В настройках есть возможность выбрать эти Типы аутентификации (Kerberos или Negotiate), но в документации про них нет ни слова.

Нужна интеграция с Active Directory. Или только NTLM?

Нравится

4 комментария
Лучший ответ

Леонид, по Kerberos есть такая документация.

мы использовали ntml

Леонид, по Kerberos есть такая документация.

Зверев Александр,

Большое спасибо, Александр.
А Вы использовали этот метод?

Нет.

Показать все комментарии

Непосредственно встроенного в приложение подобного функционала именно по отслеживанию что конкретно будет импортировано при определенном фильтре - нет.
Но вы можете воспользоваться сторонней утилитой для подобных целей.

LDAP Provider Test

 

Для корректной настройки параметров поиска можно использовать утилиту, которая в точности повторяет поисковые запросы используемые в Creatio.

На скриншоте интерфейс утилиты в котором необходимо указать параметры подключения к северу AD и ввести параметры поисковых запросов.

 

В поле LDAPEntry необходимо указать элемент орг. структуры LDAP

В поле LDAPFilter необходимо указать условие для формирования списка групп\пользователей

 

По нажатию на кнопку Find будет выполнен соответствующий поиск по дереву AD и результаты будут выведены в реестр ниже.

Прикрепленные файлы

Нравится

Поделиться

0 комментариев
Показать все комментарии

Было бы удобно если бы можно было выбирать в какие поля делать синхронизацию, к примеру через выпадающий список.

Такая идея появилась когда оказалось что в компании у нас ФИО латинскими буквами а имя и фамилия поля русскими. Заказчику нужно ФИО в системе на русском, и потому при каждом обновлении приходится переписывать стандартную логику что бы подменять ее и получать поля (одно кидается в ФИО а второе в рабочий телефон, а потом склеивается в ФИО)

1 комментарий

Здравствуйте, Александр!

Передали данное пожелание команде разработки для анализа возможности внедрения такой возможности в будущих версиях продукта.

Показать все комментарии

Добрый день! У нас настроена интеграцию с AD (через LDAP) и также включена у пользователей аутентификация через LDAP. Возникла следующая проблема: при изменении ФИО контакта эти данные после автоматической синхронизации с LDAP "презатираются". Каким образом можно отключить такое переименование у некоторых Контактов? Спасибо!

Нравится

1 комментарий
Лучший ответ

У меня 2 инсталляции. Заметил такую особенность. В одной пользователи создаются автоматом из Ldap. В этой инсталляции всегда переименовывается ФИО как в AD.

Во второй инсталляции я Контакты и пользователей создавал вручную и подвязывал к каждому пользователю имя из AD. В этой инсталляции ФИО не меняется, хотя все остальные данные (должность, активность) меняются. Разница настроек в том, что в первой инсталляции у меня связь с группами на уровне Оргролей, а во второй связь только на уровне пользователя.

Может будет полезно. А вообще сейчас я переписываю синхронизацию с LDAP под себя.

У меня 2 инсталляции. Заметил такую особенность. В одной пользователи создаются автоматом из Ldap. В этой инсталляции всегда переименовывается ФИО как в AD.

Во второй инсталляции я Контакты и пользователей создавал вручную и подвязывал к каждому пользователю имя из AD. В этой инсталляции ФИО не меняется, хотя все остальные данные (должность, активность) меняются. Разница настроек в том, что в первой инсталляции у меня связь с группами на уровне Оргролей, а во второй связь только на уровне пользователя.

Может будет полезно. А вообще сейчас я переписываю синхронизацию с LDAP под себя.

Показать все комментарии

Проблема заключается в том что в LDAP имя и фамилия латиницей указаны отдельно а в displayName указаны латинице. Пользователи хотят видеть кирилицу.

Можно ли в поле "ФИО" совместить через меню настройки LDAP синхронизации два атрибута или там только один может быть?

Нравится

2 комментария

Нет, один атрибут синхронизируется с одним полем.

