integrations:users

Синхронизация пользователей с Active Directory и G Suite

Облачный Pyrus
Безоблачный Pyrus

В крупных организациях для управления аккаунтами сотрудников часто используется решение Active Directory от Microsoft или G Suite от Google. Pyrus поддерживает обе технологии и позволяет прозрачно управлять списком аккаунтов, синхронизируя его с вашим провайдером идентификации.

Такая синхронизация позволяет экономить время системных администраторов, уменьшает число ручных ошибок при создании новых аккаунтов и усиливает безопасность путем своевременного блокирования аккаунтов бывших сотрудников во всех информационных системах.

Синхронизация с Active Directory (Microsoft)

При создании учетной записи в Active Directory пользователь автоматически получает приглашение в Pyrus. После блокировки в Active Directory пользователь теряет доступ к аккаунту в Pyrus, а его открытые сессии завершаются на всех устройствах.

Как настроить

Запустите Pyrus Sync и в левой панели откройте раздел Active Directory Sync.

Pyrus Sync подготовит аккаунты для синхронизации и покажет, какие атрибуты пользователей из Active Directory станут полями в Pyrus. Вы можете изменить сопоставление полей, выбрав нужные значения в столбце Active Directory.

Если в структуре вашей организации в Active Directory несколько уровней иерархии, то, чтобы перенести её в Pyrus, сначала добавьте соответствующие уровни в оргструктуру, а затем запустите синхронизацию. Если у кого-то из пользователей в Active Directory указан отдел, которого нет в оргструктуре Pyrus, то после синхронизации этот отдел появится в Pyrus.

Примечание: Pyrus Sync отслеживает изменения в Active Directory и каждые 2 часа подготавливает их для синхронизации. Если какие-то изменения должны попасть в Pyrus прямо сейчас, нажмите Update now перед синхронизацией.

Нажмите Sync, и программа покажет найденные изменения.

  • Add — список новых пользователей. Они попадут в Pyrus после синхронизации.
  • Update — если с прошлой синхронизации были изменения, например смена фамилии или должности, вы увидите их под этим заголовком.
  • Block — в эту группу попадают пользователи, которых заблокировали в Active Directory. После синхронизации они потеряют доступ к Pyrus.

Узнать, почему одни пользователи будут добавлены, а другие обновлены или заблокированы, помогут статусы в колонке Status.

  • New — новый пользователь. Он попадёт в Pyrus после синхронизации.
  • Update — у пользователя обновились данные в Active Directory, например, сменили фамилию или должность. После синхронизации обновлённая информация появится в Pyrus.
  • Block — пользователь не найден, заблокирован в Active Directory или находится в организационном подразделении (OU), название которого не содержит ‘user’ или ‘users’. После синхронизации он потеряет доступ к Pyrus.
  • Unblock — пользователь заблокирован или уволен в Pyrus. После синхронизации он будет снова добавлен.
  • Bind — пользователь Pyrus ранее не был синхронизирован с Active Directory. После синхронизации он будет сопоставлен по адресу электронной почты с пользователем в Active Directory.

Подсказка: список изменений может состоять из сотен записей — например, компания становится международной, и фамилии и имена сотрудников решают записывать по-английски. Чтобы находить нужных пользователей в большом списке, используйте поиск в поле Search users. Поиск поддерживает регулярные выражения. Например, у вас есть служебные аккаунты, которые начинаются с какой-либо цифры. Чтобы быстро найти все такие аккаунты, введите в поиске ^[0-9]

Как исключить пользователя из процесса синхронизации

В разделе To sync отображаются все пользователи из Active Directory, по которым планируется произвести синхронизацию. При необходимости часть из них можно исключить из поиска несколькими способами.

1. В разделе To sync отметьте галочкой пользователей, которых нужно исключить, и нажмите кнопку Add to exceptions.

2. Откройте раздел Exceptions. Убедитесь, что переключатель установлен в положение Show all properties. В нужной строке кликните Add filter и введите текст, при наличии которого в атрибуте учетная запись AD будет исключена из процесса синхронизации. Нажмите Save.

Подсказка: В качестве критерия фильтра можно указать регулярное выражение — в этом случае предшествовать ему должен символ '/'.

Список исключённых учетных записей отображается в правой части окна настроек исключений. При поиске совпадения в подстроке регистр символов не учитывается.

Нажмите Sync, чтобы запустить синхронизацию. После завершения программа сообщит о результате.

Обратите внимание

  • Запускайте синхронизацию в Pyrus Sync, когда добавляете или блокируете пользователя в Active Directory, либо не реже одного раза в сутки.
  • Если в вашей организации ранее использовался старый домен (например, moscow.company.ru — поддомен на этапе опытной эксплуатации), то часть пользователей могла быть зарегистрирована в нём. При переходе на новый домен (например, company.ru) возможна ситуация, когда у пользователей окажется два адреса электронной почты: user@moscow.company.ru и user@company.ru). Чтобы синхронизация с Pyrus работала корректно, убедитесь, что в Active Directory для управления пользователями используется новый домен и один адрес электронной почты.

Устранение ошибок

  • Если пользователь без прав администратора в Pyrus попытается запустить синхронизацию, он увидит сообщение об ошибке. Решение: предоставьте пользователю право Администратор в Pyrus. Или зайдите в Pyrus Sync пользователем, у которого уже есть права администратора в Pyrus, а затем запустите синхронизацию.
  • Если открыть Active Directory Sync в Pyrus Sync на компьютере, который не принадлежит домену организации, программа сообщит об ошибке. Решение: запустите синхронизацию на компьютере, принадлежащем домену организации.

Синхронизация с G Suite (Google)

Если вы управляете пользователями в G Suite, ваши сотрудники могут присоединиться к вашей организации и заходить в Pyrus, используя свой корпоративный email. А после блокировки пользователя в G Suite он не сможет авторизоваться в Pyrus.

Как настроить

Отдельно настраивать синхронизацию с G Suite не требуется. Просто отправьте сотруднику ссылку на вход в Pyrus. Коллега войдёт через корпоративный Google-аккаунт и автоматически попадёт в вашу организацию в Pyrus. В будущем он сможет входить в Pyrus таким же способом или получать одноразовые коды доступа на корпоративную почту.

Если вы заблокируете или удалите пользователя в G Suite, он потеряет доступ к корпоративной почте и не сможет войти в Pyrus ни по одноразовому коду, ни с помощью аккаунта в Google.

Важно: заблокированный пользователь потеряет доступ к Pyrus только после завершения сессии и только в случае, если он ранее не устанавливал постоянный пароль. Для надежности мы рекомендуем блокировать сотрудника внутри Pyrus на странице Управление пользователями.

Была ли эта статья полезной?

Да, спасибо! Нет, остался вопрос

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных в соответствии с политикой приватности.