Kullanıcıları ve Grupları LDAP dizini ile senkronize etme

  1. ADSCIM yardımcı programını bağlama ve yapılandırma
  2. Ayarları değiştirme
  3. Günlükleri görüntüleme
  4. Hizmeti durdurma
  5. Servisin çalışması sırasında olası durumlar
  6. Uygulama güncellemesi

Şirketiniz Active Directory Federasyon Hizmeti’ni dağıttıysa, çalışanları ve grupları Kurumlar için Yandex 360 ile otomatik olarak senkronize edecek şekilde yapılandırabilirsiniz, bunun için özel bir Windows hizmetini kurmanız ve yapılandırmanız gerekir.

Uyarı. Active Directory’den kullanıcı senkronizasyonunu etkinleştirmek istiyorsanız, YandexADSCIM’i (bilgisayarda Windows hizmeti olarak bir yardımcı program) aşağıdaki talimatlara göre kurun ve programı LDAP dizininden okuma haklarına sahip bir kullanıcı olarak çalıştırın. YandexADSCIM, Servisler ek bileşeni aracılığıyla yönetilmektedir. Ayarlar yapılandırma dosyasından değiştirilmektedir.

Diğer LDAP dizinleri, gelecekte YandexADSCIM yardımcı programı *nix platformlarına taşındığında tam olarak desteklenecektir. Şimdilik o diğer LDAP dizinleriyle çalışmayı yapılandırmak için kullanılabilir, ancak Windows İşletim Sistemi kurulu bir cihazda çalıştırmanız gerekir.

ADSCIM yardımcı programını bağlama ve yapılandırma

Adım 1 Kurulumu başlatın

  1. Ortak kurumsal girişin (SSO’nun) bağlı olduğunu ve düzgün çalıştığını kontrol edin.
  2. Yandex kataloğuna dahil etmek için, ADSCIM PropertyLoginName yardımcı program ayarlarında iletilecek Active Directory özniteliğini seçerek benzersiz bir kullanıcı kimliği belirleyin.
    Uyarı. Birincil tanımlayıcı olarak ayarladığınız öznitelik değişmemelidir. Farklı bir oturum açma özniteliğine sahip bir kullanıcı, yeni bir kullanıcı olarak kabul edilecektir.
  3. Eğer kullanıcılarınız zaten Yandex 360 servislerini kullanıyorsa ve AD FS protokolü üzerinden kimlik doğrulaması yapıyorsa, NameID alanının PropertyLoginName ana tanımlayıcısıyla eşleştiğinden emin olun:
    • UserPrincipalName (UPN), oturum açma parametreleri değişmeyecekse;
    • objectSID, alan adı değişiklikleri programlanmışsa.
  4. Active Directory’deki kullanıcıların özniteliklerinin doldurulup doldurulmadığını kontrol edin:
    • Ana tanımlayıcı olarak seçilen tanımlayıcı;
    • User SamAccountName;
    • E-posta.

Adım 2 Client ID ve OAuth belirteci alın

  1. Uygulama oluşturma sayfasına gidin.
  2. Servisin adını girin ve simgesini ekleyin.
  3. Uygulama platformları bölümünde Web servisleri’ni seçin. Redirect URI alanında, Hata Ayıklama için URL’yi yaz bağlantısına tıklayın.
  4. Veri Erişimi bloğunda satırın başında Federasyonların yönetimi erişim adını girin.
  5. İletişim için e-postayı belirtin. Sayfanın alt kısmında, Uygulama Oluştur’a tıklayın.

  6. OAuth belirteci almak için bir POST isteği gönderin. Örneğin, cURL aracılığıyla bu aşağıdaki komutla yapılabilir:

    curl -X POST https://oauth.yandex.ru/token -d "grant_type=client_credentials&client_id=değer1&client_secret=değer2"
    Copied to clipboard

    (client_id parametresinin değeri, oluşturulan uygulamanın ID’sidir ve client_secret’de, Parolasıdır)

  7. Alınan ID ve OAuth belirtecini kaydedin. Sonraki adımlarda kullanılacaklar.

Adım 3 Client ID’yi Yandex 360’ta belirtin ve Domain ID’sini alın

  1. Kurumlar için Yandex 360 açın.
  2. Çoklu Oturum Açma (SSO) sekmesine tıklayın.
  3. Ayarla’ya tıklayın.
  4. SCIM Senkronizasyonu bölümünde, 2. adımda elde ettiğiniz uygulama ID’sini yapıştırın.
  5. Domain ID’nizi kopyalayın, bir sonraki adımda işinize yarayacaktır.
  6. Değişiklikleri kaydedin.

