Интеграция с контроллерами домена

Стандартные атрибуты для поддерживаемых контроллеров домена

Назначение

При синхронизации пользователей Printum сопоставляет поля системы с атрибутами LDAP-каталога. Приведённые ниже значения используются по умолчанию и рекомендуются для большинства внедрений.

Microsoft Active Directory

Атрибут в Printum Атрибут в домене Описание
username sAMAccountName Логин
unique_id objectSid Идентификатор в домене
last_name sn Фамилия
first_name givenName Имя
patronymic personalTitle Отчество
email mail Адрес электронной почты
domain_groups memberOf Доменные группы
position title Должность
smb_path homeDirectory Путь к папке

FreeIPA / Samba DC / РЕД АДМ

Атрибут в Printum Атрибут в домене Описание
username uid Логин
unique_id uidNumber Идентификатор в домене
last_name sn Фамилия
first_name givenName Имя
patronymic personalTitle Отчество
email mail Адрес электронной почты
domain_groups memberOf Доменные группы
position title Должность
smb_path homeDirectory Путь к папке

ALD Pro

Атрибут в Printum Атрибут в домене Описание
username uid Логин
unique_id uidNumber Идентификатор в домене
last_name sn Фамилия
first_name givenName Имя
patronymic rbtamiddlename Отчество
email mail Адрес электронной почты
domain_groups memberOf Доменные группы
position title Должность
smb_path homeDirectory Путь к папке

Примечание: В ALD Pro нет разделения между группами и отделами — все отделы импортируются как группы.

Обязательные атрибуты

Для корректной синхронизации должны быть настроены следующие поля:

Связанные страницы

Справочник атрибутов: Атрибуты доменов — справочник — сравнительная таблица по всем контроллерам домена.

Расписание синхронизации с доменом

Цель

Настройка автоматической синхронизации пользователей и оргструктуры из домена в Printum.

Предусловия

Настройка расписания

В карточке домена (Настройки → Интеграции → Домены) перейдите в раздел «Расписание».

Важно: расписание синхронизации является общим для всех доменов — изменение расписания в одном домене применится ко всем остальным.

Укажите желаемую периодичность синхронизации и сохраните настройки.

Ручная синхронизация

Для немедленной синхронизации без ожидания планового запуска:

Ожидаемый результат

Пользователи, изменения в оргструктуре и группах автоматически применяются в Printum согласно заданному расписанию.

Связанные страницы

Как работает синхронизация пользователей с доменом

Назначение

Синхронизация с контроллером домена — основной способ импорта пользователей в Принтум. Администратор не создаёт пользователей вручную: они выгружаются из домена автоматически.

Поддерживаемые каталоги

Как технически происходит синхронизация

Синхронизация проходит через два уровня:

  1. Контроллер домена → Мониторинг: данные выгружаются и агрегируются.
  2. Мониторинг → ПринтМенеджер: пользователи передаются в систему управления.

Схема движения данных: AD/LDAP → Мониторинг → ПринтМенеджер

Выгружаемые атрибуты

В рамках синхронизации из домена выгружается набор атрибутов:

Перечень атрибутов конечный. Доменный пароль не выгружается и не хранится в Принтум.

Настройка соответствия атрибутов

Принцип аналогичен интерпретации SNMP-данных в Мониторинге: каждому атрибуту системы указывается, в каком поле домена хранится нужное значение.

Из коробки подставлены стандартные значения атрибутов. Однако администраторы домена могут хранить данные нестандартно. Например:

Если стандартное соответствие не подходит, администратор изменяет маппинг атрибутов в настройках синхронизации и проверяет, что нужное значение появляется корректно.

Что выгружается: орг. структура или группы

При настройке синхронизации выбирается, что выгружать из домена:

В классической модели доменной инфраструктуры организационная структура управляется через OU, а группы безопасности используются для управления доступами и логической сегментации пользователей.

Однако в реальных внедрениях возможны отклонения от данной модели. Например, у некоторых заказчиков подразделения не представлены в виде OU, а реализованы через группы безопасности, где каждая группа соответствует отдельному отделу.

