LDAP
Примечание
AppSec.Hub поддерживает работу с несколькими LDAP-сервисами.
Чтобы приступить к настройкам, нажмите иконку Administration › Authorization и перейдите на вкладку LDAP services, на которой приводится перечень настроенных LDAP-профилей.
Примечание
LDAP-пользователи могут добавляться в AppSec.Hub только после настройки LDAP.
Добавление LDAP-профиля
-
Нажмите кнопку Add LDAP в правом верхнем углу.
-
Укажите имя LDAP-профиля в поле Enter LDAP service name.
Примечание
При авторизации LDAP-пользователей логин может указываться в следующих форматах:
- domain/login, например ldap.local/username;
- domain\login, например ldap.local\username;
- login@domain, например username@ldap.local.
-
В поле Service URL укажите IP-адрес или доменное имя LDAP-сервера.
-
В поле Base DN укажите Distinguished Name — атрибут LDAP, который однозначно определяет объект.
-
Поле Admin DN определяет доступ администратора и/или другого пользователя LDAP к дереву объектов. Он необходим для чтения параметров, сопоставления схемы пользователя и ролевой модели.
-
В поле Admin password укажите пароль администратора LDAP.
-
Нажмите кнопку Save. В результате будет создан и активирован (селектор LDAP integration включен) новый LDAP-профиль.
-
Нажав кнопку Test connection, проверьте соединение с LDAP-сервером — подтверждающее сообщение появится в правом нижнем углу.
-
При необходимости с помощью селектора Auto import new users активируйте автоматический импорт новых пользователей. Новые LDAP-пользователи будут автоматически добавляться в AppSec.Hub (в команду Default team) и получать роль, определенную при сопоставлении ролевых моделей.
Примечание
Для корректного импорта новых пользователей необходимо предварительно выполнить сопоставление схемы пользователя и ролевой модели, см. разделы «Сопоставление схемы пользователя» и «Сопоставление ролевой модели» ниже.
Сопоставление схемы пользователя
Сопоставление схемы пользователя выполняется на вкладке User schema mapping.
-
Определите связанные с пользователями классы LDAP в поле User-related LDAP classes.
-
Нажмите кнопку Create.
-
В появившихся полях попарно сопоставьте поля профиля пользователя AppSec.Hub (User profile field) с атрибутами LDAP (LDAP attribute), взятыми, например из карты Microsoft AD.
-
Для добавления очередной пары параметров нажимайте кнопку Add row.
-
Чтобы сохранить сделанные изменения, нажмите кнопку Update.
Примечание
На этой вкладке обязательно должны быть соотнесены с атрибутами LDAP следующие поля пользователя AppSec.Hub: login и email. Сопоставление других полей не является обязательным.
Примечание
При каждой авторизации пользователя происходит обновление информации о нем в AppSec.Hub в соответствии с настроенными сопоставлениями схемы пользователя, ролевой модели и групп. Таким образом, изменение информации о пользователе в LDAP-сервисе оперативно находит свое отражение в AppSec.Hub.
Сопоставление ролевой модели
Сопоставление ролевой модели определяет соответствие групп пользователей LDAP с ролями AppSec.Hub. Если сопоставление в AppSec.Hub настроено, роли в системе назначаются LDAP-пользователям автоматически.
Сопоставление ролевой модели выполняется на вкладке Role model mapping.
-
В поле Base DN for roles укажите Base DN в терминах LDAP.
-
В поле Filter for groups and roles укажите фильтр для групп и ролей.
-
Нажмите кнопку Create. Сообщение, подтверждающее обновление сопоставления ролевой модели, появится в правом нижнем углу.
-
В появившихся полях попарно сопоставьте роли AppSec.Hub (Hub role) с группами LDAP (LDAP group).
-
Для добавления очередной пары параметров нажимайте кнопку Add row.
-
Чтобы сохранить изменения, нажмите кнопку Update.
Примечание
При каждой авторизации пользователя происходит обновление информации о нем в AppSec.Hub в соответствии с настроенными сопоставлениями схемы пользователя, ролевой модели и групп. Таким образом, изменение информации о пользователе в LDAP-сервисе оперативно находит свое отражение в AppSec.Hub.
Сопоставление групп
Сопоставление групп определяет соответствие между группами LDAP-пользователей и командами в AppSec.Hub. Если сопоставление в AppSec.Hub настроено, команды в AppSec.Hub назначаются LDAP-пользователям автоматически.
Сопоставление групп выполняется на вкладке Group mapping.
-
В поле Base DN for groups укажите Base DN в терминах LDAP.
-
В поле Filter for groups and roles укажите фильтр для групп и ролей.
-
Нажмите кнопку Create.
-
В появившихся полях попарно сопоставьте команды в AppSec.Hub (Hub team) с группами LDAP (LDAP group).
-
Для добавления очередной пары параметров нажимайте кнопку Add row.
-
Чтобы сохранить изменения, нажмите кнопку Update.
Примечание
При каждой авторизации пользователя происходит обновление информации о нем в AppSec.Hub в соответствии с настроенными сопоставлениями схемы пользователя, ролевой модели и групп. Таким образом, изменение информации о пользователе в LDAP-сервисе оперативно находит свое отражение в AppSec.Hub.
Деактивация/активация LDAP-профиля
LDAP-профиль(и) можно деактивировать одним из следующих способов:
-
Находясь на странице соответствующего профиля, отключите селектор LDAP integration.
-
На вкладке LDAP services откройте меню, нажав значок справа от соответствующего LDAP-профиля, и выберите пункт Deactivate.
-
На вклакде LDAP services выберите один или несколько LDAP-профилей, нажмите на расположенную в правом верхнем углу кнопку Actions и выберите пункт Deactivate selected.
Примечание
После деактивации LDAP-профиля относящиеся к нему пользователи не смогут зайти в AppSec.Hub.
LDAP-профили могут быть активированы вновь.
Удаление LDAP-профиля
LDAP-профиль(и) можно удалить одним из следующих способов:
-
На вкладке LDAP services откройте меню, нажав значок справа от соответствующего LDAP-профиля, и выберите пункт Delete.
-
На вкладке LDAP services выберите один или несколько LDAP-профилей, нажмите на расположенную в правом верхнем углу кнопку Actions и выберите пункт Delete selected.
Примечание
После удаления LDAP-профиля относящиеся к нему пользователи не смогут зайти в AppSec.Hub.
Режимы работы LDAP
LDAP в системе имеет два режима работы:
- Аутентификация.
- Аутентификация и авторизация.
Если в настройках LDAP не указано сопоставление ролей на вкладке Role model mapping и групп на вкладке Group mapping, система работает в режиме аутентификации. В этом режиме при входе LDAP-пользователя в систему производится только его аутентификация, а роли и команды для этого LDAP-пользователя при этом не переопределяются, а остаются такими, как это было ранее определено в профиле пользователя в разделах User roles и Memebrship in teams.
Если в настройках LDAP было произведено сопоставление ролей на вкладке Role model mapping и/или групп на вкладке Group mapping, система работает в режиме аутентификации и авторизации. В этом режиме при входе LDAP-пользователя в систему, помимо его аутентификации, производится также перенастройка его ролей и/или команд в разделах User roles и Memebrship in teams в профиле пользователя, в соответствии с мапированием ролей, указанным на вкладке Role model mapping и/или групп на вкладке Group mapping.
Примечание
Мапирование ролей влияет только на перенастройку ролей LDAP-пользователя в разделе User roles. Мапирование групп влияет только на перенастройку команд LDAP-пользователя в разделе Memebrship in teams.