Versions Compared

Old Version 4

changes.mady.by.user Maksim Efanov

Saved on

compared with

New Version 5

changes.mady.by.user Lyazat Shabalina

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Indeed Access Manager использует данные о конечных пользователях из Active Directory. Это те пользователи, которые будут проходить процедуру аутентификации с помощью Indeed Access Manager. 

Чтобы данные о пользователях появились в Indeed Access Manager, вы должны подготовить в Active Directory объект с конечными пользователями и создать сервисную учетную запись, от имени которой будут читаться данные.

Вы можете настроить отдельное подразделение пользователей, либо использовать домен пользователей целиком.

Система Indeed Access Manager поддерживает работу с пользователями:

С отдельным подразделением (OU)

Warning
titleВажно!

Если

используется

вы планируете использовать отдельное подразделение, то все необходимые объекты — группы, администраторы,

целевые

конечные пользователи — должны находиться внутри этого подразделения.

  • C доменом в целом
    • Note
    titleИнформация

    При создании сервисной учетной записи требуется отключить обязательную смену пароля при следующем входе и отключить срок действия пароля.

    Image Removed

    Note
    titleПримечание

    В качестве примера была создана учетная запись с именем catalog admin. На скриншотах продемонстрирован процесс создания и настройки для данной учетной записи.

    Indeed Access Manager только читает данные из Active Directory, новые данные не записываются.

    Создание сервисной учетной записи

    Чтобы создать сервисную учетную запись, выполните следующие действия: 

    1. Откройте Active Directory Users and Computers.
    2. Выберите каталог, в котором планируете создать учетную запись.
    3. Нажмите значок Image Added
    4. В открывшемся окне New Object - User введите имя пользователя и нажмите Next.
    5. Введите пароль.
    6. Отключите опцию User must change password at next logon.
    7. Выберите опцию Password never expires и нажмите Finish.
    Image Added

    Предоставление прав на чтение данных

    1. Откройте Active Directory Users and Computers. 
    2. Во вкладке View включите опцию Advanced Features.Image Added
    3. Правой кнопкой мыши нажмите объект с пользователями и выберите Properties.
    4. В окне Properties выполните следующие действия:
      1. Откройте вкладку Security.
      2. В разделе Group or usernames добавьте созданную ранее сервисную учетную запись.
      3. В разделе Permissions for выберите опцию Read и нажмите кнопку Advanced.Image Added
    5. В открывшемся окне Advanced Security Settings выберите сервисную учетную запись и нажмите Edit.Image Added
    6. В открывшемся окне Permission Entry в списке Applies to выберите This object and all descendant objects и нажмите ОК
    7. Включите "Дополнительные компоненты" во вкладке "Вид".
      Image Removed
    8. Откройте вкладку "Безопасность" в свойствах выбранного объекта.
    9. В окне "Группы или пользователи" добавьте созданную сервисную учетную запись.
      Image Removed
    10. В окне "Разрешение для группы ... " выберите "Чтение" и нажмите на кнопку "Дополнительно".
    11. В окне "Элементы разрешений" выберите вашу учетную запись и нажмите "Изменить". 
      Image Removed
    12. Для параметра "Применяется к " выберите "Этот объект и все дочерние объекты".

    Image Modified

    Note
    titleПримечание

    По умолчанию у всех пользователей в домене есть права на чтение данных всех объектов в домене, если политикой безопасности не задано обратное.