительный просмотр синхронизации.

Откройте вкладку «Действия при синхронизации». В разделе «Предварительный просмотр синхронизации каталога» нажмите «Предварительный просмотр». Дополнительные сведения см. в разделе Рекомендуемые практики синхронизации.

Управление паролями

Если проверка подлинности LDAP не включена, необходимо выбрать для Adobe Connect способ проверки подлинности пользователей.

Когда Adobe Connect импортирует из внешнего каталога сведения о пользователе, сетевые пароли при этом не импортируются. В связи с этим необходимо использовать другой способ управления паролями для пользователей, импортированных в каталог Adobe Connect.

Уведомление пользователей об установке пароля

На экране «Настройки политик», расположенном на вкладке «Настройки синхронизации», можно выбрать операцию отправления электронного сообщения импортированным пользователям со ссылкой, позволяющей установить пароль.

Установка пароля по атрибуту LDAP

Можно выбрать операцию установки исходного пароля импортированного пользователя по значению атрибута в записи каталога этого пользователя. Например, если каталог LDAP содержит идентификационный номер сотрудника в качестве поля, можно установить исходный пароль для пользователей по их идентификационному номеру. После входа пользователей в систему по этому паролю они смогут изменить свой пароль.

Администратор может выполнить синхронизацию Adobe Connect с внешним каталогом LDAP двумя способами.

  • Можно запланировать регулярное выполнение синхронизации через определенный промежуток времени.

  • Можно выполнить синхронизацию вручную, что повлечет за собой незамедлительную синхронизацию каталога Adobe Connect с каталогом LDAP организации.

Перед импортом пользователей и групп во время начальной синхронизации желательно использовать обозреватель LDAP для проверки параметров подключения. Следующие обозреватели доступны в Интернете: обозреватель или редактор LDAP и администратор LDAP.

Примечание.

Во время синхронизации не перезагружайте сервер LDAP и не выполняйте никаких операций. Это может привести к удалению пользователей и групп из Adobe Connect.

Запланированные синхронизации

Рекомендуется выполнять запланированные синхронизации, поскольку они гарантируют наличие в Adobe Connect актуальных данных пользователей и групп, импортированных из каталога LDAP организации.

При импорте большого числа пользователей и групп начальная синхронизация может требовать значительных ресурсов. В этом случае запланируйте проведение начальной синхронизации в период спада нагрузки, например ночью. Как вариант, можно выполнить начальную синхронизацию вручную.

Настроить запланированную синхронизацию можно с помощью консоли управления приложениями, выбрав «Настройки синхронизации» > «Настройки расписаний».

Во время синхронизации Adobe Connect сравнивает записи каталога LDAP с записями каталога Adobe Connect и импортирует только те записи, которые содержат одно или несколько измененных полей.

Предварительный просмотр синхронизации

Компания Adobe рекомендует перед импортом пользователей и групп во время начальной синхронизации проверить подстановки, предварительно просмотрев синхронизацию. Во время предварительного просмотра пользователи и группы не импортируются, но ошибки регистрируются в журнале; можно просмотреть эти ошибки для диагностики проблем синхронизации.

Для доступа к журналам синхронизации используйте экран «Журналы синхронизации». В каждой строке журнала отображается мероприятие синхронизации; синхронизация создает, как минимум, одно мероприятие для каждого обработанного принципала (пользователя или группы). Список предупреждений или ошибок, возникших во время предварительного просмотра, отображается в дополнительном журнале предупреждений.

Значения файла журнала

Значения в журналах синхронизации разделены запятыми. В следующих таблицах принципал относится к записям пользователя и группы. Записи журнала состоят из следующих значений.

Поле

Описание

Date

Значение времени и даты в заданном формате; время указывается с точностью до миллисекунд. Этот формат выглядит следующим образом: ггггММдд’В’ЧЧммсс.ССС.

Principal ID

Имя для входа или имя группы.

Principal type

Одиночный символ: «П» для пользователя, «Г» для группы.

Event

Предпринятое действие или встречающееся условие.

Detail

Подробная информация о мероприятии.

В следующей таблице описываются разные виды мероприятий, которые могут возникнуть в файлах журнала синхронизации.

Событие

Описание

Подробности

add

Принципал был добавлен в Adobe Connect.

Сокращенный XML-пакет, описывающий обновленные поля с помощью серий пар тегов в формате <fieldname>value</fieldname> (например, <first-name>Joe</first-name>). Родительский узел и необновленные поля пропускаются.

update

Принципал — внешний пользователь; некоторые поля были обновлены.

 

update-members

Принципал — внешняя группа; принципалы были добавлены к членству в группе или удалены из него.

Сокращенный XML-пакет, описывающий добавленных и удаленных членов. Родительский узел пропускается:

<add>Список идентификаторов</add> <remove>Список идентификаторов</remove>Список идентификаторов представляет собой серию пакетов <id>principal ID</id>, где principal ID является идентификатором, таким как имя для входа пользователя или имя группы, который будет отображен в перечне столбца идентификатора принципала. Если в списке идентификаторов нет участников, родительский узел выводится как <add/> или <remove/>.

delete

Принципал был удален из Adobe Connect.

 

up-to-date

Принципал является внешним принципалом в Adobe Connect и уже синхронизирован с внешним каталогом. Без изменений.

Пользователь или группа, созданные в Adobe Connect, считаются внутренним принципалом. Пользователь или группа, созданные путем синхронизации, считаются внешним принципалом.

make-external

Принципал является внутренним принципалом в Adobe Connect и был преобразован во внешний принципал.

Это мероприятие разрешает синхронизацию с целью изменения или удаления принципала. За ним следует другое мероприятие, которое делает одно из двух. Это мероприятие регистрируется в журнале предупреждений.

warning

Произошло мероприятие уровня предупреждения.

Предупреждения.

error

Произошла ошибка.

Java-сообщение об исключительной ситуации.

О LDAPS

Adobe Connect напрямую поддерживает защищенный протокол LDAP ( LDAPS). Сервер каталогов LDAP должен обеспечивать возможность подключения SSL. Для надежного подключения к серверу каталогов LDAP используйте протокол LDAPS при подключении через URL-адрес, как показано далее: ldaps://exampleDirectoryServer:portNumber.

 Adobe

Получайте помощь быстрее и проще

Новый пользователь?