Импорт из Active Directory
Этот функционал предназначен для импорта новых и обновления существующих пользователей из Active Directory в QP7. Синхронизация осуществляется на уровне групп и на уровне пользователей по кнопке Синхронизировать(Synchronize).
Настройка
Перед началом процесса импорта нужно настроить параметры LDAP-соединения. Для этого в конфигурационном файле QP7 в секции app_vars задаются параметры
<app_var app_var_name="ADsConnectionString">Provider=ADsDSOObject;User ID=user; Password=pass;</app_var>
<app_var app_var_name="ADsPath">LDAP://my_server.my_domain.ru/DC=my_domain,DC=ru</app_var>
Пользователь, под которым выполняется бэкенд QP7.Framework должен обладать достаточными правами для выполнения LDAP-запросов.
Синхронизация групп
Перед синхронизацией пользователь должен задать поле NT-логин для группы.
По NT-логин составляется LDAP-запрос для получения пользователей группы и выполняется. Все пользователи, найденные в группе Active Directory, синхронизируются с пользователями, cуществующими в Q-Publishing группе по следующему алгоритму:
cопоставление пользователей осующествляется по NT-логин.
новые пользователи (которые есть в Active Directory, но их нет в QP7) добавляются, у них прописываются параметры: логин (NT-логин от последнего слэша), NT-логин, E-mail, Имя, Фамилия. Галочка Автоматический вход выставляется. Генерируется случайный пароль. Если какие-либо необходимые для QP7 параметры в Active Directory не заданы, то в это поле в QP7 вставляется значение Undefined. Если пользователь есть в AD и он в состоянии disabled, то он не копируется.
Для существующих пользователей (есть в Active Directory, есть в QP) обновляются параметры: Пароль, E-mail, Имя, Фамилия. Если какие-либо необходимые для QP7 параметры в Active Directory не заданы, то в это поле в QP7 вставляется значение Undefined. Если пользователь есть в Active Directory и он в состоянии disabled, то параметры переносятся в QP7, но для пользователя QP7 также выставляется галочка Блокировать.
Для пользователей, удаленных из группы Active Directory (нет в Active Directory, есть в QP7) выставляется галочка Блокировать. При этом выполняется проверка, в какие еще группы QP входит пользователь. По группам, которые имеют NT-логин, проверяются группы Active Directory. Но если при этой проверке обнаруживается, что пользователь имеет статус disabled в Active Directory, то выставляется галочка Блокировать в QP7. И только если пользователь входит еще куда-либо и не имеет статуса disabled в Active Directory, то для него не выставляется галочка Блокировать.
Синхронизация пользователей
Действия, которые выполняются в цикле для членов группы в функционале синхронизации групп, здесь выполняются только для одного пользовтеля.