4. Интеграции

Интеграции с внешними системами: AD, LDAP, SMTP, SSO и другие

Интеграция с контроллерами домена

Интеграция с контроллерами домена

Стандартные атрибуты для поддерживаемых контроллеров домена

Назначение

При синхронизации пользователей Printum сопоставляет поля системы с атрибутами LDAP-каталога. Приведённые ниже значения используются по умолчанию и рекомендуются для большинства внедрений.

Microsoft Active Directory

Атрибут в Printum Атрибут в домене Описание
username sAMAccountName Логин
unique_id objectSid Идентификатор в домене
last_name sn Фамилия
first_name givenName Имя
patronymic personalTitle Отчество
email mail Адрес электронной почты
domain_groups memberOf Доменные группы
position title Должность
smb_path homeDirectory Путь к папке

FreeIPA / Samba DC / РЕД АДМ

Атрибут в Printum Атрибут в домене Описание
username uid Логин
unique_id uidNumber Идентификатор в домене
last_name sn Фамилия
first_name givenName Имя
patronymic personalTitle Отчество
email mail Адрес электронной почты
domain_groups memberOf Доменные группы
position title Должность
smb_path homeDirectory Путь к папке

ALD Pro

Атрибут в Printum Атрибут в домене Описание
username uid Логин
unique_id uidNumber Идентификатор в домене
last_name sn Фамилия
first_name givenName Имя
patronymic rbtamiddlename Отчество
email mail Адрес электронной почты
domain_groups memberOf Доменные группы
position title Должность
smb_path homeDirectory Путь к папке

Примечание: В ALD Pro нет разделения между группами и отделами — все отделы импортируются как группы.

Обязательные атрибуты

Для корректной синхронизации должны быть настроены следующие поля:

Связанные страницы

Справочник атрибутов: Атрибуты доменов — справочник — сравнительная таблица по всем контроллерам домена.

Интеграция с контроллерами домена

Расписание синхронизации с доменом

Цель

Настройка автоматической синхронизации пользователей и оргструктуры из домена в Printum.

Предусловия

Настройка расписания

В карточке домена (Настройки → Интеграции → Домены) перейдите в раздел «Расписание».

Важно: расписание синхронизации является общим для всех доменов — изменение расписания в одном домене применится ко всем остальным.

Укажите желаемую периодичность синхронизации и сохраните настройки.

Ручная синхронизация

Для немедленной синхронизации без ожидания планового запуска:

Ожидаемый результат

Пользователи, изменения в оргструктуре и группах автоматически применяются в Printum согласно заданному расписанию.

Связанные страницы

Интеграция с контроллерами домена

Как работает синхронизация пользователей с доменом

Назначение

Синхронизация с контроллером домена — основной способ импорта пользователей в Принтум. Администратор не создаёт пользователей вручную: они выгружаются из домена автоматически.

Поддерживаемые каталоги

Как технически происходит синхронизация

Синхронизация проходит через два уровня:

  1. Контроллер домена → Мониторинг: данные выгружаются и агрегируются.
  2. Мониторинг → ПринтМенеджер: пользователи передаются в систему управления.

Схема движения данных: AD/LDAP → Мониторинг → ПринтМенеджер

Выгружаемые атрибуты

В рамках синхронизации из домена выгружается набор атрибутов:

Перечень атрибутов конечный. Доменный пароль не выгружается и не хранится в Принтум.

Настройка соответствия атрибутов

Принцип аналогичен интерпретации SNMP-данных в Мониторинге: каждому атрибуту системы указывается, в каком поле домена хранится нужное значение.

Из коробки подставлены стандартные значения атрибутов. Однако администраторы домена могут хранить данные нестандартно. Например:

Если стандартное соответствие не подходит, администратор изменяет маппинг атрибутов в настройках синхронизации и проверяет, что нужное значение появляется корректно.

Что выгружается: орг. структура или группы

При настройке синхронизации выбирается, что выгружать из домена:

В классической модели доменной инфраструктуры организационная структура управляется через OU, а группы безопасности используются для управления доступами и логической сегментации пользователей.

Однако в реальных внедрениях возможны отклонения от данной модели. Например, у некоторых заказчиков подразделения не представлены в виде OU, а реализованы через группы безопасности, где каждая группа соответствует отдельному отделу.

Фильтры выгрузки

Не обязательно выгружать всех пользователей домена. Используются стандартные LDAP-фильтры:

После того как фильтры и соответствие атрибутов настроены, система будет автоматически поддерживать данные в актуальном состоянии.

