Synchronisierung Bitrix24 mit Active Directory. Probleme und Lösungen

Dieses Material ist von Bedeutung für die Synchronisation von selbst gehostetem Bitrix24 mit Active Directory und LDAP.

Der Artikel ist lang, also beginnen wir mit der Zusammenfassung. Oftmals müssen wir die Aufgabe der Synchronisation von Active Directory mit Bitrix24 lösen. Die benötigten Tools sind verfügbar, aber es sind einige zusätzliche Einstellungen erforderlich. In diesem Artikel geht es um die Feinabstimmung von Methoden und die Lösung von Problemen im Zusammenhang mit einem solchen Informationsaustausch. 

Wir werden ein konkretes Beispiel betrachten. Unser Kunde ist ein großes Produktionsunternehmen. Es gibt einen konfigurierten Domänencontroller und eine Active Directory mit einer Liste von Benutzern.  

Die Aufgabe besteht darin, Benutzer auf Bitrix24 zu übertragen und die Synchronisation einzurichten. Zum Zwecke der Synchronisation von Informationen aus den Benutzerfeldern und bei der Benutzerdeaktivierung im Active Directory wurde sie in Bitrix24 deaktiviert.

Die selbst gehostete Bitrix24-Version verfügt über ein Standardmodul für diese Aufgabe - die "AD/LDAP-Integration".

Vor der Synchronisation muss dieses Modul installiert oder aktualisiert werden.

Es ist möglich, eine periodische Synchronisation einzurichten. Die Grundeinstellung ermöglicht es, die Periodizität nur in Stunden zu definieren. Wir stellen die Synchronisation für jede Stunde ein. Es ist sinnvoll, diese Zeit auf 24 Stunden nach Abschluss der Portaleinrichtung zu erhöhen, da sich die Active Directory-Daten normalerweise nur selten ändern.

Wichtig! Die Synchronisation selbst erfolgt erst nach der Benutzerauthentifizierung im Portal. Wenn der Benutzer das Portal nicht besucht hat, ist es notwendig, in der Benutzerliste auf "Aktivieren" zu klicken, um die Synchronisierung zu erzwingen. Andernfalls wird der Benutzer erst beim Betreten des Portals synchronisiert.

Das Modul kann die Unternehmensstruktur übertragen, die im Admin-Bereich in den Servereinstellungen eingerichtet werden kann.

Sie können selbst entscheiden, ob Sie es brauchen oder nicht. Wenn die Unternehmensstruktur in Active Directory nicht korrekt ist oder Features hat, die in Bitrix24 nicht benötigt werden, ist es sinnvoll, die Struktur nicht zu übernehmen. 

In unserem Fall wurde entschieden, nicht die aktuelle Unternehmensstruktur von AD zu verwenden und die AD-Struktur und Bitrix24 zu trennen. Der Nachteil dieser Lösung ist, dass Änderungen an der Struktur an zwei Stellen vorgenommen werden müssen.

Achtung! Bitrix24 betrachtet Active Directory-Daten als Prioritätsdaten. Wenn die Daten in den Feldern nicht identisch sind, wird der Wert im Feld Bitrix24 durch den Feldwert Active Directory ersetzt.

Schwierigkeiten bei der Integration von Bitrix24 und Active Directory

Schwierigkeitsgrad 1. Gemeinsame Einrichtung von Filtern 'Feldeinrichtung -> Benutzerfilter' und 'Gruppen -> Die unten markierten Gruppen nehmen nicht am Benutzerimport teil'.

Diese beiden Parameter stehen im Konflikt:

Feldeinrichtung -> Benutzerfilter:

Gruppen -> Die unten markierten Gruppen nehmen nicht am Benutzerimport teil:

Das Einfügen von Einstellungen in beide Felder führt zu einem Konflikt, und Benutzer werden nicht importiert.

Lösung: Verwenden Sie nur den Benutzerfilter.

Wenn der aktive Filter aus dem Active Directory in das Feld Benutzerfilter eingetragen wurde, begann alles zu funktionieren.   (&(&(objectClass=user)(objectCategory=PERSON)))(member of=CN=BitrixCorpUser,CN=Builtin,DC=department1,DC=loc))))

Schwierigkeitsgrad 2. Synchronisieren der Active Directory-Serverzeit und der Bitrix24-Zeit.

Beim Anlegen des Servers wurde in den Einstellungen keine Zeit zugewiesen, so dass importierte Benutzer ohne manuelle Aktivierung inaktiv blieben. Es gibt kein Synchronisationsdatum in der Liste der Benutzer.  Ohne manuelle Bearbeitung haben diese Benutzer keine Rechte und können weder in das Portal einsteigen noch synchronisieren. Dies ist auf die Servereinstellungen zurückzuführen.

