Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Indeed Access Manager использует данные о конечных пользователях из Active Directory. Это те пользователи, которые будут проходить процедуру аутентификации с помощью Indeed Access Manager. 

Чтобы данные о пользователях появились в Indeed Access Manager, вы должны подготовить в Active Directory объект с конечными пользователями и создать сервисную учетную запись, от имени которой будут читаться данные.

Вы можете настроить отдельное подразделение пользователей, либо использовать домен пользователей целиком.

Система Indeed Access Manager поддерживает работу с пользователями:

С отдельным подразделением (OU)

Warning
titleВажно!

Если

используется

вы планируете использовать отдельное подразделение, то все необходимые объекты

тестирования(

группы, администраторы,

целевые

конечные пользователи

)

должны

находится внутри выбранного объекта.

находиться внутри этого подразделения.

Indeed Access Manager только читает данные из Active Directory, новые данные не записываются.

Создание сервисной учетной записи

Чтобы

  • C доменом в целом
  • Для работы системы с каталогом пользователей необходимо создать сервисную учетную запись и необходимо  выдать разрешение вывода списка содержимого (List Contents) и разрешение на чтение всех свойств (Read all properties).Image Removed

    Note
    titleИнформация

    При создании сервисной учетной записи требуется отключить обязательную смену пароля при следующем входе и отключить срок действия пароля.

    , выполните следующие действия: 

    1. Откройте Active Directory Users and Computers.
    2. Выберите каталог, в котором планируете создать учетную запись.
    3. Нажмите значок Image Added
    4. В открывшемся окне New Object - User введите имя пользователя и нажмите Next.
    5. Введите пароль.
    6. Отключите опцию User must change password at next logon.
    7. Выберите опцию Password never expires и нажмите Finish.
    Image Added

    Предоставление прав на чтение данных

    Если политика безопасности вашей компании разрешает всем пользователям в домене читать данные всех объектов в домене, вы не должны выполнять эту настройку.

    Если настроено ограничение на чтение данных, выполните следующие действия:

    1. Откройте Active Directory Users and Computers. 
    2. Во вкладке View включите опцию Advanced Features.Image Added
    3. Правой кнопкой мыши нажмите объект с пользователями и выберите Properties.
    4. В окне Properties выполните следующие действия:
      1. Откройте вкладку Security.
      2. В разделе Group or usernames добавьте созданную ранее сервисную учетную запись.
      3. В разделе Permissions for выберите опцию Read и нажмите кнопку Advanced.Image Added
    5. В открывшемся окне Advanced Security Settings выберите сервисную учетную запись и нажмите Edit.Image Added
    6. В открывшемся окне Permission Entry в списке Applies to выберите This object and all descendant objects и нажмите ОК.

    Image Added

    Note
    titleПримечание
    По-умолчанию у всех пользователей в домене есть права на чтение данных всех объектов в домене, если политикой безопасности не задано обратное.