Расписание синхронизации

Синхронизация происходит регулярно по расписанию. Минимальный интервал — не чаще одного раза в 4 часа. Для большинства случаев нескольких синхронизаций в день достаточно.

Связанные страницы

Интеграция с контроллерами домена

Объединение доменных учётных записей одного пользователя

Назначение

Принтум позволяет связывать несколько доменных учётных записей с одним пользователем системы (Printum ID). Это необходимо для организаций, где один сотрудник работает в нескольких доменах или контурах безопасности.

Как это работает

При настройке синхронизации администратор указывает атрибут, который используется для поиска совпадений между учётными записями. Если у нескольких доменных учётных записей совпадает значение выбранного атрибута, они связываются с одним пользователем Printum. В качестве атрибута объединения обычно используются:

Пример

Сотрудник работает одновременно в открытом и закрытом контуре организации. В каждом контуре у него существует отдельная доменная учётная запись. Если в обеих учётных записях указан одинаковый корпоративный email, система объединит их в одного пользователя Printum.

Что это даёт

После объединения:

Связанные страницы

Интеграция с контроллерами домена

Назначение ролей через группы домена

Назначение

Принтум позволяет автоматически назначать роли, правила печати и МФУ для прямой печати на основе членства пользователей в группах домена. Администратор управляет доступами к печати так же, как управляет любыми другими правами — через контроллер домена.

Что такое роль в Принтум

Роль определяет:

Стандартные роли поставляются из коробки. При необходимости можно создать свою роль: с нуля или клонировав существующую с добавлением/удалением прав. Роль можно задать как роль по умолчанию — она будет присваиваться всем новым пользователям при импорте.

Как работает назначение роли через группу домена

  1. Группы домена синхронизируются в Принтум вместе с пользователями.
  2. В Принтум для группы настраивается соответствующая роль.
  3. При синхронизации все члены группы получают указанную роль.
  4. Новый сотрудник, добавленный в группу в домене, при следующей синхронизации автоматически получает нужную роль в Принтум — без каких-либо действий в самом Принтум.

Пример: в домене есть группа «Администраторы». В Принтум для этой группы настроена роль «Администратор». Заказчик нанял нового IT-специалиста, добавил его в домене в группу «Администраторы». При следующей синхронизации пользователь появится в Принтум уже с ролью «Администратор» — в самом Принтум ничего настраивать не нужно.

Назначение правил через группы

Аналогично ролям, через группы домена можно автоматически применять правила печати.

Правило — это условие (атрибуты задания: количество страниц, цветность, формат) плюс действие (запретить, разрешить только на определённых устройствах и т.д.).

Пример: администратор создаёт в домене группу «Запрет цветной печати». В Принтум для этой группы задаётся правило — запрет цветной печати. Чтобы ограничить нового сотрудника, достаточно добавить его в эту группу в домене. После синхронизации запрет применится автоматически.

Назначение МФУ для прямой печати через группы

Если используется схема с Клиентом ПМ, МФУ для прямой печати (без авторизации) также назначаются через группы домена или OU.

Пример: для OU «Бухгалтерия» назначен МФУ Kyocera для прямой печати. Клиент ПМ автоматически создаёт этот МФУ на рабочей станции каждого сотрудника бухгалтерии. Новый бухгалтер появляется в домене в OU «Бухгалтерия» — при следующей синхронизации у него на компьютере автоматически появится нужный МФУ. Администратору Принтум ничего делать не нужно.

Итог: интеграция в процесс управления пользователями

За счёт синхронизации с доменом Принтум встраивается в привычный для администраторов процесс управления доступами. Нанимая, увольняя или перемещая сотрудников между группами в контроллере домена, администратор одновременно управляет и их доступами к печати.

Связанные страницы

Интеграция с контроллерами домена

Доменная авторизация и SSO — как работает

Назначение

Начиная с версии 4.2, Принтум поддерживает доменную авторизацию и Single Sign-On (SSO). Это позволяет пользователям входить в Личный кабинет с помощью доменного логина и пароля, не создавая отдельный пароль в Принтум.

Принтум не хранит доменные пароли

Это ключевой принцип безопасности. Принтум:

При авторизации с доменным паролем Принтум передаёт введённые учётные данные контроллеру домена и проверяет корректность пароля на стороне контроллера домена. В самой системе пароль не сохраняется.

