ADSCIM yardımcı programını kullanarak kullanıcıları ve grupları LDAP kataloğu ile senkronize etme

Şirketiniz Active Directory Federasyon uygulamasını dağıttıysa, çalışanları ve grupları Yandex 360 for Business ile otomatik olarak senkronize edecek şekilde yapılandırabilirsiniz. Bunun için özel bir Windows uygulamasını kurmanız ve yapılandırmanız gerekir.

Active Directory’den kullanıcı senkronizasyonunu etkinleştirmek istiyorsanız, YandexADSCIM’i (bilgisayarda Windows hizmeti olarak bir yardımcı program) aşağıdaki talimatlara göre kurun ve programı LDAP dizininden okuma haklarına sahip bir kullanıcı olarak çalıştırın. YandexADSCIM, Servisler ek bileşeni aracılığıyla yönetilmektedir. Ayarlar yapılandırma dosyasından değiştirilmektedir.

Active Directory, Samba DC ve Red ADM katalogları artık tam olarak desteklenmektedir. Diğer LDAP dizinleri, gelecekte YandexADSCIM yardımcı programı *nix-platformlarına taşındığında tam olarak desteklenecektir. Şimdilik o diğer LDAP dizinleriyle çalışmayı yapılandırmak için kullanılabilir, ancak Windows İşletim Sistemi kurulu bir cihazda çalıştırmanız gerekir.

ADSCIM’in bağlanması ve ilk yapılandırılması

Adım 1. Kurulumu başlatın

1. Ortak kurumsal girişin (SSO’nun) bağlı olduğunu ve düzgün çalıştığını kontrol edin. Tek bir giriş nasıl bağlanır?

2. Benzersiz bir kullanıcı kimliği belirleyin:

   • Yandex kataloğuna getirmek için ADSCIM PropertyLoginName yardımcı program parametresine aktarılacak Active Directory özniteliğini seçin:

     • UPN (ADSCIM’de userPrincipalName) – kullanıcı oturum açma adları değişmeyecekse;

     • objectSID, objectGUID veya diğer – alan adında veya iş süreçlerinde kullanıcıların UPN’inde değişikliğe neden olabilecek planlanmış değişiklikler varsa.

   Dikkat

   Birincil tanımlayıcı olarak ayarladığınız öznitelik değişmemelidir. Farklı bir oturum açma özniteliğine sahip bir kullanıcı, yeni bir kullanıcı olarak kabul edilecektir.

   • Kullanıcılarınız zaten Yandex 360 hizmetlerini kullanıyor ve SAML 2.0 protokolünü kullanarak kimlik doğrulaması yapıyorsa, öznitelik eşleşmesini kontrol edin: attribute değeri Active Directory’de belirtilen NameID, ADSCIM yardımcı programının ana tanımlayıcısı PropertyLoginName ile eşleşmelidir.

   PropertyLoginName hakkında daha fazla bilgi için bölüm 2.5, adım 4’e bakın.

3. Active Directory’deki kullanıcıların özniteliklerinin doldurulup doldurulmadığını kontrol edin:

   • Ana tanımlayıcı olarak seçilen tanımlayıcı;

   • User SamAccountName;

   • E-posta.

Adım 2. Client ID ve OAuth belirteci alın

1. Uygulama oluşturma sayfasına gidin. Git

2. Servisin adını girin ve simgesini ekleyin.

3. Uygulama platformları bölümünde Web servisleri’ni seçin. Redirect URI alanında, Hata Ayıklama için URL’yi yaz bağlantısına tıklayın.

4. Veri Erişimi bloğunda satırın başında Federasyonların yönetimi erişim adını girin.

5. İletişim için e-postayı belirtin. Sayfanın alt kısmında, Uygulama Oluştur’a tıklayın.

