El material tiene algo que ver con la sincronización de Active Directory y LDAP con Bitrix24 Self-hosted.
El material esta relacionado con la sincronización de Active Directory y LDAP con Bitrix24
El artículo es grande, así que comencemos desde el resutado. Resolvemos con frecuencia la tarea de sincronización de Active Directory con Bitrix24. Las herramientas están ahí, pero siempre se requiere un ajuste adicional. Este artículo es sobre los métodos de ajuste fino y la resolución de los problemas de tal integración.
Vamos a estudiar un ejemplo concreto. Nuestro cliente es una empresa de producción grande. Tenemos el controlador del dominio y el Active Directory con la lista de usuarios.
La tarea es transferir los ajustes de usuarios en el Bitrix24 y ajustar la sincronización. Para que cuando se sincronicen las informaciones, de los campos de usuarios y durante desactivación del usuario en Active Directory, este se desactive en el Bitrix24.
En la versión de Bitrix24 de caja Bitrix24 hay un módulo estándar para esta tarea, la “integración AD/LDAP”.
Antes de comenzar la sincronización es necesario instalar o actualizar este módulo.
Existe una posibilidad deajustar la sincronización periódica. El ajuste básico da posibilidad a ajustar la periodicidad sólo con el reloj. Hemos ajustado la sincronización para cada hora. Es razonable después del ajuste del portal aumentar este tiempo hasta 24 horas, ya que los datos en el Active Directory, habitualmente se modifican de forma muy puntual.
¡Esto es importante! La sincronización misma tiene lugar sólo después de autorizar al usuario en el portal. Si el usuario no ha entrado en el portal, entonces para sincronizarlo forzadamente es necesario en la lista de usuarios presionar el botón activar. De otro modo, este usuario no será sincronizado antes de entrar en el portal.
El módulo tiene la oportunidad a transferir las estructuras de la empresa, y esto se ajusta en el panel administrativo en los ajustes del servidor.
Si lo requiere o no – eso ya es su decisión. Si la estructura de la empresa en el Active Directory es incorrecta o tiene unas particularidades no necesarias en el Bitrix24, entonces vale la pena no transferir la estructura.
En nuestro caso, el cliente tomó la decisión deno usar la estructura corriente de la empresa de AD y delimitar la estructura en AD y en Bitrix24. Esta decisión tiene unas desventajas: es necesario incluir los cambios de estructura en dos lugares.
¡Atención! El Bitrix24 considera los datos del Active Directory como prioritarios. Si los datos en los campos se distinguen, entonces el valor del campo de Bitrix24 se cambia por el valor del campo de Active Directory.
En conflicto se encuentran estos dos parámetros:
Ajuste de los campos -> Filtro para los usuarios:
Grupos -> Los grupos marcados más abajo no participan en la importación de los usuarios:
Si sucedeuno de los dos conflictor, tiene lugar un conflicto y los usuarios no se importan.
Solución: Usar sólo el filtro para los usuarios.
En el campo filtro para los usuarios han escrito el filtro de trabajo de Active Directory y todo funcionó. (&(&(objectClass=user)(objectCategory=PERSON))(memberof=CN=BitrixCorpUser,CN=Builtin,DC=department1,DC=loc))
Durante la creación de servidor, en los ajustes no se ha atribuido la hora, y los usuarios importados se encuentraninactivos sin la activación manual. En la lista de usuarios está ausente la fecha de sincronización. Sin la corrección manual, estos usuarios no tienen derechos y no pueden entrar en el portal ni sincronizarse. Esto está relacionado con los ajustes del servidor.
Solución:
Modificar el valor MySQL del parámetro explicit_defaults_for_timestamp por Off.
Efectuar la verificación del sitio.
Si el login y el correo electrónico del usuario del Active Directory se distinguen del login del mismo usuario que estaba registrado en el Bitrix24 anteriormente de manera manual, entonces en el portal aparecen dos copias de la cuenta de usuario de la misma persona. El que estaba registrado anteriormente debe ser desactivado, y todas sus tareas se deben transferir al usuario importado del Active Directory.
Solución: Hacer como principal al usuario importado del Active Directory, redesignar a este las tareas corrientes, y eliminar“la copia”.
La sincronización correcta se logra sólo en eldirectorio superior de Active Directory.
Los directorios introducidosse ignoraban porque no hemos transferido ahí la estructura de la empresa. Durante la transferencia de la estructura, el carácter invertido también va a trabajar. Si no se transfierela estructura, es posible la sincronización sólo del directorio del nivel superior.
Solución: Se transfierea todos los usuarios en una carpeta y de esta forma se realiza la sincronización. Ya que no hemos decidido transferir la estructura de la empresa, esta es la única resolución posible.
La empresa es internacional, el nombre y el apellido principales están en el idioma inglés. Con esto dentro del Bitrix24 es cómodo ver los nombres en los idiomas locales – en el ruso, el español, el francés, el alemán.
Solución: Se agregan ambos el Nombre (RU) y el Apellido (RU) de forma adicionaly se sincronizan con ayuda de los atributos ExtensionAttribute1 y ExtensionAttribute2. No se recomienda usar para la resolución de esta tarea los campos estandarizados del Bitrix24, porque estos se usan en unos lugares muy inesperados. Por ejemplo, no se puede usar el patronímico en calidad de Apellido, Nombre, Patronímico rusos, durante sincronización con iPhone el usuario con iPhone llegó a ser Ivanov Ivanov Ivan Ivanovich Ivan.
El problema consiste en las limitaciones básicas de AD. La limitación del tamaño de la imagen no es superior a95 х 95 píxeles, y el tamaño no es mayor a100 kilobytes.