Как выглядело до версии 4.2

В версии 4.1 пользователь при входе в Личный кабинет вводил:

Внутренний пароль задавался самим пользователем через почту. Это не создавало проблем безопасности, но часто требования заказчиков предполагали использование исключительно доменного пароля.

Доменная авторизация (версия 4.2+)

В Личном кабинете появляется кнопка «Авторизоваться с помощью доменной УЗ».

Оба варианта авторизации могут работать параллельно:

Если заказчик переходит на доменную авторизацию, внутренняя парольная политика Принтум становится менее актуальной: пароли соответствуют требованиям политики домена.

SSO (Single Sign-On)

SSO добавлен в версии 4.2. При использовании SSO пользователю не нужно вводить логин и пароль вручную — авторизация происходит автоматически на основе текущей доменной сессии.

В Личном кабинете появляется кнопка входа через SSO.

Парольная политика

Принтум поддерживает настраиваемые парольные политики для внутренних паролей:

Можно задать несколько парольных политик для разных групп пользователей. Есть политика по умолчанию. При использовании доменной авторизации настройка внутренней политики остаётся на усмотрение администратора.

Связанные страницы

Интеграция с контроллерами домена

Гостевая печать через email — как работает

Назначение

Гостевая печать через email позволяет напечатать документ пользователю, которого нет в домене и в Принтум. Это удобно для посетителей, внешних подрядчиков и любых людей, у которых нет корпоративной учётной записи.

Как это работает

  1. Администратор создаёт специальный почтовый ящик для приёма документов на печать (например, print@company.ru).
  2. Гость отправляет документ как вложение к письму на этот адрес (например, с планшета или личного телефона).
  3. Принтум автоматически создаёт для него временную учётную запись.
  4. Гостю в ответ приходит письмо с PIN-кодом.
  5. Гость подходит к устройству, вводит PIN-код, видит своё задание (или несколько, если отправил несколько писем) и выбирает, что распечатать.

Требования

Даже если посторонний человек узнает адрес почтового ящика и отправит туда документ, получить распечатку он не сможет: для этого нужен физический доступ к устройству и PIN-код из ответного письма.

Разница между гостевой печатью и печатью сотрудника через почту

Функционал «печать через email» используется в двух сценариях:

Связанные страницы

Интеграция с контроллерами домена

Подключение LDAP-домена

Назначение

Интеграция с LDAP-доменом позволяет автоматически импортировать пользователей, организационную структуру и группы безопасности в Printum.

Поддерживаются следующие службы каталогов:

Добавление домена

  1. Перейдите в раздел Настройки → Интеграции → Домены.
  2. Нажмите Добавить.
  3. Заполните параметры подключения:
    • название домена;
    • тип домена;
    • адрес LDAP-сервера;
    • логин и пароль учётной записи с правами чтения каталога.
  4. При необходимости настройте:
    • LDAP-фильтр;
    • стартовый уровень поиска;
    • импорт организационной структуры;
    • импорт групп безопасности;
    • атрибут для объединения учётных записей;
    • использование шифрования.
  5. Нажмите Тестовый импорт.
  6. После успешной проверки сохраните настройки.
  7. Настройте сопоставление атрибутов домена.
  8. Запустите синхронизацию вручную или дождитесь её выполнения по расписанию.

Проверка подключения

При успешном подключении тестовый импорт отображает количество найденных пользователей, подразделений и групп. После запуска синхронизации пользователи появляются в разделе Пользователи.

Связанные страницы

Интеграция с почтовым сервером (SMTP)

Интеграция с почтовым сервером (SMTP)

Настройка подключения к почтовому серверу

Цель

Подключение Printum к SMTP-серверу для отправки уведомлений, восстановления паролей и системных писем.

Предусловия

Шаги настройки

Шаг 1. Открыть раздел

Перейдите в Настройки → Интеграции → Почта.

Шаг 2. Заполнить поля подключения

Шаг 3. Отправить тестовое письмо

Заполните поле «Почта для тестового письма» и нажмите «Отправить тестовое письмо». Если письмо с темой [Printum] Тестовое сообщение получено — интеграция настроена корректно.

Шаг 4. Сохранить

Нажмите кнопку «Сохранить».

Почему важно настроить сразу

Ожидаемый результат

Тестовое письмо получено. Системные уведомления Printum отправляются через настроенный SMTP-сервер.

