Аутентификация с помощью доменных учетных записей

Чтобы пользователи могли проходить аутентификацию в веб-интерфейсе KUMA с помощью своих доменных учетных данных, требуется выполнить следующие этапы настройки.

1. Включить доменную аутентификацией

   По умолчанию доменная аутентификация выключена, а подключение к домену не настроено.

2. Настроить соединение с контроллером домена

   Доступны следующие соединения:

   • Active Directory (AD)
   • Active Directory Federation Services (ADFS)
   • FreeIPA

   Одновременно могут быть настроены параметры подключения к AD и ADFS.

   Подключение возможно только к одному домену.

3. Добавить группы ролей пользователей

   Вы можете указать для каждой роли KUMA группу домена. Пользователи из этой группы, пройдя аутентификацию с помощью своих доменных учетных данных, будут получать доступ к веб-интерфейсу KUMA в соответствии с указанной ролью.

   При этом программа проверяет соответствие группы пользователя указанному фильтру в порядке следования ролей в веб-интерфейсе KUMA: Младший аналитик → Аналитик первого уровня → Аналитик второго уровня → Администратор тенанта → Главный администратор. При первом совпадении пользователю присваивается роль и дальнейшая проверка не осуществляется. Если для пользователя указано две группы в одном тенанте, то будет использована роль с наибольшими правами. Если указано несколько групп для разных тенантов, то в каждом тенанте пользователю будет присвоена указанная роль.

   При нажатии на Тенант:

   • под тенантом раскрывается весь список ролей и групп, принадлежащих данному тенанту.
   • под строкой, которая содержит название тенанта, общее количество ролей и общее количество групп, принадлежащее данному тенанту, отображаются строки, которые содержат название тенанта, название роли и название группы.
   • дубликаты названий ролей и групп объединяются при копировании и добавлении фильтра (то есть, если одному тенанту принадлежит в таблице запись роль младший аналитик, группа 1, то при попытке добавить или скопировать такую же запись (роль младший аналитик, группа 1) от другого тенанта запись в гриде младший аналитик, группа 1 будет только в единичном экземпляре, без дублирования.
   • роли отображаются в отсортированном виде сверху вниз от старшей роли к младшей.

   Вы можете скопировать настроенные роли пользователей и соответствующие им группы в другой тенант, установив рядом с ними флажок и нажав на кнопку Скопировать в тенант. В открывшемся окне отобразится список доступных тенантов. При копировании ролей пользователей:

   • Вы можете выбрать одну или несколько ролей внутри одного тенанта для копирования настроек.
   • Вы можете скопировать весь тенант с настроенными ролями и группами.
   • Вы можете скопировать настройки сразу в несколько тенантов, но только из одного.
   • В списке доступных тенантов будут недоступны Shared тенант и тенант, из которого вы копируете.

   Все доменные пользователи при первой аутентификации получают доступ к набору пространств по умолчанию, который указан в разделе Доступ к пространствам.

   При необходимости вы можете удалить сразу несколько тенантов или ролей пользователей с их группами. Для этого нужно установить флажок рядом с нужными сущностями и нажать на кнопку Удалить. Вы можете удалять выбранные роли как внутри одного тенанта, так и одновременно из разных.

Особенности входа в систему после настройки доменной аутентификации

Для успешной аутентификации необходимо соблюдать следующие условия:

• FreeIPA: при входе в систему пользователю следует указывать в логине домен заглавными буквами. Пример: user@FREEIPA.COM.
• AD/ADFS: при входе в систему пользователю следует указывать в логине UserPrincipalName. Пример: user@domain.ru.

Если вы выполнили все этапы настройки, но пользователь не может пройти аутентификацию в веб-интерфейсе KUMA с помощью своей доменной учетной записи, мы рекомендуем проверить конфигурацию на наличие следующих проблем:

• В свойствах учетной записи пользователя в Active Directory не указан адрес электронной почты. В этом случае при первой аутентификации пользователя отобразится сообщение об ошибке и учетная запись KUMA не будет создана.
• Локальная учетная запись KUMA с адресом электронной почты, указанным в свойствах доменной учетной записи, уже существует. В этом случае при попытке аутентификации с помощью доменной учетной записи пользователь получит сообщение об ошибке.
• Доменная аутентификация отключена в параметрах KUMA.
• Допущена ошибка при вводе группы ролей.
• Доменное имя пользователя содержит пробел.

В этом разделе Включение и выключение доменной аутентификации Настройка соединения KUMA с FreeIPA Настройка соединения KUMA с Active Directory Настройка соединения KUMA с Active Directory Federation Services

В начало