Kullanıcıları ve Grupları LDAP dizini ile senkronize etme
Şirketiniz Active Directory Federasyon Hizmeti’ni dağıttıysa, çalışanları ve grupları Kurumlar için Yandex 360 ile otomatik olarak senkronize edecek şekilde yapılandırabilirsiniz, bunun için özel bir Windows hizmetini kurmanız ve yapılandırmanız gerekir.
Diğer LDAP dizinleri, gelecekte YandexADSCIM yardımcı programı *nix platformlarına taşındığında tam olarak desteklenecektir. Şimdilik o diğer LDAP dizinleriyle çalışmayı yapılandırmak için kullanılabilir, ancak Windows İşletim Sistemi kurulu bir cihazda çalıştırmanız gerekir.
ADSCIM yardımcı programını bağlama ve yapılandırma
Adım 1 Kurulumu başlatın
- Ortak kurumsal girişin (SSO’nun) bağlı olduğunu ve düzgün çalıştığını kontrol edin.
- Yandex kataloğuna dahil etmek için, ADSCIM PropertyLoginName yardımcı program ayarlarında iletilecek Active Directory özniteliğini seçerek benzersiz bir kullanıcı kimliği belirleyin.Uyarı. Birincil tanımlayıcı olarak ayarladığınız öznitelik değişmemelidir. Farklı bir oturum açma özniteliğine sahip bir kullanıcı, yeni bir kullanıcı olarak kabul edilecektir.
- Eğer kullanıcılarınız zaten Yandex 360 servislerini kullanıyorsa ve AD FS protokolü üzerinden kimlik doğrulaması yapıyorsa, NameID alanının PropertyLoginName ana tanımlayıcısıyla eşleştiğinden emin olun:
- UserPrincipalName (UPN), oturum açma parametreleri değişmeyecekse;
- objectSID, alan adı değişiklikleri programlanmışsa.
- Active Directory’deki kullanıcıların özniteliklerinin doldurulup doldurulmadığını kontrol edin:
- Ana tanımlayıcı olarak seçilen tanımlayıcı;
- User SamAccountName;
- E-posta.
Adım 2 Client ID ve OAuth belirteci alın
- Uygulama oluşturma sayfasına gidin.
- Servisin adını girin ve simgesini ekleyin.
- Uygulama platformları bölümünde Web servisleri’ni seçin. Redirect URI alanında, Hata Ayıklama için URL’yi yaz bağlantısına tıklayın.
- Veri Erişimi bloğunda satırın başında Federasyonların yönetimi erişim adını girin.
- İletişim için e-postayı belirtin. Sayfanın alt kısmında, Uygulama Oluştur’a tıklayın.
OAuth belirteci almak için bir POST isteği gönderin. Örneğin, cURL aracılığıyla bu aşağıdaki komutla yapılabilir:
curl -X POST https://oauth.yandex.ru/token -d "grant_type=client_credentials&client_id=değer1&client_secret=değer2"
Copied to clipboard(
client_id
parametresinin değeri, oluşturulan uygulamanın ID’sidir veclient_secret
’de, Parolasıdır)- Alınan ID ve OAuth belirtecini kaydedin. Sonraki adımlarda kullanılacaklar.
Adım 3 Client ID’yi Yandex 360’ta belirtin ve Domain ID’sini alın
- Kurumlar için Yandex 360 açın.
- Çoklu Oturum Açma (SSO) sekmesine tıklayın.
- Ayarla’ya tıklayın.
- SCIM Senkronizasyonu bölümünde, 2. adımda elde ettiğiniz uygulama ID’sini yapıştırın.
- Domain ID’nizi kopyalayın, bir sonraki adımda işinize yarayacaktır.
- Değişiklikleri kaydedin.
Adım 4 Windows Eşitleme hizmetini kurun ve yapılandırın
- YandexADSCIM hizmetini indirip yükleyin.
Yapılandırma dosyasını bulun ve herhangi bir metin düzenleyicide açın -
%ProgramData%\Yandex\YandexADSCIM\AD_Users.config
İpucu.%ProgramData%
klasörünü bulamıyorsanız, Gizli Dosyaları Göster’i açın.Yapılandırma dosyasını ayarlayın:
- LDAP parametresinin değerinde Active Directory’ye bağlanma yolunun doğru olup olmadığını kontrol edin. Değilse, düzeltin.