Adım 4 Windows Eşitleme hizmetini kurun ve yapılandırın

  1. YandexADSCIM hizmetini indirip yükleyin.

  2. Yapılandırma dosyasını bulun ve herhangi bir metin düzenleyicide açın -%ProgramData%\Yandex\YandexADSCIM\AD_Users.config

    İpucu. %ProgramData% klasörünü bulamıyorsanız, Gizli Dosyaları Göster’i açın.

    Yapılandırma dosyasını ayarlayın:

    1. LDAP parametresinin değerinde Active Directory’ye bağlanma yolunun doğru olup olmadığını kontrol edin. Değilse, düzeltin.
    2. BearerToken parametresinin değerine 2. adımda elde edilen OAuth belirtecini belirtin.
    3. DomainID parametresinin değerinde, 3. adımda elde edilen alan ad ID’sini belirtin.
    4. SCIM senkronizasyonunu şimdi başlatmak istiyorsanız DryRun parametresinin değerini false olarak değiştirin. True olarak ayarlanırsa hizmet test modunda çalışır, istekleri günlüklere kaydeder, ancak çalışanları ve grupları senkronize etmez.
    5. Active Directory’den genel bir kullanıcı verisi kümesini senkronize edin. Bununla birlikte # sembolü ile başlayan satırlar uygulama tarafından dikkate alınmayacaktır.
      YandexADSCIM yardımcı programı ayarının adı Öznitelik adı (rus) Active Directory’den varsayılan değer Örnek
      PropertyFirstName Ad givenName Ivan
      PropertyMiddleName Baba adı middleName Ivanovich
      PropertyLastName Soyad sn (SurName) Ivanov
      PropertyWorkMail Ana e-posta mail I_ivanov@domain.ru
      PropertyTitle Görevi Title Geliştirici
      YandexADSCIM yardımcı programı ayarının adı Öznitelik adı (rus) Active Directory’den varsayılan değer Örnek
      PropertyFirstName Ad givenName Ivan
      PropertyMiddleName Baba adı middleName Ivanovich
      PropertyLastName Soyad sn (SurName) Ivanov
      PropertyWorkMail Ana e-posta mail I_ivanov@domain.ru
      PropertyTitle Görevi Title Geliştirici

      Property ile başlayan öznitelikler, Yandex 360’ta kullanıcı oluştururken veya senkronize ederken ayarları yeniden atamanıza olanak tanır.

      Daha fazla bilgi

      PropertyLoginName = objectSID/objectGUID/UPN, burada UPN – varsayılan değer. username@domain.com yerine username özniteliğini kullanıyorsanız, IgnoreUsernameDomain = true anahtarını eklemelisiniz. Bu özelliğin değeri, ortak kurumsal giriş olan SSO ayarlarından NameID özelliğinin değerine eşit olmalıdır:

      • PropertyFirstName = User first name
      • PropertyMiddleName = User middle name
      • PropertyLastName = User last name
      • PropertyDisplayName = User display name
      • PropertyWorkMail = User e-mail
      • PropertyTitle = User job title
      • PropertyMobilePhoneNumber = Mobile phone number
      • PropertyWorkPhoneNumber = Work phone number
      • PropertyIpPhoneNumber = User ip phone number

      Property ile başlayan parametreler birden çok kez belirtilebilir, bu durumda parametrenin değeri bir listedir.

      Örneğin, kullanıcının soyadını almak için şu öznitelikleri ayarlayabilirsiniz: PropertyLastName = surName, PropertyLastName = sn, PropertyLastName = lastName. surName özniteliği mevcutsa, onun değeri kullanılacaktır. Eğer bu öznitelik mevcut değilse, sn özniteliğinin değeri kullanılacaktır. O da mevcut değilse, lastName özniteliğinin değeri.

    6. Active Directory'deki posta kutusunun eş adreslerinin Yandex 360 for Business ile eşitlenmesi gerekiyorsa EnableAliases parametresini ekleyip true değerini kullanın. Active Directory'deki proxyAdresses kullanıcı özelliğinde SMTP türüyle belirtilen alan adı tabanlı eş e-posta adresleri, Yandex 360 for Business'taki çalışan hesabına otomatik olarak eklenir.

