Справка

Синхронизация пользователей с Active Directory и G Suite

Облачный Pyrus
Безоблачный Pyrus

В крупных организациях для управления аккаунтами сотрудников часто используется решение Active Directory от Microsoft или G Suite от Google. Pyrus поддерживает обе технологии и позволяет прозрачно управлять списком аккаунтов, синхронизируя его с вашим провайдером идентификации.

Такая синхронизация позволяет экономить время системных администраторов, уменьшает число ручных ошибок при создании новых аккаунтов и усиливает безопасность путем своевременного блокирования аккаунтов бывших сотрудников во всех информационных системах.

Синхронизация с Active Directory (Microsoft)

При создании учетной записи в Active Directory пользователь автоматически получает приглашение в Pyrus. После блокировки в Active Directory пользователь теряет доступ к аккаунту в Pyrus, а его открытые сессии завершаются на всех устройствах.

Как настроить

Запустите Pyrus Sync и в левой панели откройте раздел Active Directory Sync.

Pyrus Sync подготовит аккаунты для синхронизации и покажет, какие атрибуты пользователей из Active Directory станут полями в Pyrus. Вы можете изменить сопоставление полей, выбрав нужные значения в столбце Active Directory.

Если в структуре вашей организации в Active Directory несколько уровней иерархии, то, чтобы перенести её в Pyrus, сначала добавьте соответствующие уровни в оргструктуру, а затем запустите синхронизацию. Если у кого-то из пользователей в Active Directory указан отдел, которого нет в оргструктуре Pyrus, то после синхронизации этот отдел появится в Pyrus.

Примечание: Pyrus Sync отслеживает изменения в Active Directory и каждые 2 часа подготавливает их для синхронизации. Если какие-то изменения должны попасть в Pyrus прямо сейчас, нажмите Update now перед синхронизацией.

Нажмите Sync, и программа покажет найденные изменения.

  • Add — список новых пользователей. Они попадут в Pyrus после синхронизации.
  • Update — если с прошлой синхронизации были изменения, например смена фамилии или должности, вы увидите их под этим заголовком.
  • Block — в эту группу попадают пользователи, которых заблокировали в Active Directory. После синхронизации они потеряют доступ к Pyrus.

Узнать, почему одни пользователи будут добавлены, а другие обновлены или заблокированы, помогут статусы в колонке Status.

  • New — новый пользователь. Он попадёт в Pyrus после синхронизации.
  • Update — у пользователя обновились данные в Active Directory, например, сменили фамилию или должность. После синхронизации обновлённая информация появится в Pyrus.
  • Block — пользователь не найден, заблокирован в Active Directory или находится в организационном подразделении (OU), название которого не содержит ‘user’ или ‘users’. После синхронизации он потеряет доступ к Pyrus.
  • Unblock — пользователь заблокирован или уволен в Pyrus. После синхронизации он будет снова добавлен.
  • Bind — пользователь Pyrus ранее не был синхронизирован с Active Directory. После синхронизации он будет сопоставлен по адресу электронной почты с пользователем в Active Directory.

Подсказка: список изменений может состоять из сотен записей — например, компания становится международной, и фамилии и имена сотрудников решают записывать по-английски. Чтобы находить нужных пользователей в большом списке, используйте поиск в поле Search users. Поиск поддерживает регулярные выражения. Например, у вас есть служебные аккаунты, которые начинаются с какой-либо цифры. Чтобы быстро найти все такие аккаунты, введите в поиске ^[0-9]

Как исключить пользователя из процесса синхронизации

В разделе To sync отображаются все пользователи из Active Directory, по которым планируется произвести синхронизацию. При необходимости часть из них можно исключить из поиска несколькими способами.

  1. В разделе To sync отметьте галочкой пользователей, которых нужно исключить, и нажмите кнопку Add to exceptions.

  2. Откройте раздел Exceptions. Убедитесь, что переключатель установлен в положение Show all properties. В нужной строке кликните Add filter и введите текст, при наличии которого в атрибуте учетная запись AD будет исключена из процесса синхронизации. Нажмите Save.

Подсказка: В качестве критерия фильтра можно указать регулярное выражение — в этом случае предшествовать ему должен символ '/'.

Список исключённых учетных записей отображается в правой части окна настроек исключений. При поиске совпадения в подстроке регистр символов не учитывается.

Нажмите Sync, чтобы запустить синхронизацию. После завершения программа сообщит о результате.

Обратите внимание

  • Запускайте синхронизацию в Pyrus Sync, когда добавляете или блокируете пользователя в Active Directory, либо не реже одного раза в сутки.
  • Если в вашей организации ранее использовался старый домен (например, moscow.company.ru — поддомен на этапе опытной эксплуатации), то часть пользователей могла быть зарегистрирована в нём. При переходе на новый домен (например, company.ru) возможна ситуация, когда у пользователей окажется два адреса электронной почты: user@moscow.company.ru и user@company.ru). Чтобы синхронизация с Pyrus работала корректно, убедитесь, что в Active Directory для управления пользователями используется новый домен и один адрес электронной почты.

Устранение ошибок

  • Если пользователь без прав администратора в Pyrus попытается запустить синхронизацию, он увидит сообщение об ошибке. Решение: предоставьте пользователю право Администратор в Pyrus. Или зайдите в Pyrus Sync пользователем, у которого уже есть права администратора в Pyrus, а затем запустите синхронизацию.
  • Если открыть Active Directory Sync в Pyrus Sync на компьютере, который не принадлежит домену организации, программа сообщит об ошибке. Решение: запустите синхронизацию на компьютере, принадлежащем домену организации.

Синхронизация с G Suite (Google)

Если вы управляете пользователями в G Suite, ваши сотрудники могут присоединиться к вашей организации и заходить в Pyrus, используя свой корпоративный email. А после блокировки пользователя в G Suite он не сможет авторизоваться в Pyrus.

Как настроить

Отдельно настраивать синхронизацию с G Suite не требуется. Просто отправьте сотруднику ссылку на вход в Pyrus. Коллега войдёт через корпоративный Google-аккаунт и автоматически попадёт в вашу организацию в Pyrus. В будущем он сможет входить в Pyrus таким же способом или получать одноразовые коды доступа на корпоративную почту.

Если вы заблокируете или удалите пользователя в G Suite, он потеряет доступ к корпоративной почте и не сможет войти в Pyrus ни по одноразовому коду, ни с помощью аккаунта в Google.

Важно: заблокированный пользователь потеряет доступ к Pyrus только после завершения сессии и только в случае, если он ранее не устанавливал постоянный пароль. Для надежности мы рекомендуем блокировать сотрудника внутри Pyrus на странице Управление пользователями.

Была ли эта статья полезной?