Связанные страницы

Интеграция с почтовым сервером (SMTP)

Настройка печати через почту

Цель

Настройка функции отложенной печати через электронную почту: пользователь отправляет письмо с вложением на специальный адрес, вложение добавляется в его персональную очередь печати.

Как работает

Пользователь отправляет письмо с вложением (документ, PDF и др.) на специальный почтовый адрес, настроенный в системе. Загрузка писем выполняется по протоколу IMAP. Вложения автоматически добавляются в персональную очередь пользователя в Printum.

Предусловия

Шаги настройки

Шаг 1. Настройка почтового ящика для приёма заданий

Перейдите в панель администратора ПринтМенеджера: Настройки → Системные настройки → Настройки электронной почты и укажите следующие параметры:

Для добавления документа в очередь печати необходимо, чтобы адрес электронной почты сотрудника, который отправляет документ, совпадал с адресом электронной почты, указанный для этого сотрудника в ПМ.

Шаг 2. Проверка

Отправьте тестовое письмо с документом с почты сотрудника на почту, указанную в PRINT_MAILBOX_NAME. Убедитесь, что задание появилось в очереди пользователя в Printum.

Ожидаемый результат

После отправки письма с вложением документ появляется в персональной очереди пользователя и доступен для печати на устройстве.

Связанные страницы

Интеграция с почтовым сервером (SMTP)

Настройка гостевой печати через почту

Цель

Активация гостевой печати через почту — возможность печати для пользователей, которых нет в списке сотрудников Printum.

Как работает

Гость отправляет письмо с вложением на специальный адрес. Система автоматически создаёт гостевую учётную запись и добавляет задание в гостевую очередь. В ответном письме гость получает PIN-код. Используя PIN-код на МФУ со встроенным приложением, гость авторизуется и распечатывает документ.

Предусловия

Шаги настройки

Шаг 1. Включить гостевую печать

Перейдите в панель администратора ПринтМенеджера: Настройки → Системные настройки → Настройки электронной почты.

Включите параметр GUEST_PRINT_VIA_MAIL.

Шаг 2. Проверка

Отправьте письмо с документом с адреса, которого нет в списке сотрудников, на адрес PRINT_MAILBOX_NAME. Убедитесь, что:

Ожидаемый результат

Пользователь, не зарегистрированный в системе, получает PIN-код по почте и может распечатать отправленный документ через МФУ.

Связанные страницы

Отправка событий в SIEM (Syslog)

Отправка событий в SIEM (Syslog)

Настройка отправки событий в Syslog

Цель

Настройка отправки системных событий Printum во внешний Syslog-сервер (SIEM).

Предусловия

Особенности отправки

Шифрование (TLS)

Для отправки по шифрованному протоколу укажите CA-сертификат и сертификат клиента в формате .pem. Шифрование выполняется по протоколу TLS (выбирается максимально возможная версия для сервера). Если нежелательный протокол TLS активирован — запретите его непосредственно на сервере syslog.

Для настройки syslog-сервера обратитесь к его официальной документации.

Формат событий

Логи передаются в следующем формате:

2023-05-25T06:15:21.930828+00:00 local Обнаружено новое устройство  event=2 user=One additional_parameters={'foo': 0}
2023-05-25T06:32:44.487278+00:00 test.local Обнаружено новое устройство  event=4 user=One location="Офис в Иваново" additional_parameters={'foo': 0}

Поля:

Диагностика

Для проверки прослушиваемого порта (TCP/UDP) на сервере syslog:

netstat -tulnp

Ожидаемый результат

События из Printum поступают в Syslog-сервер в заданном формате.

Параметры настройки интеграции

Перейдите по адресу https://<адрес_сервера>:8001/config/integrations/ и выберите раздел «Внешние интеграции». Нажмите «Добавить».

Заполните поля:

ПараметрОписание
Название конфигурацииПроизвольное имя интеграции, например «Syslog SIEM»
ХостАдрес и порт сервера Syslog, например `192.168.10.10:1514`. Допустимые порты: 514, 1514, 1468. Если порт не указан — используется 514
Тип интеграцииВыбрать **Syslog**
LocationsЛокации, события которых передаются. Если не выбрать — передаются все события
Интервал между обменамиВремя в минутах (минимум 1 минута)
ВключеноАктивировать интеграцию после создания
CA сертификатДля шифрования по TLS — CA-сертификат в формате .pem
СертификатФайл SSL-сертификата клиента (.pem, без кодовой фразы)

Важно: авторизация по стандарту Syslog не поддерживается — логин и пароль указывать не нужно.