Если всё же планируете разобраться и что-то переделать в механизме синхронизации с LDAP, см. эту и эту темы.

Зверев Александр,

Спасибо. Так и реализовано сейчас, через кастомизацию, и как подметил 

Мотков Илья при каждом обновлении приходится проводить адаптацию кода так как он меняется в этом пакете при каждом обновлении

Показать все комментарии

Вопрос:

Настраивал аутентификацию через LDAP. Дошел до параметра, где есть возможность сделать сквозную авторизацию, установил нужный параметр, но при переходе на страницу портала все равно запрашивает запрашивает логин  и пароль  в виде аутентификации windows:

Если ввести данные один раз, то они сохраняются в кэше до перезапуска браузера.

Как решить вопрос с отображением окна доменной авторизации?

Ответ:

При первом входе в приложение браузер запрашивает доменный логин/пароль (см. рис. выше). Это связано с тем, что браузер по умолчанию не отправляет учетные данные текущего пользователя, и для доступа к ресурсу, требующего windows-авторизацию, идет каждый раз запрос доменных данных.

Для того, чтобы мы каждый раз не вводили логин/пароль нужно применить следующие настройки.

  • Internet Explorer

Браузер IE по умолчанию отправляет учетные данные ресурсу и дополнительный ввод логина/пароля не требуется.

  • Google Chrome

Переходим в настройки интернета на вкладку Security, выбираем Internet Zone и жмем на Custom Level.

Далее в самом низу выбираем User Authentication -> Logon -> Automatic logon with current user name and password.

Если мы не хотим настраивать для всех сайтов — можем добавить определенный адрес в доверенные (Trusted Sites) и для этой зоны выполнить соответствующие настройки.
Если сайт локальный, такие же настройки делаем для локальной зоны.

  • Firefox
  1. Запустите Firefox и в адресной строке введите about:config и нажмите ENTER.
  2. В строке фильтров укажите ключевой слово NTLM, в результате чего перед вами останется три параметра, нас интересует параметр   network.automatic-ntlm-auth.trusted-uris.
  3. Двойной  клик по данному параметру откроет окно с текстовым полем, куда можно внести список URL (через запятую), для которых будет поддерживаться автоматическая сквозная NTLM аутентификация. Формат такой: http://project-tc, https://work.bpmonline.com. Если необходимо добавить все сайты в домене (обычно это внутренний корпоративный домен), нужно указать: .bpmonline.com.

* Если окошко авторизации постоянно появляется при работе, вышеуказанные настройки выполнены, а ввод авторизационных данных не дает результатов (после ввода данных окошко появляется вновь и вновь), то необходимо открыть в браузере Developer Tools (Google Chrome) и посмотреть в секции Network последний запрос на сервер (причина окошка авторизации) перед появлением окошка. В таком примере был запрос вида /0/ServiceModel/MsgUtilService.svc/LogInMsgServer, и проблема решилась после очистки системной настройки "Библиотека обмена сообщениями по умолчанию".

 

* * To enable support for the WebSocket Protocol on Windows Server 2012, use the following steps:

1.Open Server Manager.

2.Under the Manage menu, click Add Roles and Features.

3.Select Role-based or Feature-based Installation, and then click Next.

4.Select the appropriate server, (your local server is selected by default), and then click Next.

5.Expand Web Server (IIS) in the Roles tree, then expand Web Server, and then expand Application Development.

6.Select WebSocket Protocol, and then click Next.

7.If no additional features are needed, click Next.

8.Click Install.

9.When the installation completes, click Close to exit the wizard.

Нравится

Поделиться

0 комментариев
Показать все комментарии

Добрый день!

Несколько справочных полей контакта сделали обязательными и теперь при синхронизации с LDAP не добавляются новые сотрудники, т.к. данное поле нельзя указать в настройках синхронизации с LDAP. Возможно кто-то сталкивался с этим и знает как добавить поля? 