      Önemli. Eş e-posta adreslerinin doğru eşitlenmesi için YandexADSCIM yardımcı programının sürümünün 1.1.0.144 veya üzeri olması gerekir.
    7. LDAP dizini adresi oluşturun: arama parametrelerinde kendi değerlerinizi yazın.
      Bir arama sorgusu için, DIT = Directory Information Tree yapısındaki yolu kullanın (sağdan sola okuyun): LDAP = LDAP://CN=Users,OU=DomainGroup,DC=YourCompanyName,DC=com
      • DC: domainComponent, kendi alan adı ve alan adı bölgesi;
      • OU: OrganizationUnit, kullanıcıları almak istediğiniz şirket\\departman\\bölüm;
      • CN: commonName, dizinden almak istediğiniz nesnenin adı.

      Kullanıcıların karşıya yüklenmesini sınırlamak için UsersFilter filtresi kullanabilir ve standart LDAP sorgusu sözdizimini uygulayabilirsiniz:

      UsersFilter =(memberOf=CN=groupname,CN=Users,DC=domainname,DC=com)

    8. Active Directory’den grupları senkronize edin: EnableGroups parametresini true değeriyle ekleyin.

      Grup listesini sınırlamak için GroupsFilter filtresi kullanabilir ve standart LDAP sorgusu sözdizimini uygulayabilirsiniz. Örneğin, tüm bülten listelerini indirmek için aşağıdaki filtreyi kullanın:

      GroupsFilter =(&(objectClass=group)(!(groupType:1.2.840.113556.1.4.803:=2147483648)))

    9. Active Directory’den genel bir grup öznitelikleri kümesini eşitleyin.
      YandexADSCIM yardımcı programı ayarının adı Öznitelik adı (rus) Active Directory’den varsayılan değer Örnek
      PropertyGroupDisplayName İsim name Entegrasyon projesi
      PropertyGroupDescription Açıklama description Entegrasyon projesinde yer alan çalışanlar
      PropertyGroupEmail Bülten mail int@domain.ru
      YandexADSCIM yardımcı programı ayarının adı Öznitelik adı (rus) Active Directory’den varsayılan değer Örnek
      PropertyGroupDisplayName İsim name Entegrasyon projesi
      PropertyGroupDescription Açıklama description Entegrasyon projesinde yer alan çalışanlar
      PropertyGroupEmail Bülten mail int@domain.ru

      Property ile başlayan öznitelikler, Yandex 360’ta grup oluştururken veya senkronize ederken ayarları yeniden atamanıza izin verir.

      Daha fazla bilgi

      Bu tür parametreler birkaç kez belirtilebilir, bu durumda parametrenin değeri bir liste olacaktır.

      Örneğin, bir grubun adını elde etmek için aşağıdaki öznitelikleri ayarlayabilirsiniz: PropertyGroupDisplayName = name, PropertyGroupDisplayName = cn. Eğer name özniteliği varsa, onun değeri kullanılacaktır. Eğer bu öznitelik mevcut değilse, cn özniteliğinin değeri kullanılacaktır.

    10. Servisi ilk kez başlatmadan önce DryRun parametresinin değerini true olarak değiştirin. Servisi başlatma sıklığı, UpdateEveryMins = N parametresi tarafından belirlenir, burada N dakika cinsinden aralıktır. Servisi araç çubuğundan çalıştırın ve günlük dosyasını analiz edin.
      Günlüklerdeki sistem mesajları
      Bildirim Sonuç
      CORE Update user: user@domain.ru (Active:true -> false) Kullanıcı engellenecektir.
      SCIM Update user Yandex’te kullanıcı özniteliklerini değiştirme.
      SCIM Add user Yandex’e kataloğuna kullanıcı ekleme.
      CORE Users: added 0, removed 3237, modified 0 Eklendi – 0, engellendi – 3237, değiştirildi – 0.
      SCIM GET Users: Response is successful Kullanıcılar Yandex kataloğundan başarıyla okundu.
      AD Received user count: N Active Directory’den N kullanıcı yüklendi.
      AD Received groups count: N Active Directory’den N grup yüklendi.
      AD_CONFIG Wrong line N Yapılandırma dosyasının 31. satırında hata.
      Bildirim Sonuç
      CORE Update user: user@domain.ru (Active:true -> false) Kullanıcı engellenecektir.
      SCIM Update user Yandex’te kullanıcı özniteliklerini değiştirme.
      SCIM Add user Yandex’e kataloğuna kullanıcı ekleme.
      CORE Users: added 0, removed 3237, modified 0 Eklendi – 0, engellendi – 3237, değiştirildi – 0.
      SCIM GET Users: Response is successful Kullanıcılar Yandex kataloğundan başarıyla okundu.
      AD Received user count: N Active Directory’den N kullanıcı yüklendi.
      AD Received groups count: N Active Directory’den N grup yüklendi.
      AD_CONFIG Wrong line N Yapılandırma dosyasının 31. satırında hata.
  3. Yapılandırma dosyasındaki değişiklikleri uygulamak için hizmeti durdurun ve yeniden başlatın. Bunu yapmak için komut satırında (cmd.exe) sc stop yandexadscim ve ardından sc start yandexadscim yazın. Bunu Görev Yöneticisi’ndeki Hizmetler sekmesinde de yapabilirsiniz.