Lösung:

Ändern Sie den Wert des MySQL-Parameters 'explicit_defaults_for_timestamp' auf 'Off'.

Website-Check durchführen.

Schwierigkeitsgrad 3. Konflikt zwischen zwei Kopien desselben Benutzers.

Wenn der Login und die E-Mail eines Benutzers aus Active Directory nicht mit dem Login dieses Benutzers übereinstimmen, der sich zuvor manuell in Bitrix24 registriert hat, gibt es zwei Kontokopien für dieselbe Person im Portal. Es ist notwendig, das zuvor registrierte Konto zu deaktivieren und alle seine Aufgaben auf das aus Active Directory importierte Benutzerkonto zu übertragen.

Lösung: Machen Sie den aus Active Directory importierten Benutzer zum Hauptbenutzer und übertragen Sie alle aktuellen Aufgaben auf diesen Benutzer, und löschen Sie die Kopie.

Eine korrekte Synchronisation war nur für den oberen Ordner von Active Directory möglich, während die Unterordner ignoriert wurden.

Die Unterordner wurden ignoriert, da wir die Unternehmensstruktur nicht übernommen hatten. Wenn die Struktur übertragen wird, funktioniert die Synchronisation auch für Unterordner. Wenn die Struktur nicht übertragen wird, ist die Synchronisation der oberen Ordner nur möglich.

Lösung: Alle Benutzer wurden in einen Ordner übertragen, und die Synchronisation wurde von diesem Ordner aus durchgeführt. Da wir uns gegen die Übertragung der Struktur entschieden hatten, war das die einzige Lösung.

Schwierigkeitsgrad 4. Synchronisieren einer Kopie von Vor- und Nachname in einer anderen Sprache.

Da es sich um ein internationales Unternehmen handelte, wurden der wichtigste Vor- und Nachname in englischer Sprache angegeben. Aber innerhalb von Bitrix24 wäre es bequem, Namen in den Landessprachen - Englisch, Spanisch, Französisch, Deutsch, etc. - zu sehen.

Lösung: Zusätzliche Vornamen (RU) und Nachnamen (RU) wurden hinzugefügt und über die Attribute ExtensionAttribute1 и ExtensionAttribute2 synchronisiert. Es wird nicht empfohlen, zur Lösung dieser Aufgabe Standard-Bitrix24-Felder zu verwenden, da sie an völlig unerwarteten Stellen verwendet werden. Beispielsweise ist es unmöglich, ein Patronymikum als Standard-Vollständiger Name in Russisch zu verwenden, da der iPhone-Benutzer bei der Synchronisierung mit dem iPhone zu Ivanov Ivanov Ivanovich Ivanovich Ivan wurde.  

Schwierigkeitsgrad 5. Übertragung großer Bilder von Active Directory nach Bitrix24.

Das Problem sind die grundlegenden AD-Beschränkungen. Die Bildgröße ist auf 95x95 Pixel und maximal 100 Kilobyte begrenzt.  

Lösung: Ein zusätzliches Feld "jpegPhoto" wurde dem Active Directory hinzugefügt. Die Größe ist ebenfalls auf 100 Kilobyte begrenzt, aber der jpg-Typ sorgt für maximale Kompression. Es wird nicht empfohlen, Fotos mit einer Größe von mehr als 300x300 Pixeln hochzuladen, da Bitrix24 eine Begrenzung von 300x300 Pixeln für Ausgabeprofilfotos hat, so dass Fotos mit einer höheren Auflösung überdimensioniert sind.

Hinweis: Übereinstimmung zwischen Benutzerfeldern und LDAP-Attributen.

Hier sind einige Details für Entwickler und Administratoren.

Die verwendete Methode ist $arSyncFields.

Die folgenden Informationen werden in die Bitrix-Felder eingefügt:

"EMAIL" => Array("NAME" => GetMessage("LDAP_FIELD_EMAIIL"), "AD"=>"mail", "LDAP"=>"email"),

Am Array-Eingang, wo der erste Parameter obligatorisch ist, ist es die Übersetzung des von der GetMessage-Funktion aufgerufenen Feldnamens, der zweite Parameter ist nicht obligatorisch - es ist der Feldname von AD, der dritte Parameter ist nicht obligatorisch - es ist der Feldname von LDAP. Wenn die Felder abgeglichen werden, werden ihnen Informationen entnommen. Wenn das Feld leer ist, findet keine Synchronisation statt. 

Feldabgleichstabelle