Создание конструктора отчётов для Syslog

  1. После создания интеграции нажать «Добавить» рядом с разделом «Отчёты для отправки» (события или логи безопасности).
  2. Заполнить поля:
    • Внешняя интеграция — выбрать созданную интеграцию.
    • Тело отчёта — поля для включения в отчёт (оставить пустым — передаются все поля).

Для каждой интеграции допускается только один конструктор отчётов. Для передачи данных по нескольким пользователям необходимо создать несколько интеграций.

Формат событий Syslog

Пример лога:

2023-05-25T06:15:21.930828+00:00 local Обнаружено новое устройство event=2 user=One additional_parameters={'foo': 0}
2023-05-25T06:32:44.487278+00:00 test.local Обнаружено новое устройство event=4 user=One location="Офис в Иваново" additional_parameters={'foo': 0}

Поля события:

ПолеТипОписание
eventчислоУникальный ID события
userстрокаЛогин пользователя
locationстрокаНазвание локации (если есть)
additional\_parametersJSONДополнительные параметры события

Поля логов безопасности

ПолеТипОписание
event\_groupстрокаГруппа событий
event\_nameстрокаНазвание события
event\_name\_unique\_idчислоID события
timestampстрокаВремя в формате ISO (пример: "2005-08-09T18:31:42")
operation\_subjectстрокаСубъект операции
operation\_objectстрокаОбъект операции
resultстрокаРезультат операции
event\_levelстрокаУровень критичности
changed\_paramsJSONИзменённые параметры

Шифрование TLS

Для передачи по зашифрованному каналу укажите CA-сертификат и сертификат клиента в формате .pem. Версия TLS выбирается максимально возможная для сервера Syslog. Если нужна конкретная версия TLS — запретите нежелательные протоколы на стороне сервера Syslog.

Для проверки порта Syslog на сервере:

netstat -tulnp

Связанные страницы

SSO

SSO

Настройка SSO через SAML 2.0 в Microsoft AD FS

Цель

Настройка единого входа (SSO) в Принтум через протокол SAML 2.0 с использованием Microsoft Active Directory Federation Services (AD FS) в качестве Identity Provider.

Предусловия

Шаг 1. Подготовка сервера AD FS

DNS

SSL-сертификат

Шаг 2. Установка роли AD FS

  1. Откройте Server Manager.
  2. Выберите Add roles and features.
  3. В мастере выберите Role-based or feature-based installation.
  4. Выберите сервер из пула.
  5. На странице выбора ролей выберите Active Directory Federation Services.
  6. Следуйте инструкциям мастера и завершите установку.

Шаг 3. Настройка AD FS

  1. После установки откройте AD FS Management из меню Administrative Tools.
  2. В правой панели выберите Configure the federation service on this server.
  3. Выберите Create the first federation server in a federation server farm.
  4. Укажите имя вашего SSL-сертификата.
  5. Укажите имя вашего ADFS-сервера (например, adfs.yourdomain.com).
  6. Укажите учётные данные администратора для создания базы данных конфигурации.
  7. Выберите хранилище базы данных: SQL Server или встроенная база данных (Windows Internal Database). При выборе SQL Server убедитесь, что у вас есть соответствующие права и доступ.
  8. Завершите мастер и перезагрузите сервер, если требуется.

Проверка статуса службы ADFS

Get-Service adfssrv

Если сервис не запущен, выполните:

Start-Service adfssrv

После завершения настройки будет доступен для скачивания файл метаданных IdP.

Шаг 4. Получение файла метаданных IdP

  1. Перейдите в Диспетчер серверов → Средства → Управление AD FS.
  2. В разделе «Отношения доверия проверяющей стороны» откройте настройку созданного ранее сервиса.
  3. Во вкладке «Наблюдение» нажмите «Проверить URL-адрес» справа от строки адреса скачивания XML-файла с метаданными.
  4. После успешной проверки скопируйте адрес, введите в браузере — файл метаданных будет скачан на ваш компьютер.

Шаг 5. Настройка SAML 2.0 в Принтум

  1. Перейдите в раздел «Настройки доменной авторизации» в административной панели Мониторинга.
  2. Нажмите «Добавить настройки доменной авторизации».
  3. Заполните поля:
    • Тип — выберите SAML 2.0.
    • Метаданные IdP — загрузите скачанный файл метаданных.
    • Приватный ключ и Сертификат — оставьте пустыми для автогенерации, либо загрузите свою пару ключ–сертификат.
  4. Нажмите «Сохранить».
  5. В столбце «Метаданные SP» нажмите «Открыть» и сохраните данные в файл — это файл метаданных Service Provider для загрузки в AD FS.