Фильтры выгрузки

Не обязательно выгружать всех пользователей домена. Используются стандартные LDAP-фильтры:

После того как фильтры и соответствие атрибутов настроены, система будет автоматически поддерживать данные в актуальном состоянии.

Расписание синхронизации

Синхронизация происходит регулярно по расписанию. Минимальный интервал — не чаще одного раза в 4 часа. Для большинства случаев нескольких синхронизаций в день достаточно.

Связанные страницы

Объединение доменных учётных записей одного пользователя

Назначение

Принтум позволяет связывать несколько доменных учётных записей с одним пользователем системы (Printum ID). Это необходимо для организаций, где один сотрудник работает в нескольких доменах или контурах безопасности.

Как это работает

При настройке синхронизации администратор указывает атрибут, который используется для поиска совпадений между учётными записями. Если у нескольких доменных учётных записей совпадает значение выбранного атрибута, они связываются с одним пользователем Printum. В качестве атрибута объединения обычно используются:

Пример

Сотрудник работает одновременно в открытом и закрытом контуре организации. В каждом контуре у него существует отдельная доменная учётная запись. Если в обеих учётных записях указан одинаковый корпоративный email, система объединит их в одного пользователя Printum.

Что это даёт

После объединения:

Связанные страницы

Назначение ролей через группы домена

Назначение

Принтум позволяет автоматически назначать роли, правила печати и МФУ для прямой печати на основе членства пользователей в группах домена. Администратор управляет доступами к печати так же, как управляет любыми другими правами — через контроллер домена.

Что такое роль в Принтум

Роль определяет:

Стандартные роли поставляются из коробки. При необходимости можно создать свою роль: с нуля или клонировав существующую с добавлением/удалением прав. Роль можно задать как роль по умолчанию — она будет присваиваться всем новым пользователям при импорте.

Как работает назначение роли через группу домена

  1. Группы домена синхронизируются в Принтум вместе с пользователями.
  2. В Принтум для группы настраивается соответствующая роль.
  3. При синхронизации все члены группы получают указанную роль.
  4. Новый сотрудник, добавленный в группу в домене, при следующей синхронизации автоматически получает нужную роль в Принтум — без каких-либо действий в самом Принтум.

Пример: в домене есть группа «Администраторы». В Принтум для этой группы настроена роль «Администратор». Заказчик нанял нового IT-специалиста, добавил его в домене в группу «Администраторы». При следующей синхронизации пользователь появится в Принтум уже с ролью «Администратор» — в самом Принтум ничего настраивать не нужно.

Назначение правил через группы

Аналогично ролям, через группы домена можно автоматически применять правила печати.

Правило — это условие (атрибуты задания: количество страниц, цветность, формат) плюс действие (запретить, разрешить только на определённых устройствах и т.д.).

Пример: администратор создаёт в домене группу «Запрет цветной печати». В Принтум для этой группы задаётся правило — запрет цветной печати. Чтобы ограничить нового сотрудника, достаточно добавить его в эту группу в домене. После синхронизации запрет применится автоматически.

Назначение МФУ для прямой печати через группы

Если используется схема с Клиентом ПМ, МФУ для прямой печати (без авторизации) также назначаются через группы домена или OU.

Пример: для OU «Бухгалтерия» назначен МФУ Kyocera для прямой печати. Клиент ПМ автоматически создаёт этот МФУ на рабочей станции каждого сотрудника бухгалтерии. Новый бухгалтер появляется в домене в OU «Бухгалтерия» — при следующей синхронизации у него на компьютере автоматически появится нужный МФУ. Администратору Принтум ничего делать не нужно.

Итог: интеграция в процесс управления пользователями

За счёт синхронизации с доменом Принтум встраивается в привычный для администраторов процесс управления доступами. Нанимая, увольняя или перемещая сотрудников между группами в контроллере домена, администратор одновременно управляет и их доступами к печати.

