Konektor Active Directory synchronizuje uživatelské účty mezi podnikovou adresářovou službou a systémem Edjet LMS pomocí protokolu LDAP.
Podporované edice AD:
Služba AZURE AD v cloudu není podporována, protože protokol LDAP v cloudu nefunguje.
Po spuštění synchronizace AD se data shromáždí a synchronizují ze serveru Active Directory do databáze Edjet LMS. Komunikace se serverem AD probíhá vždy v režimu pouze pro čtení.
Veškeré změny provedené na uživatelských účtech na straně systému LMS se nepromítnou na server AD a při příští synchronizaci budou přepsány.
Když se uživatel pokusí přihlásit do systému Edjet LMS, aplikace se pokusí ověřit uživatele proti nakonfigurovanému serveru AD. Když je aktivní ověřování AD, není pro koncového uživatele nic viditelné.
Pro přihlášení uživatele se používá vlastnost "userPrincipalName" (preferovaná) nebo "SAMAccountName".
Pokud server AD není přístupný nebo je odpověď neplatná, proces přihlášení se nezdaří.
Nový uživatel se vytvoří automaticky, pokud ještě není v databázi Edjet LMS.
Akce se spustí, když:
Uživatel je automaticky aktualizován, pokud je v databázi AD i Edjet LMS.
Shoda se hledá podle vlastnosti "login" (uživatelské jméno), která je jedinečná.
Akce se spustí, když:
Uživatel je automaticky odstraněn z databáze Edjet LMS, pokud již není k dispozici (v závislosti na nastavení synchronizace), s výjimkou účtu "Superadmin", který nelze odstranit.
Akce se spustí, když:
Aby se v databázi Edjet LMS čistá nehromadily staré účty, musí být server AD správně nastaven tak, aby se všechny změny nastavení serveru AD propagovaly do databáze Edjet LMS.
Edjet LMS podporuje synchronizaci obou typů uživatelů (admin, user).
Podporovány jsou také všechny role (Student, Správce, Instruktor) s výjimkou role Supersprávce, kterou nelze synchronizovat z bezpečnostních důvodů.
Veškerá nastavení a možnosti konektoru AD lze spravovat na panelu správce.
Nastavení ověřování a synchronizace služby AD:
| Nastavení | Možnosti a popis |
|---|---|
| ldap_auth |
Povolení nebo zakázání služby AD pro ověřování a synchronizaci.
Datový typ: celé číslo |
| ldap_base_dn |
Základní DN (rozlišující název) služby Active Directory. Je-li jich více, oddělte je dvojtečkou. Příklad: dc=example,dc=com Typ dat: řetězec |
| ldap_domains |
Řadiče domény. Je-li jich více, oddělte je středníkem. Příklad: corp.example.com;dc.example.com Typ dat: řetězec |
| ldap_port |
Port, na kterém server AD naslouchá. Výchozí nastavení: 389 Datový typ: celé číslo |
| ldap_use_ssl |
Zabezpečte připojení mezi projektem a serverem AD pomocí protokolu SSL. Pokud tuto možnost povolíte, měli byste nastavit také číslo portu. Výchozí hodnota: false Typ dat: boolean |
| ldap_use_tls |
Zabezpečte připojení mezi projektem a serverem AD pomocí protokolu TLS. Pokud tuto možnost povolíte, měli byste nastavit také číslo portu. Výchozí hodnota: false Typ dat: boolean |
| ldap_username |
Uživatelské jméno účtu AD s oprávněním alespoň ke čtení uživatelů a skupin v AD. Příklad: Správce Výchozí hodnota: prázdný Typ dat: řetězec |
| ldap_password |
Heslo účtu AD (zadané v poli "ldap_username"). Nenechávejte je prázdné. Výchozí hodnota: prázdný Typ dat: řetězec |
| ldap_acc_prefix |
