Імпорт та синхронізація користувачів з Active Directory

Сценарії інтеграції IPI – Імпорт та синхронізація користувачів з AD

IPI надає два способи управління співробітниками в IPI Enterprise Server (IES):

  • Ручне управління: Додавання та управління співробітниками вручну в IES.

  • Інтеграція з Active Directory (AD): Синхронізація співробітників з певною групою в AD.

Також можна інтегрувати кілька доменів, включаючи Azure AD та локальну AD.

Кроки для імпорту та синхронізації користувачів з Active Directory

Крок 1: Налаштуйте параметри Active Directory

Переконайтеся, що налаштування Active Directory (AD On-premises, Azure AD) правильно сконфігуровані для інтеграції з IES.

Крок 2: Створіть групу в AD

  • У Active Directory створіть групу під назвою Security Key Owners.

  • Додайте всіх співробітників, яким будете надавати ключі IPI, до цієї групи.

Крок 3: Синхронізація з Active Directory

  • У IES натисніть кнопку Синхронізувати з AD.

  • Підтвердіть дію, натиснувши Синхронізувати зараз.

Примітка: Якщо під час синхронізації або оновлення пароля виникає помилка "Unavailable Critical Extension", скористайтеся нашим посібником з вирішення проблем для увімкнення Virtual List View.

Крок 4: Перевірте імпортованих співробітників

  • Переконайтеся, що всі співробітники з групи Security Key Owners з'явилися у списку співробітників IES.

  • Імпортовані з AD співробітники матимуть спеціальну іконку поруч з іменем і не можуть редагуватися вручну (кнопка Редагувати буде недоступна).

Примітка: Якщо вручну доданий співробітник має те саме ім'я, що й імпортований, дані AD замінять запис, доданий вручну.

Крок 5: Автоматична синхронізація

  • Список співробітників синхронізується щогодини.

  • Коли новий користувач додається до групи Security Key Owners, він з'являється у IES. Після цього ви можете призначити йому ключ і додати необхідні акаунти.

  • Коли користувача видаляють із групи Security Key Owners, його ключ буде деактивовано в IES, але він залишиться у списку співробітників. Вам потрібно отримати ключ у співробітника, очистити його через IPI Client, і ключ буде позначено як Готовий для подальшого використання.

Поведінка під час видалення користувача з групи синхронізації домену.

  • Залишити – Користувач залишиться на сервері IPI після видалення його з групи синхронізації в Active Directory. Він зможе використовувати SSO-вхід у вебсервіси та розблоковувати ПК.

  • Деактивувати – Користувач буде деактивований на сервері IPI, але не видалений після виключення з групи синхронізації в Active Directory. У такому стані він не зможе використовувати SSO-вхід у вебсервіси, але зможе розблоковувати ПК. Щоб знову активувати користувача, адміністратор повинен вручну активувати його в системі.

  • Видалити – Користувач буде повністю видалений із сервера IPI після його виключення з групи синхронізації в Active Directory. Він втратить доступ до SSO-входу у вебсервіси та можливість розблокування ПК. Щоб додати користувача знову, адміністратор має:

    • Додати його до групи синхронізації в Active Directory та виконати синхронізацію.

    • Додати користувача вручну.

    • Дочекатися автоматичної синхронізації (раз на годину сервер IPI автоматично синхронізується з Active Directory, імпортує користувачів із групи синхронізації та оновлює дані про них).

Сценарії з кількома доменами

У середовищі з кількома доменами користувачі з різних доменів зіставляються на основі їхньої електронної адреси. Якщо користувачі з різних доменів мають одну і ту ж електронну адресу, вони будуть об’єднані в один профіль користувача на сервері IES після синхронізації.

PreviousПідключення IPI Server до Microsoft Entra IDNextНалаштування доступу до Active Directory та делегування прав

Last updated