Шаг 6. Добавление Relying Party Trust в AD FS

  1. Откройте Управление AD FS: Диспетчер серверов → Средства → Управление AD FS.
  2. Выберите «Отношения доверия проверяющей стороны», затем «Добавить отношение проверяющей стороны».
  3. На первом шаге оставьте выбор «Поддерживающие утверждения» и нажмите «Запустить».
  4. На втором шаге выберите «Импорт данных о проверяющей стороне из файла», загрузите файл метаданных SP (сохранённый на шаге 5). Нажмите «Далее».
  5. Введите произвольное название для отношения доверия и нажмите «Далее».
  6. Настройте политику управления доступом или оставьте значение по умолчанию. Нажмите «Далее».
  7. На финальном экране оставьте галочку «Настроить политику выдачи утверждений для данного приложения» активной и нажмите «Завершить».

Шаг 7. Настройка правила выдачи утверждений (Claim Rules)

  1. В открывшемся окне «Изменить политику подачи запросов» нажмите «Добавить правило».
  2. В поле «Шаблон правила утверждений» выберите «Отправка атрибутов LDAP как утверждений», нажмите «Далее».
  3. Введите произвольное имя правила.
  4. В поле «Хранилище атрибутов» выберите Active Directory.
  5. В разделе «Сопоставление атрибутов»:
    • В столбце «Атрибут LDAP» — укажите атрибут, сопоставленный с unique_id при настройке импорта из домена. По умолчанию для Active Directory — objectSid.
    • В столбце «Тип исходящего утверждения» — выберите «ИД имени».
  6. Нажмите «Готово».

Результат

После успешной настройки в форме аутентификации в Личном кабинете или административной панели появится кнопка аутентификации через домен.

SSO

Настройка SSO через Kerberos

Цель

Настройка единого входа (SSO) в Printum через протокол Kerberos. Пользователь, однажды прошедший аутентификацию в домене, автоматически получает доступ к Printum без повторного ввода пароля.

Предусловия

Шаги настройки

Шаг 1. Подготовка на стороне контроллера домена

  1. Создайте специального пользователя в домене для аутентификации Printum. Этот пользователь не обязан быть пользователем системы Printum.

  2. Создайте Service Principal Name (SPN) для сервисного пользователя:

setspn -A HTTP/<host or ip> <username>

Где <host or ip> — хостнейм или IP-адрес сервера Printum, <username> — имя сервисного пользователя.

  1. Сгенерируйте keytab-файл
ktpass /out krb5.keytab /princ HTTP/<hostname or IP with port>@<domain.name> /mapuser <account name>@<domain.name> /ptype KRB5_NT_PRINCIPAL /crypto ALL /pass <account password> /kvno 0

Параметры:

Шаг 2. Настройка в Printum

  1. Перейдите в раздел «Авторизация через Домен».
  2. Добавьте новую запись или отредактируйте существующую.
  3. Заполните поля:
    • Тип — выберите Kerberos.
    • Keytab для Kerberos — загрузите сгенерированный файл krb5.keytab.
    • Формат имени пользователя — если логин в формате username, выберите «обрезать до первого символа @»; если в формате username@domain.suffix — «полностью».
    • Атрибут пользователя для сопоставления — для Kerberos использовать Имя пользователя (username).

Шаг 3. Настройка браузера на АРМ пользователя

Настройте браузер для работы с Kerberos согласно документации вашего браузера.

Если Printum доступен по IP-адресу (а не по доменному имени), разрешите обращение по IP. На Windows — добавьте запись в реестр:

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f

Как проверить

Перейдите на страницу авторизации Printum и выберите «Авторизоваться при помощи доменной УЗ». Аутентификация должна произойти автоматически без запроса пароля.

Связанные страницы

SSO

Авторизация через доменную учётную запись на МФУ

Цель

Настройка авторизации пользователей на МФУ с использованием логина и пароля доменной учётной записи через протокол LDAP.

Ограничения

Функционал поддерживается только на устройствах HP.

Предусловия

Шаги настройки

Шаг 1. Включить доменную авторизацию

  1. Откройте панель администратора Мониторинга.
  2. В разделе Constance → Настройки → Global options найдите параметр ALLOW_DOMAIN_AUTH_ON_PRINTERS.
  3. Установите галочку, чтобы разрешить доменную авторизацию на МФУ.

