Versions Compared

Old Version 4

changes.mady.by.user Maksim Efanov

Saved on

compared with

New Version Current

changes.mady.by.user Lyazat Shabalina

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Indeed Access Manager использует данные о конечных пользователях из Active Directory. Это те пользователи, которые будут проходить процедуру аутентификации с помощью Indeed Access Manager. 

Чтобы данные о пользователях появились в Indeed Access Manager, вы должны подготовить в Active Directory объект с конечными пользователями и создать сервисную учетную запись, от имени которой будут читаться данные.

Вы можете настроить отдельное подразделение пользователей, либо использовать домен пользователей целиком.

Система Indeed Access Manager поддерживает работу с пользователями:

С отдельным подразделением (OU)

Warning
titleВажно!

Если

используется

вы планируете использовать отдельное подразделение, то все необходимые объекты — группы, администраторы,

целевые

конечные пользователи — должны находиться внутри этого подразделения.

  • C доменом в целом
    • Note
    titleИнформация

    При создании сервисной учетной записи требуется отключить обязательную смену пароля при следующем входе и отключить срок действия пароля.

    Image Removed

    Note
    titleПримечание

    В качестве примера была создана учетная запись с именем catalog admin. На скриншотах продемонстрирован процесс создания и настройки для данной учетной записи.

    1. Включите "Дополнительные компоненты" во вкладке "Вид".
      Image Removed
    2. Откройте вкладку "Безопасность" в свойствах выбранного объекта.
    3. В окне "Группы или пользователи" добавьте созданную сервисную учетную запись.
      Image Removed
    4. В окне "Разрешение для группы ... " выберите "Чтение" и нажмите на кнопку "Дополнительно".
    5. В окне "Элементы разрешений" выберите вашу учетную запись и нажмите "Изменить". 
      Image Removed
    6. Для параметра "Применяется к " выберите "Этот объект и все дочерние объекты".
      Image Removed

    Indeed Access Manager только читает данные из Active Directory, новые данные не записываются.

    Создание сервисной учетной записи

    Чтобы создать сервисную учетную запись, выполните следующие действия: 

    1. Откройте Active Directory Users and Computers.
    2. Выберите каталог, в котором планируете создать учетную запись.
    3. Нажмите значок Image Added
    4. В открывшемся окне New Object - User введите имя пользователя и нажмите Next.
    5. Введите пароль.
    6. Отключите опцию User must change password at next logon.
    7. Выберите опцию Password never expires и нажмите Finish.
    Image Added

    Предоставление прав на чтение данных

    Если политика безопасности вашей компании разрешает всем пользователям в домене читать данные всех объектов в домене, вы не должны выполнять эту настройку.

    Если настроено ограничение на чтение данных, выполните следующие действия:

    1. Откройте Active Directory Users and Computers. 
    2. Во вкладке View включите опцию Advanced Features.Image Added
    3. Правой кнопкой мыши нажмите объект с пользователями и выберите Properties.
    4. В окне Properties выполните следующие действия:
      1. Откройте вкладку Security.
      2. В разделе Group or usernames добавьте созданную ранее сервисную учетную запись.
      3. В разделе Permissions for выберите опцию Read и нажмите кнопку Advanced.Image Added
    5. В открывшемся окне Advanced Security Settings выберите сервисную учетную запись и нажмите Edit.Image Added

    6. В открывшемся окне Permission Entry в списке Applies to выберите This object and all descendant objects и нажмите ОК.

    Image Added

    Note
    titleПримечание
    По умолчанию у всех пользователей в домене есть права на чтение данных всех объектов в домене, если политикой безопасности не задано обратное.