Связанные страницы

Доменная авторизация и SSO — как работает

Назначение

Начиная с версии 4.2, Принтум поддерживает доменную авторизацию и Single Sign-On (SSO). Это позволяет пользователям входить в Личный кабинет с помощью доменного логина и пароля, не создавая отдельный пароль в Принтум.

Принтум не хранит доменные пароли

Это ключевой принцип безопасности. Принтум:

При авторизации с доменным паролем Принтум передаёт введённые учётные данные контроллеру домена и проверяет корректность пароля на стороне контроллера домена. В самой системе пароль не сохраняется.

Как выглядело до версии 4.2

В версии 4.1 пользователь при входе в Личный кабинет вводил:

Внутренний пароль задавался самим пользователем через почту. Это не создавало проблем безопасности, но часто требования заказчиков предполагали использование исключительно доменного пароля.

Доменная авторизация (версия 4.2+)

В Личном кабинете появляется кнопка «Авторизоваться с помощью доменной УЗ».

Оба варианта авторизации могут работать параллельно:

Если заказчик переходит на доменную авторизацию, внутренняя парольная политика Принтум становится менее актуальной: пароли соответствуют требованиям политики домена.

SSO (Single Sign-On)

SSO добавлен в версии 4.2. При использовании SSO пользователю не нужно вводить логин и пароль вручную — авторизация происходит автоматически на основе текущей доменной сессии.

В Личном кабинете появляется кнопка входа через SSO.

Парольная политика

Принтум поддерживает настраиваемые парольные политики для внутренних паролей:

Можно задать несколько парольных политик для разных групп пользователей. Есть политика по умолчанию. При использовании доменной авторизации настройка внутренней политики остаётся на усмотрение администратора.

Связанные страницы

Гостевая печать через email — как работает

Назначение

Гостевая печать через email позволяет напечатать документ пользователю, которого нет в домене и в Принтум. Это удобно для посетителей, внешних подрядчиков и любых людей, у которых нет корпоративной учётной записи.

Как это работает

  1. Администратор создаёт специальный почтовый ящик для приёма документов на печать (например, print@company.ru).
  2. Гость отправляет документ как вложение к письму на этот адрес (например, с планшета или личного телефона).
  3. Принтум автоматически создаёт для него временную учётную запись.
  4. Гостю в ответ приходит письмо с PIN-кодом.
  5. Гость подходит к устройству, вводит PIN-код, видит своё задание (или несколько, если отправил несколько писем) и выбирает, что распечатать.

Требования

Даже если посторонний человек узнает адрес почтового ящика и отправит туда документ, получить распечатку он не сможет: для этого нужен физический доступ к устройству и PIN-код из ответного письма.

Разница между гостевой печатью и печатью сотрудника через почту

Функционал «печать через email» используется в двух сценариях:

Связанные страницы

Подключение LDAP-домена

Назначение

Интеграция с LDAP-доменом позволяет автоматически импортировать пользователей, организационную структуру и группы безопасности в Printum.

Поддерживаются следующие службы каталогов:

Добавление домена

  1. Перейдите в раздел Настройки → Интеграции → Домены.
  2. Нажмите Добавить.
  3. Заполните параметры подключения:
    • название домена;
    • тип домена;
    • адрес LDAP-сервера;
    • логин и пароль учётной записи с правами чтения каталога.
  4. При необходимости настройте:
    • LDAP-фильтр;
    • стартовый уровень поиска;
    • импорт организационной структуры;
    • импорт групп безопасности;
    • атрибут для объединения учётных записей;
    • использование шифрования.
  5. Нажмите Тестовый импорт.
  6. После успешной проверки сохраните настройки.
  7. Настройте сопоставление атрибутов домена.
  8. Запустите синхронизацию вручную или дождитесь её выполнения по расписанию.

Проверка подключения

При успешном подключении тестовый импорт отображает количество найденных пользователей, подразделений и групп. После запуска синхронизации пользователи появляются в разделе Пользователи.

Связанные страницы