6. OAuth-belirteci almak için POST-sorgu gönderin. Örneğin, cURL aracılığıyla bu aşağıdaki komutla yapılabilir:

   curl -X POST https://oauth.yandex.ru/token -d "grant_type=client_credentials&client_id=değer1&client_secret=değer2"
   

   client_id parametresinin değeri, oluşturulan uygulamanın ID değeridir, client_secret parametresinin değeri ise secret key değeridir.

7. Alınan ID ve OAuth belirtecini kaydedin. Sonraki adımlarda kullanılacaklar.

Adım 3. Client ID’yi Yandex 360’ta belirtin ve Domain ID’sini alın

1. Yandex 360 for Business’ta kuruluşunuzun hesabını açın. Git

2. Genel Ayarlar → Tek Oturum Açma (SSO) bölümüne gidin.

3. Ayarla’ya tıklayın.

4. SCIM Senkronizasyonu bölümünde, 2. adımda elde ettiğiniz uygulama ID’sini yapıştırın.

5. Domain ID’nizi kopyalayın, bir sonraki adımda işinize yarayacaktır.

6. Değişiklikleri kaydedin.

Adım 4 Windows Eşitleme hizmetini kurun ve yapılandırın

1. YandexADSCIM hizmetini indirip yükleyin. Kurulum dosyasını indirin

2. %ProgramData%\Yandex\YandexADSCIM\AD_Users.config yapılandırma dosyasını bulun ve herhangi bir metin düzenleyicide açın.

   Öneri

   %ProgramData% klasörünü bulamıyorsanız, Gizli Dosyaları Göster’i açın. Nasıl yapılır

   Yapılandırma dosyasındaki her ayar anahtar=değer biçiminde ayrı bir satır olarak yazılır. # sembolü ile başlayan satırlar uygulama tarafından dikkate alınmayacaktır.

   Yapılandırma dosyasını ayarlayın:

   1. LDAP parametre değerinin Active Directory’ye bağlanmak için doğru yolu belirttiğini doğrulayın. Değilse, düzeltin. Arama parametrelerine kendi değerlerinizi girin.

      Bir arama sorgusu için DIT = Directory Information Tree yapısındaki yolu kullanın (sağdan sola doğru okuyun):

      LDAP = LDAP://CN=Users,OU=DomainGroup,DC=YourCompanyName,DC=com
      

      Burada

      • DC: domainComponent, kendi alan adı ve alan adı bölgesi;

      • OU – OrganizationUnit, kullanıcıları getirmek istediğiniz şirket, departman veya bölüm;

      • CN: commonName, dizinden almak istediğiniz nesnenin adı.

   2. BearerToken parametresinin değerine 2. adımda elde edilen OAuth belirtecini belirtin.

   3. DomainID parametresinin değerinde, 3. adımda elde edilen alan ad ID’sini belirtin.

   4. DryRun parametresinin değeri başlangıçta true olarak ayarlanır. Bu değeri girmezseniz, uygulama bu aşamada test modunda çalışacaktır. Sorgular kayıtlarda tutulacak ancak herhangi bir senkronizasyon gerçekleşmeyecektir. SCIM senkronizasyonunu şimdi başlatmak istiyorsanız parametrenin değerini false olarak değiştirin.

   5. Active Directory’den kullanıcı verilerini senkronize edin. Property ile başlayan parametreler, Yandex 360’ta gruplar oluştururken veya senkronize ederken öznitelikleri yeniden atamanızı sağlar.

      Kullanıcı kimliğine karşılık gelen PropertyLoginName parametresi üç değerden birini alabilir:

      • userPrincipalName – UPN – varsayılan değer;

      • objectSID;

      • objectGUID.

      Parametrenin değeri özniteliğin NameID değeriyle eşleşmelidir.

      username@domain.com yerine username biçiminde bir öznitelik kullanırsanız, ek olarak IgnoreUsernameDomain parametresini true değeriyle belirtin.

