Справка

Синхронизация пользователей с Active Directory

Облачный Pyrus
Безоблачный Pyrus

В крупных организациях для управления аккаунтами сотрудников часто используется решение Active Directory от Microsoft или G Suite от Google. Pyrus поддерживает обе технологии и позволяет прозрачно управлять списком аккаунтов, синхронизируя его с вашим провайдером идентификации.

Такая синхронизация позволяет экономить время системных администраторов, уменьшает число ручных ошибок при создании новых аккаунтов и усиливает безопасность путем своевременного блокирования аккаунтов бывших сотрудников во всех информационных системах.

Синхронизация с Active Directory (Microsoft)

При создании учетной записи в Active Directory (AD) сотрудник вашей организации автоматически получит приглашение в Pyrus. Обратите внимание: для настройки синхронизации с AD вам понадобятся права Администратора.

Как настроить синхронизацию пользователей

Запустите Pyrus Sync и откройте раздел Active Directory Sync в левой панели.

Выберите источник извлечения данных из Active Directory.

При необходимости выберите группу, в которую входят пользователи, чьи данные будут синхронизироваться с данными сотрудников в Pyrus.

Для этого нажмите кнопку Pick Group в поле выбора.

В открывшемся окне галочками отметьте группы пользователей для синхронизации.

Pyrus Sync покажет, какие данные пользователей из Active Directory будут переданы в Pyrus. Вы можете изменить сопоставление полей, выбрав нужные значения в столбце Active Directory.

Если в структуре вашей организации в Active Directory несколько уровней иерархии, то, чтобы перенести её в Pyrus, сначала добавьте соответствующие уровни в оргструктуру, а затем запустите синхронизацию. Если у кого-то из пользователей в Active Directory указан отдел, которого нет в оргструктуре Pyrus, то после синхронизации этот отдел появится в Pyrus.

Примечание: Pyrus Sync отслеживает изменения в Active Directory и каждые 2 часа подготавливает их для синхронизации. Если какие-то изменения должны попасть в Pyrus прямо сейчас, нажмите Update now перед синхронизацией.

Нажмите Sync, и программа покажет найденные изменения.

  • Add — список новых пользователей. Они попадут в Pyrus после синхронизации.

  • Update — если с прошлой синхронизации были изменения, например смена фамилии или должности, вы увидите их под этим заголовком.

  • Block — в эту группу попадают пользователи, которых заблокировали в Active Directory. После синхронизации они потеряют доступ к Pyrus, а их открытые сессии завершатся на всех устройствах.

Узнать, почему одни пользователи будут добавлены, а другие обновлены или заблокированы, помогут статусы в колонке Status.

  • New — новый пользователь. Он попадёт в Pyrus после синхронизации.
  • Update — у пользователя обновились данные в Active Directory, например, сменили фамилию или должность. После синхронизации обновлённая информация появится в Pyrus.
  • Block — пользователь не найден или заблокирован в Active Directory. После синхронизации он потеряет доступ к Pyrus.
  • Unblock — пользователь заблокирован или уволен в Pyrus. После синхронизации он будет снова добавлен.
  • Bind — пользователь Pyrus ранее не был синхронизирован с Active Directory. После синхронизации он будет сопоставлен по адресу электронной почты с пользователем в Active Directory.

Подсказка: список изменений может состоять из сотен записей — например, компания становится международной, и фамилии и имена сотрудников решают записывать по-английски. Чтобы находить нужных пользователей в большом списке, используйте поиск в поле Search users. Поиск поддерживает регулярные выражения. Например, у вас есть служебные аккаунты, которые начинаются с какой-либо цифры. Чтобы быстро найти все такие аккаунты, введите в поиске ^[0-9]

Как исключить пользователя из процесса синхронизации

В разделе To sync отображаются все пользователи из Active Directory, по которым планируется произвести синхронизацию. При необходимости часть из них можно исключить из процесса синхронизации несколькими способами.

  1. В разделе To sync отметьте галочкой пользователей, которых нужно исключить, и нажмите кнопку Add to exceptions.

  2. Откройте раздел Exceptions. Убедитесь, что переключатель установлен в положение Show all properties. В нужной строке кликните Add filter и введите текст, при наличии которого в атрибуте учетная запись AD будет исключена из процесса синхронизации. Нажмите Save.

    Список учетных записей, исключённых из процесса синхронизации, отображается в правой части окна настроек исключений.

Подсказка: В качестве критерия фильтра можно указать регулярное выражение — в этом случае предшествовать ему должен символ '/'.

Нажмите Sync, чтобы запустить синхронизацию. После завершения программа сообщит о результате.

Как настроить синхронизацию групп

Синхронизировать с Pyrus можно не только отдельных пользователей, но и подразделения организации ­– в Active Directory они называются группы (Groups).

В Pyrus группы отображаются как роли. Когда в Active Directory создаётся новая группа, например, MarketingGroup, после синхронизации в Pyrus появляется новая роль.

При добавлении в группу новых пользователей или удалении из нее в соответствующей роли в Pyrus меняется состав участников.

Чтобы настроить синхронизацию групп, запустите Pyrus Sync и в левой панели откройте раздел Roles.

Выберите источник извлечения данных из Active Directory.

Выберите группу, данные которой будут синхронизированы с данными роли в Pyrus. Нажмите Sync.

Чтобы исключить роль-группу из процесса синхронизации, действуйте одним из двух способов – по аналогии с исключением отдельных пользователей.

  • В разделе To sync отметьте галочкой группы, которые нужно исключить, и нажмите кнопку Add to exceptions.

  • Откройте раздел Exceptions. В нужной строке кликните Add filter и введите текст, при наличии которого в атрибуте группа AD будет исключена из процесса синхронизации. Нажмите Save.

Обратите внимание

  • Запускайте синхронизацию в Pyrus Sync, когда добавляете или блокируете пользователя в Active Directory, либо не реже одного раза в сутки.
  • Если в вашей организации ранее использовался старый домен (например, moscow.company.ru — поддомен на этапе опытной эксплуатации), то часть пользователей могла быть зарегистрирована в нём. При переходе на новый домен (например, company.ru) возможна ситуация, когда у пользователей окажется два адреса электронной почты: user@moscow.company.ru и user@company.ru). Чтобы синхронизация с Pyrus работала корректно, убедитесь, что в Active Directory для управления пользователями используется новый домен и один адрес электронной почты.

Устранение ошибок

  • Если пользователь без прав администратора в Pyrus попытается запустить синхронизацию, он увидит сообщение об ошибке.

    Решение: предоставьте пользователю право Администратор в Pyrus. Или зайдите в Pyrus Sync пользователем, у которого уже есть права администратора в Pyrus, а затем запустите синхронизацию.

  • Если открыть Active Directory Sync в Pyrus Sync на компьютере, который не принадлежит домену организации, программа сообщит об ошибке.

    Решение: запустите синхронизацию на компьютере, принадлежащем домену организации.

Была ли эта статья полезной?