Перейти к содержанию

LDAP

Примечание

AppSec.Hub поддерживает работу с несколькими LDAP-сервисами.

Чтобы приступить к настройкам, нажмите иконку Administration Authorization и перейдите на вкладку LDAP services, на которой приводится перечень настроенных LDAP-профилей.

Примечание

LDAP-пользователи могут добавляться в AppSec.Hub только после настройки LDAP.

Добавление LDAP-профиля

  1. Нажмите кнопку Add LDAP в правом верхнем углу.

  2. Укажите имя LDAP-профиля в поле Enter LDAP service name.

    Примечание

    При авторизации LDAP-пользователей логин может указываться в следующих форматах:

    • domain/login, например ldap.local/username;
    • domain\login, например ldap.local\username;
    • login@domain, например username@ldap.local.
  3. В поле Service URL укажите IP-адрес или доменное имя LDAP-сервера.

  4. В поле Base DN укажите Distinguished Name — атрибут LDAP, который однозначно определяет объект.

  5. Поле Admin DN определяет доступ администратора и/или другого пользователя LDAP к дереву объектов. Он необходим для чтения параметров, сопоставления схемы пользователя и ролевой модели.

  6. В поле Admin password укажите пароль администратора LDAP.

  7. Нажмите кнопку Save. В результате будет создан и активирован (селектор LDAP integration включен) новый LDAP-профиль.

  8. Нажав кнопку Test connection, проверьте соединение с LDAP-сервером — подтверждающее сообщение появится в правом нижнем углу.

  9. При необходимости с помощью селектора Auto import new users активируйте автоматический импорт новых пользователей. Новые LDAP-пользователи будут автоматически добавляться в AppSec.Hub (в команду Default team) и получать роль, определенную при сопоставлении ролевых моделей.

    Примечание

    Для корректного импорта новых пользователей необходимо предварительно выполнить сопоставление схемы пользователя и ролевой модели, см. разделы «Сопоставление схемы пользователя» и «Сопоставление ролевой модели» ниже.

Сопоставление схемы пользователя

Сопоставление схемы пользователя выполняется на вкладке User schema mapping.

  1. Определите связанные с пользователями классы LDAP в поле User-related LDAP classes.

  2. Нажмите кнопку Create.

  3. В появившихся полях попарно сопоставьте поля профиля пользователя AppSec.Hub (User profile field) с атрибутами LDAP (LDAP attribute), взятыми, например из карты Microsoft AD.

  4. Для добавления очередной пары параметров нажимайте кнопку Add row.

  5. Чтобы сохранить сделанные изменения, нажмите кнопку Update.

Примечание

На этой вкладке обязательно должны быть соотнесены с атрибутами LDAP следующие поля пользователя AppSec.Hub: login и email. Сопоставление других полей не является обязательным.

Примечание

При каждой авторизации пользователя происходит обновление информации о нем в AppSec.Hub в соответствии с настроенными сопоставлениями схемы пользователя, ролевой модели и групп. Таким образом, изменение информации о пользователе в LDAP-сервисе оперативно находит свое отражение в AppSec.Hub.

Сопоставление ролевой модели

Сопоставление ролевой модели определяет соответствие групп пользователей LDAP с ролями AppSec.Hub. Если сопоставление в AppSec.Hub настроено, роли в системе назначаются LDAP-пользователям автоматически.

Сопоставление ролевой модели выполняется на вкладке Role model mapping.

  1. В поле Base DN for roles укажите Base DN в терминах LDAP.

  2. В поле Filter for groups and roles укажите фильтр для групп и ролей.

  3. Нажмите кнопку Create. Сообщение, подтверждающее обновление сопоставления ролевой модели, появится в правом нижнем углу.

  4. В появившихся полях попарно сопоставьте роли AppSec.Hub (Hub role) с группами LDAP (LDAP group).

  5. Для добавления очередной пары параметров нажимайте кнопку Add row.