Ayarları değiştirme

Ayarları değiştirmek istiyorsanız, yapılandırma dosyasında değişiklik yapın ve ardından komut satırı veya görev yöneticisi aracılığıyla YandexADSCIM hizmetini yeniden başlatın.

Günlükleri görüntüleme

Tüm hizmet günlükleri %ProgramData%\\Yandex\\YandexADSCIM klasöründe saklanır.

Hizmeti durdurma

YandexADSCIM bir Windows hizmetidir, bu nedenle sistem başlangıcında otomatik olarak yürütülür ve kullanıcının durumuna bağlı değildir. Ancak manuel olarak devre dışı bırakabilirsiniz, bunun için komut satırına sc stop yandexadscim yazın veya görev yöneticisinde Durdur’a tıklayın.

Hizmeti kalıcı olarak kaldırmak istiyorsanız sc delete yandexadscim komutunu kullanın.

Servisin çalışması sırasında olası durumlar

Durum Sonuç
Kullanıcının Active Directory’deki öznitelikleri değişti, ancak benzersiz tanımlayıcı değişmedi. Sistem, Yandex kataloğundaki öznitelikleri güncelleyecektir (ana e-posta ve NameID hariç).
Kullanıcının benzersiz tanımlayıcısı değişti. Sistem, başlangıçtaki kimliğe sahip nesneyi bulamayacak ve önceki kullanıcıyı engelleyecektir. Ardından, sistem yeni bir tanımlayıcıyla kullanıcıyı eklemeye çalışacak, ancak kullanıcının oturum açma bilgileri zaten bir önceki kullanıcı tarafından alındığı için bunu yapamayacaktır. Engellenen bir kullanıcıyı silerseniz, sistem eskisinden herhangi bir veri aktarmadan yenisini ekler.
Kullanıcı, Active Directory’de silinmiştir. Kullanıcı Yandex kataloğunda engellenecektir.
Active Directory’de yeni kullanıcı. Kullanıcı, ilgili özniteliklerle Yandex dizinine eklenir.
Yandex dizinindeki tüm kullanıcılar engellendi. Bu şu durumlarda olabilir:
  • Ana tanımlayıcının alanı değişti;
  • Uygulama bir nedenle Active Directory’deki kullanıcıları okuyamadı.
Durum Sonuç
Kullanıcının Active Directory’deki öznitelikleri değişti, ancak benzersiz tanımlayıcı değişmedi. Sistem, Yandex kataloğundaki öznitelikleri güncelleyecektir (ana e-posta ve NameID hariç).
Kullanıcının benzersiz tanımlayıcısı değişti. Sistem, başlangıçtaki kimliğe sahip nesneyi bulamayacak ve önceki kullanıcıyı engelleyecektir. Ardından, sistem yeni bir tanımlayıcıyla kullanıcıyı eklemeye çalışacak, ancak kullanıcının oturum açma bilgileri zaten bir önceki kullanıcı tarafından alındığı için bunu yapamayacaktır. Engellenen bir kullanıcıyı silerseniz, sistem eskisinden herhangi bir veri aktarmadan yenisini ekler.
Kullanıcı, Active Directory’de silinmiştir. Kullanıcı Yandex kataloğunda engellenecektir.
Active Directory’de yeni kullanıcı. Kullanıcı, ilgili özniteliklerle Yandex dizinine eklenir.
Yandex dizinindeki tüm kullanıcılar engellendi. Bu şu durumlarda olabilir:
  • Ana tanımlayıcının alanı değişti;
  • Uygulama bir nedenle Active Directory’deki kullanıcıları okuyamadı.

Uygulama güncellemesi

Uygulama, geliştiriciye yeni bir sürümün kullanılabilirliği hakkında periyodik olarak istekte bulunur ve AutoUpdate = True bayrağı ayarlanmışsa otomatik olarak güncellenir. Uygulamanın belirli bir kullanıcıdan çalıştırılmasını ayarladıysanız, ayar çalışmaz.