- BearerToken parametresinin değerine 2. adımda elde edilen OAuth belirtecini belirtin.
- DomainID parametresinin değerinde, 3. adımda elde edilen alan ad ID’sini belirtin.
- SCIM senkronizasyonunu şimdi başlatmak istiyorsanız DryRun parametresinin değerini
false
olarak değiştirin.True
olarak ayarlanırsa hizmet test modunda çalışır, istekleri günlüklere kaydeder, ancak çalışanları ve grupları senkronize etmez. - Active Directory’den genel bir kullanıcı verisi kümesini senkronize edin. Bununla birlikte
#
sembolü ile başlayan satırlar uygulama tarafından dikkate alınmayacaktır.YandexADSCIM yardımcı programı ayarının adı Öznitelik adı (rus) Active Directory’den varsayılan değer Örnek PropertyFirstName Ad givenName Ivan PropertyMiddleName Baba adı middleName Ivanovich PropertyLastName Soyad sn (SurName) Ivanov PropertyWorkMail Ana e-posta mail I_ivanov@domain.ru PropertyTitle Görevi Title Geliştirici YandexADSCIM yardımcı programı ayarının adı Öznitelik adı (rus) Active Directory’den varsayılan değer Örnek PropertyFirstName Ad givenName Ivan PropertyMiddleName Baba adı middleName Ivanovich PropertyLastName Soyad sn (SurName) Ivanov PropertyWorkMail Ana e-posta mail I_ivanov@domain.ru PropertyTitle Görevi Title Geliştirici Property ile başlayan öznitelikler, Yandex 360’ta kullanıcı oluştururken veya senkronize ederken ayarları yeniden atamanıza olanak tanır.
PropertyFirstName = User first name
PropertyMiddleName = User middle name
PropertyLastName = User last name
PropertyDisplayName = User display name
PropertyWorkMail = User e-mail
PropertyTitle = User job title
PropertyMobilePhoneNumber = Mobile phone number
PropertyWorkPhoneNumber = Work phone number
PropertyIpPhoneNumber = User ip phone number
Daha fazla bilgiPropertyLoginName = objectSID/objectGUID/UPN, burada UPN – varsayılan değer.
username@domain.com
yerineusername
özniteliğini kullanıyorsanız,IgnoreUsernameDomain = true
anahtarını eklemelisiniz. Bu özelliğin değeri, ortak kurumsal giriş olan SSO ayarlarından NameID özelliğinin değerine eşit olmalıdır:Property ile başlayan parametreler birden çok kez belirtilebilir, bu durumda parametrenin değeri bir listedir.
Örneğin, kullanıcının soyadını almak için şu öznitelikleri ayarlayabilirsiniz:
PropertyLastName = surName
,PropertyLastName = sn
,PropertyLastName = lastName
.surName
özniteliği mevcutsa, onun değeri kullanılacaktır. Eğer bu öznitelik mevcut değilse,sn
özniteliğinin değeri kullanılacaktır. O da mevcut değilse,lastName
özniteliğinin değeri. Active Directory'deki posta kutusunun eş adreslerinin Yandex 360 for Business ile eşitlenmesi gerekiyorsa EnableAliases parametresini ekleyip
true
değerini kullanın. Active Directory'dekiproxyAdresses
kullanıcı özelliğinde SMTP türüyle belirtilen alan adı tabanlı eş e-posta adresleri, Yandex 360 for Business'taki çalışan hesabına otomatik olarak eklenir.Önemli. Eş e-posta adreslerinin doğru eşitlenmesi için YandexADSCIM yardımcı programının sürümünün 1.1.0.144 veya üzeri olması gerekir.- LDAP dizini adresi oluşturun: arama parametrelerinde kendi değerlerinizi yazın.Bir arama sorgusu için, DIT = Directory Information Tree yapısındaki yolu kullanın (sağdan sola okuyun):
LDAP = LDAP://CN=Users,OU=DomainGroup,DC=YourCompanyName,DC=com
DC
: domainComponent, kendi alan adı ve alan adı bölgesi;OU
: OrganizationUnit, kullanıcıları almak istediğiniz şirket\\departman\\bölüm;CN
: commonName, dizinden almak istediğiniz nesnenin adı.