Шаг 2. Синхронизировать с ПринтМенеджером

Перейдите в раздел «Принтменеджеры», вкладку «Принтменеджеры» и нажмите «Синхронизировать», либо дождитесь автоматической синхронизации (по умолчанию раз в час).

Шаг 3. Настройка порядка доменов (опционально)

При авторизации система последовательно перебирает все домены согласно порядковому номеру. Измените порядок в настройках домена для ускорения аутентификации.

Шаг 4. Настройка префикса домена (при необходимости)

Логин подставляется в формате domain\username, где domain — название домена из настроек интеграции. Если название не совпадает с фактическим префиксом, настройте его: Мониторинг → Импорт из доменов → Домены → настройки домена → поле «Префикс для логина при авторизации». Укажите нужный префикс или -, если префикс не нужен.

Ожидаемый результат

Пользователи авторизуются на поддерживаемых МФУ HP, введя логин и пароль доменной учётной записи.

Связанные страницы

SSO

Методы аутентификации в Принтум — обзор

Назначение

Принтум поддерживает несколько механизмов интеграции с корпоративным каталогом пользователей. Каждый из них решает свою задачу. Понимание различий позволяет выбрать правильную комбинацию при внедрении.

Сравнительная таблица технологий

Технология Назначение Когда использовать
LDAP Каталог пользователей, синхронизация Всегда при доменной интеграции
SAML 2.0 Федеративная аутентификация SSO через IdP (AD FS, Keycloak и др.)
Kerberos Прозрачный SSO Windows-домен, браузерный доступ
SSO Пользовательский опыт единого входа Результат настройки SAML или Kerberos

LDAP ≠ SAML ≠ SSO — в чём разница

LDAP

LDAP — это протокол доступа к каталогу. В контексте Принтум он используется для синхронизации пользователей: импорта учётных записей из Active Directory в базу данных Принтум. LDAP не отвечает за вход пользователя — он только обеспечивает наличие пользователей в системе.

SAML 2.0

SAML 2.0 — это протокол федеративной аутентификации. При использовании SAML пользователь проходит аутентификацию на стороне Identity Provider (например, AD FS). После успешного входа IdP передаёт в Printum подписанное SAML Assertion — утверждение, подтверждающее личность пользователя и набор его атрибутов. Принтум сопоставляет assertion с существующей учётной записью и открывает сессию.

SSO

SSO (Single Sign-On) — это пользовательский опыт: возможность войти в систему один раз и получить доступ ко всем сервисам без повторного ввода пароля. SSO — это результат правильно настроенного SAML или Kerberos, а не отдельная технология.

Как SAML связан с моделью пользователей Принтум

Механизм входа через SAML в Принтум работает следующим образом:

  1. Пользователь нажимает кнопку «Авторизоваться с помощью доменной УЗ» в Личном кабинете или административной панели.
  2. Принтум перенаправляет браузер пользователя на IdP (AD FS).
  3. IdP аутентифицирует пользователя и возвращает SAML assertion в Принтум.
  4. Принтум извлекает из assertion значение атрибута name_id и ищет пользователя с совпадающим unique_id в своей базе.
  5. Если пользователь найден — создаётся сессия.

Важно: пользователи не создаются автоматически из SAML assertion. Учётная запись должна быть заранее создана в Принтум — как правило, путём синхронизации через LDAP. SAML только аутентифицирует уже существующего пользователя, но не регистрирует нового.

Этап Технология Что происходит
Импорт пользователей LDAP Учётные записи из AD попадают в Принтум
Вход пользователя SAML 2.0 Assertion от IdP → поиск по unique_id → сессия
Единый вход SSO Пользователь входит один раз без повторного ввода пароля

Рекомендуемая комбинация для доменной среды

Внешние интеграции

Внешние интеграции

Интеграция с DLP-системами

Назначение

Интеграция с DLP-системами предназначена для передачи документов, полученных на МФУ, в системы предотвращения утечек данных (DLP) для последующего анализа. Решение позволяет включить операции с документами на МФУ в общий контур контроля документооборота и информационной безопасности организации.

Решаемая задача

Большинство DLP-систем контролируют электронные каналы передачи данных: электронную почту, файловые хранилища, веб-трафик и другие информационные потоки. При этом операции, выполняемые непосредственно на МФУ, часто остаются вне зоны автоматического контроля. В результате служба информационной безопасности не имеет возможности автоматически анализировать документы, обрабатываемые пользователями на устройствах печати. Printum получает цифровой образ документа и передаёт его во внешнюю DLP-систему для проверки.