      Diğer özel öznitelikler için:

      YandexADSCIM yardımcı programı parametresinin adı	Öznitelik adı (rus.)	Active Directory’den varsayılan değer	Örnek
      PropertyFirstName	Ad	givenName	Ivan
      PropertyMiddleName	Baba adı	middleName	Ivanovich
      PropertyLastName	Soyad	sn (SurName)	Ivanov
      PropertyDisplayName	Görüntülenen ad	displayName	Ivanov I. I.
      PropertyWorkMail	Ana e-posta	mail	I_ivanov@domain.ru
      PropertyTitle	Görevi	title	Geliştirici
      PropertyMobilePhoneNumber	Cep telefonu	mobile	+7 012 345-67-89
      PropertyWorkPhoneNumber	İş telefonu	telephoneNumber	+7 495 123-45-67
      PropertyIpPhoneNumber	IP telefonu	ipPhone	7495 012-34-56

      Property ile başlayan parametreler birden çok kez belirtilebilir, bu durumda parametrenin değeri bir listedir. Bu durumda özniteliklerin sırası önemlidir. Örneğin, kullanıcının soyadını almak için şu öznitelikleri ayarlayabilirsiniz: PropertyLastName = surName, PropertyLastName = sn, PropertyLastName = lastName. surName özniteliği mevcutsa, onun değeri kullanılacaktır. Eğer bu öznitelik mevcut değilse, sn özniteliğinin değeri kullanılacaktır. O da mevcut değilse, lastName özniteliğinin değeri.

   6. Kullanıcıların karşıya yüklenmesini sınırlamak için UsersFilter filtresi kullanabilir ve standart LDAP sorgusu sözdizimini uygulayabilirsiniz.

      • Kullanıcıları belirli bir gruptaki üyeliklerine göre seçmek için filtreyi kullanın:

        UsersFilter =(memberOf=CN=groupname,CN=Users,DC=domainname,DC=com)
        

      • Active Directory’de engellenen kullanıcıları örnek uygulamadan daha fazla hariç tutmak istiyorsanız filtre kullanın:

        UsersFilter =(&(memberOf=CN=groupname,CN=Users,DC=domainname,DC=com) (!(userAccountControl:1.2.840.113556.1.4.803:=2)))
        

        Senkronizasyon sonucunda, kuruluşunuzun e-posta alan adına kayıtlı olan ancak filtreye dahil edilmeyen kullanıcılar engellenecektir.

   7. Active Directory'deki posta kutusunun eş adreslerinin Yandex 360 for Business ile eşitlenmesi gerekiyorsa EnableAliases parametresini ekleyip true değerini kullanın. Active Directory'deki proxyAdresses kullanıcı özelliğinde SMTP türüyle belirtilen alan adı tabanlı eş e-posta adresleri, Yandex 360 for Business'taki çalışan hesabına otomatik olarak eklenir.

      Önemli

      Eş e-posta adreslerinin doğru eşitlenmesi için YandexADSCIM yardımcı programının sürümünün 1.1.0.144 veya üzeri olması gerekir. Kurulum dosyasını indirin

   8. Active Directory’den grupları senkronize edin: EnableGroups parametresini true değeriyle ekleyin.

      Grup listesini sınırlamak için GroupsFilter filtresi kullanabilir ve standart LDAP sorgusu sözdizimini uygulayabilirsiniz. Örneğin, tüm bülten listelerini indirmek için aşağıdaki filtreyi kullanın:

      GroupsFilter =(&(objectClass=group)(!(groupType:1.2.840.113556.1.4.803:=2147483648)))
      

   9. Grup özniteliklerini Active Directory’den senkronize edin. PropertyGroup ile başlayan parametreler, Yandex 360’ta gruplar oluştururken veya senkronize ederken öznitelikleri yeniden atamanızı sağlar.