Kullanıcıların karşıya yüklenmesini sınırlamak için UsersFilter filtresi kullanabilir ve standart LDAP sorgusu sözdizimini uygulayabilirsiniz:
UsersFilter =(memberOf=CN=groupname,CN=Users,DC=domainname,DC=com)
Active Directory’den grupları senkronize edin: EnableGroups parametresini
true
değeriyle ekleyin.Grup listesini sınırlamak için GroupsFilter filtresi kullanabilir ve standart LDAP sorgusu sözdizimini uygulayabilirsiniz. Örneğin, tüm bülten listelerini indirmek için aşağıdaki filtreyi kullanın:
GroupsFilter =(&(objectClass=group)(!(groupType:1.2.840.113556.1.4.803:=2147483648)))
- Active Directory’den genel bir grup öznitelikleri kümesini eşitleyin.
YandexADSCIM yardımcı programı ayarının adı Öznitelik adı (rus) Active Directory’den varsayılan değer Örnek PropertyGroupDisplayName İsim name Entegrasyon projesi PropertyGroupDescription Açıklama description Entegrasyon projesinde yer alan çalışanlar PropertyGroupEmail Bülten mail int@domain.ru YandexADSCIM yardımcı programı ayarının adı Öznitelik adı (rus) Active Directory’den varsayılan değer Örnek PropertyGroupDisplayName İsim name Entegrasyon projesi PropertyGroupDescription Açıklama description Entegrasyon projesinde yer alan çalışanlar PropertyGroupEmail Bülten mail int@domain.ru Property ile başlayan öznitelikler, Yandex 360’ta grup oluştururken veya senkronize ederken ayarları yeniden atamanıza izin verir.
Daha fazla bilgiBu tür parametreler birkaç kez belirtilebilir, bu durumda parametrenin değeri bir liste olacaktır.
Örneğin, bir grubun adını elde etmek için aşağıdaki öznitelikleri ayarlayabilirsiniz:
PropertyGroupDisplayName = name
,PropertyGroupDisplayName = cn
. Eğername
özniteliği varsa, onun değeri kullanılacaktır. Eğer bu öznitelik mevcut değilse,cn
özniteliğinin değeri kullanılacaktır. - Servisi ilk kez başlatmadan önce DryRun parametresinin değerini
true
olarak değiştirin. Servisi başlatma sıklığı, UpdateEveryMins = N parametresi tarafından belirlenir, burada N dakika cinsinden aralıktır. Servisi araç çubuğundan çalıştırın ve günlük dosyasını analiz edin.Günlüklerdeki sistem mesajlarıBildirim Sonuç CORE Update user: user@domain.ru (Active:true -> false) Kullanıcı engellenecektir. SCIM Update user Yandex’te kullanıcı özniteliklerini değiştirme. SCIM Add user Yandex’e kataloğuna kullanıcı ekleme. CORE Users: added 0, removed 3237, modified 0 Eklendi – 0, engellendi – 3237, değiştirildi – 0. SCIM GET Users: Response is successful Kullanıcılar Yandex kataloğundan başarıyla okundu. AD Received user count: N Active Directory’den N kullanıcı yüklendi. AD Received groups count: N Active Directory’den N grup yüklendi. AD_CONFIG Wrong line N Yapılandırma dosyasının 31. satırında hata. Bildirim Sonuç CORE Update user: user@domain.ru (Active:true -> false) Kullanıcı engellenecektir. SCIM Update user Yandex’te kullanıcı özniteliklerini değiştirme. SCIM Add user Yandex’e kataloğuna kullanıcı ekleme. CORE Users: added 0, removed 3237, modified 0 Eklendi – 0, engellendi – 3237, değiştirildi – 0. SCIM GET Users: Response is successful Kullanıcılar Yandex kataloğundan başarıyla okundu. AD Received user count: N Active Directory’den N kullanıcı yüklendi. AD Received groups count: N Active Directory’den N grup yüklendi. AD_CONFIG Wrong line N Yapılandırma dosyasının 31. satırında hata.