Принцип работы

При выполнении пользователем операции копирования или сканирования Printum получает цифровой образ документа и автоматически передаёт его во внешнюю DLP-систему. После получения документа дальнейший анализ выполняется средствами DLP-системы в соответствии с её политиками безопасности. Printum не анализирует содержимое документов и не принимает решения о блокировке операций.

Особенности работы

Передача документов выполняется автоматически и не требует действий пользователя. Если в системе разрешено хранение образов документов, Printum выполняет повторные попытки передачи при временной недоступности DLP-системы. Если в организации запрещено хранение образов документов, передача выполняется до удаления документа из системы. В этом режиме повторные попытки передачи не выполняются. Проверка содержимого документов, формирование инцидентов и принятие решений выполняются средствами DLP-системы.

Требования

Для использования интеграции требуется Printum версии 4.4 или выше и встроенное приложение Printum на МФУ.

Связанные статьи

Настройка интеграции с DLP InfoWatch

Внешние интеграции

Настройка интеграции с DLP InfoWatch

Назначение

Интеграция с DLP-системами позволяет автоматически передавать документы, полученные в результате операций копирования и сканирования, во внешнюю систему для последующего анализа. Настройка выполняется в разделе внешних интеграций Printum.

Создание интеграции

  1. Откройте панель администратора Мониторинга.
  2. Перейдите в раздел «Внешние интеграции».
  3. Для добавления интеграции выполните одно из действий:
    • нажмите «Добавить» рядом с разделом;
    • нажмите «Добавить внешнюю интеграцию» внутри раздела.
  4. В форме создания интеграции укажите::

    • Описание конфигурации — наименование интеграции.

      Пример: Infowatch

    • Адрес сервера, Хост — полный адрес.

      Пример: https://dlp.company.local:1234/push/logs

    • Локации — параметр не используется при настройке интеграции с DLP.

    • Тип интеграции — выберите InfoWatch

    • Интервал между обменами данных — рекомендуется установить значение 5 минут.

    • Имя учетной записи для авторизации — логин для аутентификации в системе.

    • Пароль или токен для авторизации — пароль для аутентификации в системе.

    • Включено — установите чек-бокс , чтобы интеграция была активна после завершения настройки

    • Проверка SSL — включает проверку сертификата сервера.

      • при использовании самоподписанных сертификатов отключите проверку или укажите CA-сертификат.

    • CA сертификат — сертификат центра сертификации (при необходимости).

    • Сертификат — SSL-сертификат клиента (.pem). Cертификат не должен требовать кодовую фразу.

    • Передавать файлы копирования — включает передачу документов копирования.

    • Передавать файлы сканирования — включает передачу документов сканирования.

Важно: Параметр «Передавать файлы печати» не используется.

  1. Нажмите «Сохранить».

После сохранения интеграция будет активирована и начнёт работать после синхронизации между Мониторингом и ПринтМенеджером (по умолчанию синхронизация выполняется 1 раз в час; при необходимости выполните синхронизацию вручную).

Проверка работы интеграции

  1. Выполните копирование или сканирование на МФУ.

Важно: на устройстве должно быть установлено встроенное приложение Printum; для операций копирования должна быть активирована функция сохранения образа документа.

  1. Перейдите в панель администратора ПринтМенеджера в разделе «Напечатанные задания, которые нужно отправить во внешнюю интеграцию» по адресу:

    https:/адрес_сервера.test:8080/config/integrations/printedjobi ntegrationstate/

  2. В разделе отображаются задания со следующими параметрами:

    • РЕЗУЛЬТАТ ОТПРАВКИ — индикатор успешной отправки задания;
    • CREATED AT WITH SECONDS — время создания задания;
    • PROCESSED AT WITH SECONDS — время отправки задания.

  3. Возможные статусы заданий:

    • Отправляется — задание находится в процессе передачи;
    • Отправлено — задание успешно передано;
    • Не отправлено — задание не было передано.

Критерий успешности: наличие заданий со статусом «Отправлено».

Особенности работы

Диагностика неисправностей

Если документы не передаются во внешнюю систему, рекомендуется проверить:

Подробная информация об ошибках передачи фиксируется в журналах системы.

Связанные статьи

Интеграция с DLP-системами