      YandexADSCIM yardımcı programı parametresinin adı	Öznitelik adı (rus.)	Active Directory’den varsayılan değer	Örnek
      PropertyGroupDisplayName	İsim	name	Entegrasyon projesi
      PropertyGroupDescription	Açıklama	description	Entegrasyon projesinde yer alan çalışanlar
      PropertyGroupEmail	Bülten	mail	int@domain.ru

      PropertyGroup ile başlayan parametreler birkaç kez belirtilebilir – bu durumda parametrenin değeri bir liste olacaktır. Bu durumda özniteliklerin sırası önemlidir. Örneğin, bir grubun adını elde etmek için aşağıdaki öznitelikleri ayarlayabilirsiniz: PropertyGroupDisplayName = name, PropertyGroupDisplayName = cn. Eğer name özniteliği varsa, onun değeri kullanılacaktır. Eğer bu öznitelik mevcut değilse, cn özniteliğinin değeri kullanılacaktır.

   10. Harici irtibatları, onları Yandex 360’ta kullanıyorsanız, senkronize edin. Bunu yapmak için, EnableContacts parametresine true değerini ekleyin.

       Önemli

       İrtibatların doğru senkronize edilmesi için YandexADSCIM yardımcı programının sürümünün 1.1.0.156 veya üzeri olması gerekir. Kurulum dosyasını indirin

       Varsayılan olarak, (&(objectClass=contact)) LDAP sorgusunu karşılayan tüm nesneler Active Directory’den kişiler olarak senkronize edilecektir. İrtibat listesini sınırlamak için ContactsFilter filtresi kullanabilir ve standart LDAP sorgusu sözdizimini uygulayabilirsiniz. Örneğin, yalnızca groupname grubundaki kişileri boşaltmak için filtre kullanın:

       ContactsFilter = (&(objectClass=contact)(memberOf=CN=groupname,CN=Users,DC=domainname,DC=com))
       

   11. İrtibatların özniteliklerini Active Directory’den senkronize edin. PropertyContact ile başlayan parametreler, Yandex 360’ta gruplar oluştururken veya senkronize ederken öznitelikleri yeniden atamanızı sağlar.

       YandexADSCIM yardımcı programı parametresinin adı	Öznitelik adı (rus.)	Active Directory’den varsayılan değer	Örnek
       PropertyContactFirstName	Ad	givenName	Ivan
       PropertyContactMiddleName	Baba adı	middleName	Ivanovich
       PropertyContactLastName	Soyad	sn (SurName)	Ivanov
       PropertyContactTitle	Görevi	title	Geliştirici
       PropertyContactDepartment	Bölüm	department	Geliştirme Bölümü
       PropertyContactCompany	Şirket	company	“Harikalar Diyarı” LTD
       PropertyContactMail	Birincil e-posta*	mail	I_ivanov@domain.ru
       PropertyContactWorkPhone	Birincil iş telefon numarası	telephoneNumber	+7 495 123-45-67
       PropertyContactOtherWorkPhone	Diğer iş telefon numaraları	otherTelephone	+7 495 765-43-21
       PropertyContactMobile	Birincil cep telefonu	mobile	+7 012 345-67-89
       PropertyContactOtherMobile	Diğer cep telefonları	otherMobile	+7 987 654-32-10
       PropertyContactIpPhone	Birincil IP telefonu	ipPhone	7495 012-34-56
       PropertyContactOtherIpPhone	Diğer IP telefonları	otherIpPhone	7495 987-65-43
       PropertyContactAddress1	Adres – Sokak	streetAddress	Yubileynaya
       PropertyContactAddress2	Adres – Şehir	l	Podolsk
       PropertyContactAddress3	Adres – Bölge	st	Moskova bölgesi
       PropertyContactAddress4	Adres – İndeks	postalCode	142121

       (*) Ana olmayan e-posta – smtp: önekine sahip adresler (Active Directory’deki proxyAddresses) – geçersiz kılınamaz. Ancak ContactIgnoreProxyAddresses parametresi true değeriyle eklenerek devre dışı bırakılabilirler.