- Yapılandırma dosyasındaki değişiklikleri uygulamak için hizmeti durdurun ve yeniden başlatın. Bunu yapmak için komut satırında (
cmd.exe
)sc stop yandexadscim
ve ardındansc start yandexadscim
yazın. Bunu Görev Yöneticisi’ndeki Hizmetler sekmesinde de yapabilirsiniz.
Ayarları değiştirme
Ayarları değiştirmek istiyorsanız, yapılandırma dosyasında değişiklik yapın ve ardından komut satırı veya görev yöneticisi aracılığıyla YandexADSCIM hizmetini yeniden başlatın.
Günlükleri görüntüleme
Tüm hizmet günlükleri %ProgramData%\\Yandex\\YandexADSCIM
klasöründe saklanır.
Hizmeti durdurma
YandexADSCIM bir Windows hizmetidir, bu nedenle sistem başlangıcında otomatik olarak yürütülür ve kullanıcının durumuna bağlı değildir. Ancak manuel olarak devre dışı bırakabilirsiniz, bunun için komut satırına sc stop yandexadscim
yazın veya görev yöneticisinde Durdur’a tıklayın.
Hizmeti kalıcı olarak kaldırmak istiyorsanız sc delete yandexadscim
komutunu kullanın.
Servisin çalışması sırasında olası durumlar
Durum | Sonuç |
---|---|
Kullanıcının Active Directory’deki öznitelikleri değişti, ancak benzersiz tanımlayıcı değişmedi. | Sistem, Yandex kataloğundaki öznitelikleri güncelleyecektir (ana e-posta ve NameID hariç). |
Kullanıcının benzersiz tanımlayıcısı değişti. | Sistem, başlangıçtaki kimliğe sahip nesneyi bulamayacak ve önceki kullanıcıyı engelleyecektir. Ardından, sistem yeni bir tanımlayıcıyla kullanıcıyı eklemeye çalışacak, ancak kullanıcının oturum açma bilgileri zaten bir önceki kullanıcı tarafından alındığı için bunu yapamayacaktır. Engellenen bir kullanıcıyı silerseniz, sistem eskisinden herhangi bir veri aktarmadan yenisini ekler. |
Kullanıcı, Active Directory’de silinmiştir. | Kullanıcı Yandex kataloğunda engellenecektir. |
Active Directory’de yeni kullanıcı. | Kullanıcı, ilgili özniteliklerle Yandex dizinine eklenir. |
Yandex dizinindeki tüm kullanıcılar engellendi. | Bu şu durumlarda olabilir:
|
Durum | Sonuç |
---|---|
Kullanıcının Active Directory’deki öznitelikleri değişti, ancak benzersiz tanımlayıcı değişmedi. | Sistem, Yandex kataloğundaki öznitelikleri güncelleyecektir (ana e-posta ve NameID hariç). |
Kullanıcının benzersiz tanımlayıcısı değişti. | Sistem, başlangıçtaki kimliğe sahip nesneyi bulamayacak ve önceki kullanıcıyı engelleyecektir. Ardından, sistem yeni bir tanımlayıcıyla kullanıcıyı eklemeye çalışacak, ancak kullanıcının oturum açma bilgileri zaten bir önceki kullanıcı tarafından alındığı için bunu yapamayacaktır. Engellenen bir kullanıcıyı silerseniz, sistem eskisinden herhangi bir veri aktarmadan yenisini ekler. |
Kullanıcı, Active Directory’de silinmiştir. | Kullanıcı Yandex kataloğunda engellenecektir. |
Active Directory’de yeni kullanıcı. | Kullanıcı, ilgili özniteliklerle Yandex dizinine eklenir. |
Yandex dizinindeki tüm kullanıcılar engellendi. | Bu şu durumlarda olabilir:
|
Uygulama güncellemesi
Uygulama, geliştiriciye yeni bir sürümün kullanılabilirliği hakkında periyodik olarak istekte bulunur ve AutoUpdate = True bayrağı ayarlanmışsa otomatik olarak güncellenir. Uygulamanın belirli bir kullanıcıdan çalıştırılmasını ayarladıysanız, ayar çalışmaz.