Předpona účtu bude předřazena všem uživatelským jménům v procesu ověřování AD. Příklad: NETBIOSDomain\ Výchozí hodnota: prázdný Typ dat: řetězec |
| ldap_acc_suffix |
Přípona účtu bude připojena ke všem uživatelským jménům v procesu ověřování AD. Příklad: @corp.example.com Výchozí hodnota: prázdný Typ dat: řetězec |
| ldap_sync_roles |
Seznam skupin AD, které odpovídají uživatelským rolím v Edjet LMS. Při prvním vytvoření uživatele bude jeho role odpovídat tomu, co je zde uvedeno. Uživatel bude vytvořen na základě první shody zleva doprava, takže nejprve vložte silnější skupiny (např. role správce). Pokud není role Edjet LMS nalezena, použije se ID role=3 (student). ID role=1 (superadmin) nelze z bezpečnostních důvodů nastavit. U rolí služby Active Directory se rozlišují velká a malá písmena. Oddělte více rolí středníkem. Formát: <AdGroup>=<EdjetLMSRoleId> Příklad: Administrátoři=21;Instruktoři=4 Výchozí nastavení: Administrátoři=21;Instruktoři=4;Studenti=3 Typ dat: řetězec |
| ldap_sync_groups |
Uživatelé jsou autorizováni a synchronizováni pouze v případě, že jsou členy určitých skupin AD. Pokud si přejete získat všechny uživatele z AD (bez ohledu na to, v jaké skupině se nacházejí), ponechte tuto možnost prázdnou. Oddělte více skupin středníkem. U skupin služby Active Directory se rozlišují velká a malá písmena. Příklad: Prodej;Kancelář;Administrátoři Výchozí nastavení: Administrátoři;Instruktoři;Studenti Typ dat: řetězec |
| ldap_cmn_fields |
Užitečné pro pole, která se v systému AD nevyskytují. Pokud jsou však tato pole ve službě AD, budou touto hodnotou přepsána. Formát: <EdjetLMSField>=<hodnota> Oddělte více polí středníkem. Příklad: lang=cs-CZ Výchozí hodnota: prázdný Typ dat: řetězec |
| ldap_sync_fields |
Seznam polí systému Edjet LMS (sloupců databáze) uživatelského účtu, která mají být při synchronizaci přepsána daty z AD. Nastavení také mapuje odpovídající pole LMS na pole AD. Formát: <EdjetLMSField>=<AdField> Oddělte více polí středníkem. Přihlášení musí být v systému Edjet LMS jedinečné, proto zvolte odpovídající jedinečné políčko AD. Příklad: login=userprincipalname;email=mail;surname=sn;name=givenname Výchozí: login=userprincipalname;email=mail;prefix=personaltitle;surname=sn;name=givenname;company=company;job_title=title;street=streetaddress;city=city;zip=postalcode;region=state;state=country;tel1=mobile;tel2=telephonenumber;tel3=facsimiletelephonenumber;content=description Typ dat: řetězec |
Synchronizaci všech uživatelských účtů doporučujeme spustit pomocí CLI s využitím plánovače úloh.
Příklad:
php /var/www/html/components/ldap_sync.php cliTuto úlohu můžete přidat do denní periody pomocí karty CRON (Linux) nebo Plánovače úloh (Windows Server).
Chcete-li skript ladit, předejte také parametr "errout" a zobrazte chybový výstup:
php /var/www/html/components/ldap_sync.php cli erroutMísto CLI můžete použít také režim HTTP.
Generuje požadavek HTTP na název domény zadaný jako parametr, např. "localhost" nebo "corp.example.com".
php /var/www/html/components/ldap_sync.php corp.example.comChcete-li skript ladit, předejte také parametr "errout" a zobrazte chybový výstup:
php /var/www/html/components/ldap_sync.php corp.example.com erroutZkontrolujte doménu v "ldap_username" a zkuste ji přesunout do "ldap_acc_suffix". Ujistěte se také, že "ldap_acc_suffix" začíná znakem "@".