       PropertyContact ile başlayan parametreler birkaç kez belirtilebilir. Bu durumda parametrenin değeri bir listedir. Bu durumda özniteliklerin sırası önemlidir.

       Bu parametrelerin her biri, değer olarak - (eksi) karakteri belirtilerek de devre dışı bırakılabilir. Örneğin, “Pozisyon” özniteliğinin senkronizasyonunu devre dışı bırakmak için PropertyContactTitle = - şeklinde belirtmeniz gerekir.

   12. Servisi ilk kez başlatmadan önce, eğer daha önce false olarak değiştirdiyseniz (madde 2.4),** DryRun** parametresinin değerini true olarak değiştirin. Servisi başlatma sıklığı, UpdateEveryMins = N parametresi tarafından belirlenir, burada N dakika cinsinden aralıktır. Servisi araç çubuğundan çalıştırın ve günlük dosyasını analiz edin.

       Günlüklerdeki sistem mesajları

       Bildirim	Sonuç
       CORE Update user: user@domain.ru (Active:true -> false)	Kullanıcı engellenecektir.
       SCIM Update user	Yandex’te kullanıcı özniteliklerini değiştirme.
       SCIM Add user	Yandex’e kataloğuna kullanıcı ekleme.
       CORE Users: added 0, removed 3 237, modified 0	Eklendi – 0, engellendi – 3.237, değiştirildi – 0.
       SCIM GET Users: Response is successful	Kullanıcılar Yandex kataloğundan başarıyla okundu.
       AD Received user count: N	Active Directory’den N kullanıcı yüklendi.
       AD Received groups count: N	Active Directory’den N grup yüklendi.
       AD_CONFIG Wrong line N	Yapılandırma dosyasının N satırında hata.
       AD Received contacts count: N	Active Directory’den N kişi indirildi.
       SCIM Add SharedContact:	Yandex kataloğuna kişi ekleme.

3. Yapılandırma dosyasındaki değişiklikleri uygulamak için hizmeti durdurun ve yeniden başlatın. Nasıl yapılır

Ayarların değiştirilmesi

Ayarları değiştirmek istiyorsanız, yapılandırma dosyasında değişiklik yapın ve ardından komut satırı veya görev yöneticisi aracılığıyla YandexADSCIM uygulamasını talimatları kullanarak yeniden başlatın.

Kayıtları görüntüleme

Tüm hizmet günlükleri %ProgramData%\\Yandex\\YandexADSCIM klasöründe saklanır.

ADSCIM Güncellemeleri

Uygulama otomatik olarak güncellenir: yapılandırma dosyasında varsayılan olarak AutoUpdate = True değeri belirtilmiştir ya da bu parametre hiç yoktur, çünkü True değeri onun varsayılan değeri olarak kabul edilir.

Uygulamayı manuel olarak güncellemek istiyorsanız AutoUpdate = False seçeneğini belirtin. Artık uygulamayı güncellemek için YandexADSCIM’in en son sürümünü indirmeniz (download) ve kurulum dosyasını çalıştırmanız gerekecektir.

ADSCIM’i durdurma ve yeniden başlatma

YandexADSCIM bir Windows hizmetidir, bu nedenle sistem başlangıcında otomatik olarak yürütülür ve kullanıcının durumuna bağlı değildir. Ancak manuel olarak devre dışı bırakabilirsiniz – bunu yapmak için (cmd.exe) komut satırına sc stop yandexadscim yazın veya Görev Yöneticisi’nde Durdur öğesine tıklayın.

Uygulamayı yeniden başlatmak için komut satırına sc start yandexadscim yazın. ADSCIM’i Görev Yöneticisi’nde Uygulamalar sekmesi altında da yeniden başlatabilirsiniz.

ADSCIM’in silinmesi

Hizmeti kalıcı olarak kaldırmak istiyorsanız sc delete yandexadscim komutunu kullanın.

ADSCIM ile çalışırken karşılaşabilecek olası durumlar