  6. Чтобы сохранить изменения, нажмите кнопку Update.

Примечание

При каждой авторизации пользователя происходит обновление информации о нем в AppSec.Hub в соответствии с настроенными сопоставлениями схемы пользователя, ролевой модели и групп. Таким образом, изменение информации о пользователе в LDAP-сервисе оперативно находит свое отражение в AppSec.Hub.

Сопоставление групп

Сопоставление групп определяет соответствие между группами LDAP-пользователей и командами в AppSec.Hub. Если сопоставление в AppSec.Hub настроено, команды в AppSec.Hub назначаются LDAP-пользователям автоматически.

Сопоставление групп выполняется на вкладке Group mapping.

  1. В поле Base DN for groups укажите Base DN в терминах LDAP.

  2. В поле Filter for groups and roles укажите фильтр для групп и ролей.

  3. Нажмите кнопку Create.

  4. В появившихся полях попарно сопоставьте команды в AppSec.Hub (Hub team) с группами LDAP (LDAP group).

  5. Для добавления очередной пары параметров нажимайте кнопку Add row.

  6. Чтобы сохранить изменения, нажмите кнопку Update.

Примечание

При каждой авторизации пользователя происходит обновление информации о нем в AppSec.Hub в соответствии с настроенными сопоставлениями схемы пользователя, ролевой модели и групп. Таким образом, изменение информации о пользователе в LDAP-сервисе оперативно находит свое отражение в AppSec.Hub.

Деактивация/активация LDAP-профиля

LDAP-профиль(и) можно деактивировать одним из следующих способов:

  • Находясь на странице соответствующего профиля, отключите селектор LDAP integration.

  • На вкладке LDAP services откройте меню, нажав значок справа от соответствующего LDAP-профиля, и выберите пункт Deactivate.

  • На вклакде LDAP services выберите один или несколько LDAP-профилей, нажмите на расположенную в правом верхнем углу кнопку Actions и выберите пункт Deactivate selected.

Примечание

После деактивации LDAP-профиля относящиеся к нему пользователи не смогут зайти в AppSec.Hub.

LDAP-профили могут быть активированы вновь.

Удаление LDAP-профиля

LDAP-профиль(и) можно удалить одним из следующих способов:

  • На вкладке LDAP services откройте меню, нажав значок справа от соответствующего LDAP-профиля, и выберите пункт Delete.

  • На вкладке LDAP services выберите один или несколько LDAP-профилей, нажмите на расположенную в правом верхнем углу кнопку Actions и выберите пункт Delete selected.

Примечание

После удаления LDAP-профиля относящиеся к нему пользователи не смогут зайти в AppSec.Hub.

Режимы работы LDAP

LDAP в системе имеет два режима работы:

  • Аутентификация.
  • Аутентификация и авторизация.

Если в настройках LDAP не указано сопоставление ролей на вкладке Role model mapping и групп на вкладке Group mapping, система работает в режиме аутентификации. В этом режиме при входе LDAP-пользователя в систему производится только его аутентификация, а роли и команды для этого LDAP-пользователя при этом не переопределяются, а остаются такими, как это было ранее определено в профиле пользователя в разделах User roles и Memebrship in teams.

Если в настройках LDAP было произведено сопоставление ролей на вкладке Role model mapping и/или групп на вкладке Group mapping, система работает в режиме аутентификации и авторизации. В этом режиме при входе LDAP-пользователя в систему, помимо его аутентификации, производится также перенастройка его ролей и/или команд в разделах User roles и Memebrship in teams в профиле пользователя, в соответствии с мапированием ролей, указанным на вкладке Role model mapping и/или групп на вкладке Group mapping.

Примечание

Мапирование ролей влияет только на перенастройку ролей LDAP-пользователя в разделе User roles. Мапирование групп влияет только на перенастройку команд LDAP-пользователя в разделе Memebrship in teams.

К началу