Solución: En el Active Directory se agrega el campo adicional jpegPhoto. El tamaño está limitado a 100 kilobytes. El tipo jpg garantiza una compresión máxima. No se recomienda cargar las fotografías unaresolución mayor de 300 х 300 píxeles, ya que en el Bitrix24 la limitación para sacar la fotografía del perfil es de 300 х 300 píxeles, y las fotografías con una resolución mayor serán de más.
Contamos los detalles para los elaboradores y administradores.
Se usa el método $arSyncFields.
En los campos del Bitrix se escriben las siguientes informaciones:
"EMAIL" => Array("NAME" => GetMessage("LDAP_FIELD_EMAIIL"), "AD"=>"mail", "LDAP"=>"email"),
en la entrada hay un vector donde el primer parámetro es obligatorio , significandola traducción del nombre del campo que se saca por la función GetMessage. Ell segundo parámetro no es obligatorio, y se corresponde al nombre del campo de AD, el tercer parámetro no es obligatorio, y es el nombre del campo de LDAP. Si está indicada la comparación de los campos, de estas se obtendránlas informaciones. Si el campo está vacío, no habrá sincronización.
Tabla de correspondencia de los campos
Bitrix24 |
Traducción (RU) / ID Traducción para la función GetMessage |
AD |
LDAP |
Particularidades |
ACTIVE |
El usuario está activo / LDAP_FIELD_ACTIVE |
UserAccountControl&2 |
UserAccountControl&2 |
|
|
E-Mail / LDAP_FIELD_EMAIIL |
|
|
|
NAME |
Nombre / LDAP_FIELD_NAME |
givenName |
cn |
|
LAST_NAME |
Apellido / LDAP_FIELD_LAST_NAME |
sn |
sn |
|
SECOND_NAME |
Patronímico / LDAP_FIELD_SECOND_NAME |
|
|
|
PERSONAL_GENDER |
Sexo / LDAP_FIELD_GENDER |
|
|
sólo M o F |
PERSONAL_BIRTHDAY |
Fecha de nacimiento / LDAP_FIELD_BIRTHDAY |
|
|
formato del cumpleaños 01.01.1997 (día.mes.año) |
PERSONAL_PROFESSION |
Especialidad / LDAP_FIELD_PROF |
|
|
|
PERSONAL_PHOTO |
Fotografía / LDAP_FIELD_PHOTO |
thumbnailPhoto |
jpegPhoto |
El peso de la imagen no es mayor de 100 kilobytes |
PERSONAL_WWW |
Página WWW / LDAP_FIELD_WWW |
wWWHomePage |
|
|
PERSONAL_ICQ |
ICQ (no hay traducción) |
|
|
|
PERSONAL_PHONE |
Teléfono / LDAP_FIELD_PHONE |
homePhone |
|
|
PERSONAL_FAX |
Fax / LDAP_FIELD_FAX |
|
|
|
PERSONAL_MOBILE |
Móvil / LDAP_FIELD_MOB |
mobile |
|
|
PERSONAL_PAGER |
Mensáfono / LDAP_FIELD_PAGER |
|
|
|
PERSONAL_STREET |
Calle, casa / LDAP_FIELD_STREET |
streetAddress |
|
|
PERSONAL_MAILBOX |
Buzón / LDAP_FIELD_MAILBOX |
postOfficeBox |
|
|
PERSONAL_CITY |
Ciudad / LDAP_FIELD_CITY |
l |
|
|
PERSONAL_STATE |
Provincia / territorio / LDAP_FIELD_STATE |
st |
|
|
PERSONAL_ZIP |
Código postal / LDAP_FIELD_ZIP |
postalCode |
|
|
PERSONAL_COUNTRY |
País / LDAP_FIELD_COUNTRY |
c |
|
|
WORK_COMPANY |
Nombre de la empresa / LDAP_FIELD_COMPANY |
company |
|
|
WORK_DEPARTMENT |
Departamento / Sección / LDAP_FIELD_DEP |
department |
|
|
WORK_POSITION |
Cargo / LDAP_FIELD_POS |
title |
|
|
WORK_PHONE |
Teléfono / LDAP_FIELD_WORK_PHONE |
telephoneNumber |
|
|
WORK_FAX |
Fax / LDAP_FIELD_WORK_FAX |
facsimileTelephoneNumber |
|
|
WORK_PAGER |
Mensáfono / LDAP_FIELD_WORK_PAGER |
|
|
|
ADMIN_NOTES |
Notas del administrador / LDAP_FIELD_ADMIN_NOTES |
description |
|
|
La sincronización funciona, pero requiere los ajustes adicionales y a veces la elaboración definitiva.
La documentación es insuficiente, lo que lleva a la necesidad de estudiar las complicaciones “in situ” y efectuar el ajuste de muchos parámetros (Filtro para los usuarios, Correspondencia de los campos del usuario y los atributos de LDAP, Filtro para los grupos de usuarios, Raíz del árbol (base DN)).
Sin embargo, es una herramienta muy útil para las grandes empresas.
El funcionamiento correcto del funcional básico de sincronización del módulo está asegurado sólo durante instalación en el nuevo Bitrix24. Durante instalación en el Bitrix24 con los usuarios invitados anteriormente van a aparecermuchas complicaciones. Se resuelven, pero es recomendableno hacerlo así.
El INTERVOLGA recomienda usar la sincronización durante instalación de nuevos portales.
Según resultados de los trabajos de sincronización todos los trabajos están finalizados, el cliente está correcto. Si usted necesita el ajuste de sincronización de Bitrix24 y Active Directory, nuestra empresa estará encantadade ayudarle a resolver este problema.
La evaluación de laboriosidad de ajuste de sincronización con Active Directory es de 10 horas.