Нравится

3 комментария

В таких случаях нужно делать поля обязательными на уровне страницы, а не объекта.

Зверев Александр,

Александр, вы имеете в виду через бизнес правило на странице? А если поле должно быть обязательно всегда?

В коде страницы, свойство isRequired атрибута.

Показать все комментарии

Добрый день!

На странице настройки синхронизации с LDAP одно из обязательных полей [Уникальный идентификатор пользователя]. По умолчанию заполняется значением ObjectSid. У меня возник вопрос: значения данного атрибута из AD хранятся где-нибудь в системе BPM Online? Если да, то в каком объекте и в каком поле. Насколько я понял, данные о пользователе AD хранятся в системе в объекте LDAPElement.

Нравится

3 комментария

Добрый день, Дмитрий.

Верно, это значение хранится в таблице LDAPElement - колонка LDAPEntryId.

Антон Малий,

Антон, добрый день! А подскажите, поле LDAPEntryDN в каком случае заполняется и как настроить его заполнение, если оно пустое?

Добрый день, Дмитрий.

В LDAPEntryDN хранится полный путь к пользователю в AD. Оно заполняется автоматически при синхронизации. Пустым оно не должно быть, так как по этому пути BPM ищет пользователя в AD.

Показать все комментарии

Кейс:

Есть список контактов в системе

настроена интеграция с ЛДАП люди аторизуются все вроде ничего.

добавили учетку в ЛДАП с фио как в контактах и при синхронизации с лдап создалась учетная запись в BPM но мало того так еще и создался контакт одноименный

теперь у меня 2 одинаковых контакта что есть неверно.

Как настроить интеграцию с ЛДАП чтоб при попадание УЗ в BPM не создавались контакты а использовались те что уже есть.

р.ы. нельзя изменить процесс сперва контакты создаются в BPM

а учетка в ЛДАП потом.

Нравится

3 комментария

Добрый день, Алексей.

Уточните версию BPM - процесс значительно менялся со временем, возможно в новых версиях эта ошибка уже исправлена, так как по умолчанию он должен подтягивать уже существующий контакт.

Антон Малий,

 

bpm'online service enterprise 7.11.0.3122

если это было обновлено то как можно только часть отвечающую за интеграцию с ЛДАП обновить ?

Добрый день, Алексей.

Уточнил информацию у разработчиков - бизнес-процесс не проверяет наличие уже существующего контакта, а создает новый. Для решения Вашей проблемы можно либо вручную привязать нужные контакты к аккаунтам, либо самостоятельно заместить и модифицировать процесс синхронизации LDAP, так как в текущих релизах это сторона синхронизации не затрагивалась.

P.S. В любом случае рекомендуем обновиться до актуальной версии - 7.12.1. В новых релизах исправлены некоторые ошибки и добавлен новый функционал.

Показать все комментарии

Коллеги, добрый день.
Хотел уточнить есть ли возможность загрузки фото сотрудников в bpm'online sales enterprise при синхронизации с каталогами LDAP?

Нравится

3 комментария

Здравствуйте, Роман

На данный момент в механизме синхронизации с LDAP нет возможности синхронизации фото сотрудников с приложением bpmonline.

В свою очередь я зарегистрировал Ваше пожелание и передал аналитикам продукта на рассмотрение актуальности и возможности реализации данного функционала в будущих версиях приложения.

Denys Diachenko, Денис спасибо! 
Может есть другие методы решения этого вопроса или все-таки придётся добавлять фото вручную? 

Роман Никулин,

на данный момент в приложении нет возможности решить такую задачу базовыми средствами приложения и также мы не имеем примеров решения такой задачи. Как обходные решения, могу Вам предложить либо ручное обновление записей либо Вы можете самостоятельно доработать функционал синхронизации с LDAP используя нашу документацию по разработке по ссылке https://academy.terrasoft.ru/documents/technic-sdk/7-11/dokumentaciya-p…

Показать все комментарии