# 4. Интеграции

Интеграции с внешними системами: AD, LDAP, SMTP, SSO и другие

# Интеграция с контроллерами домена

# Интеграция с FreeIPA

## Цель

Настройка интеграции Printum с контроллером домена FreeIPA для синхронизации учётных записей пользователей, импорта оргструктуры и групп безопасности.

---

## Предусловия

- Развёрнутый и доступный сервер FreeIPA
- Учётная запись в домене с правами на чтение доменной структуры (обычно — права администратора)
- Настроена интеграция с почтовым сервером (SMTP)
- Printum запущен и доступен

---

## Шаги настройки

### Шаг 1. Добавление домена в Printum

Перейдите в раздел **Настройки → Интеграции → Домены** и нажмите кнопку **«Добавить»**.

Заполните поля:

- **Название** — любое удобное название для домена.
- **Тип** — выберите `FreeIPA`.
- **Адрес** — протокол, хост и порт домена (например, `ldap://freeipa.example.com:389`).
- **Логин и пароль в домене** — учётная запись с правами на чтение доменной структуры.
- **Фильтр** — фильтр поиска сотрудников. Если оставить значение по умолчанию `(&(objectCategory=person)(objectClass=user))`, будут импортированы объекты классов Person и User.
- **Стартовый уровень поиска** — уровень в домене для начала импорта (обычно самый верхний).
- **Атрибут для объединения учётных записей** — позволяет объединить несколько УЗ одного пользователя из разных доменов.
- **Выгружать оргструктуру** — включить для импорта иерархии на основе OU домена.
- **Выгружать группы** — включить для выгрузки групп безопасности.
- **Требуется шифрование** — включить, если домен принимает только шифрованные запросы.

### Шаг 2. Тестовый импорт

Нажмите кнопку **«Тестовый импорт»**. При успешном подключении будет отображено количество отделов, сотрудников и групп. При ошибке — описание проблемы.

### Шаг 3. Сопоставление атрибутов

В разделе **«Атрибуты»** карточки домена настройте сопоставление атрибутов FreeIPA с атрибутами Printum:

|Атрибут в Printum|Атрибут в домене|Описание|
|:---|:---|:---|
|`username`|`uid`|Логин|
|`unique_id`|`uidNumber`|Идентификатор в домене|
|`last_name`|`sn`|Фамилия|
|`first_name`|`givenName`|Имя|
|`patronymic`|`personalTitle`|Отчество|
|`email`|`mail`|Адрес электронной почты|
|`domain_groups`|`memberOf`|Доменные группы|
|`position`|`title`|Должность|
|`smb_path`|`homeDirectory`|Путь к папке|

Обязательные атрибуты: Логин, Фамилия, Имя, Идентификатор в домене, Адрес электронной почты.

### Шаг 4. Сохранение и расписание синхронизации

Нажмите **«Сохранить»**. В разделе **«Расписание»** настройте автоматическую синхронизацию (расписание общее для всех доменов). Либо нажмите **«Запустить сейчас»** для ручного запуска синхронизации.

---

## Ожидаемый результат

После успешной настройки пользователи из FreeIPA синхронизируются в Printum. Оргструктура и группы импортируются согласно настройкам.

---

## Как проверить

- Тестовый импорт показывает количество отделов, сотрудников и групп без ошибок.
- Пользователи из FreeIPA отображаются в разделе «Пользователи» системы Printum.

---

## Связанные страницы

- [Интеграция с Samba DC и РЕД АДМ](http://wiki.printum.io/books/4-integracii/page/integraciia-s-samba-dc-i-red-adm)
- [Интеграция с Active Directory](https://wiki.printum.io/books/4-integracii/page/integraciia-s-active-directory)
- [Интеграция с ALD Pro](https://wiki.printum.io/books/4-integracii/page/integraciia-s-ald-pro)

---

**Справочник атрибутов:** [Атрибуты доменов — справочник](https://wiki.printum.io/books/8-spravocnik/page/atributy-domenov-spravocnik) — сравнительная таблица по всем контроллерам домена.

# Интеграция с Samba DC или РЕД АДМ

## Цель

Настройка интеграции Printum с контроллерами домена Samba DC или РЕД АДМ для синхронизации учётных записей пользователей, импорта оргструктуры и групп безопасности.

---

## Предусловия

- Развёрнутый и доступный сервер Samba DC или РЕД АДМ
- Учётная запись в домене с правами на чтение доменной структуры
- Настроена интеграция с почтовым сервером (SMTP)
- Printum запущен и доступен

---

## Шаги настройки

### Шаг 1. Добавление домена в Printum

Перейдите в раздел **Настройки → Интеграции → Домены** и нажмите кнопку **«Добавить»**.

Заполните поля:

- **Название** — любое удобное название для домена.
- **Тип** — выберите соответствующий тип (`Samba` или `РЕД АДМ`).
- **Адрес** — протокол, хост и порт домена (например, `ldap://samba.example.com:389`).
- **Логин и пароль в домене** — учётная запись с правами на чтение доменной структуры.
- **Фильтр** — фильтр поиска сотрудников. Если оставить значение по умолчанию `(&(objectCategory=person)(objectClass=user))`, будут импортированы объекты классов Person и User.
- **Стартовый уровень поиска** — уровень в домене для начала импорта (обычно самый верхний).
- **Атрибут для объединения учётных записей** — позволяет объединить несколько УЗ одного пользователя из разных доменов.
- **Выгружать оргструктуру** — включить для импорта иерархии на основе OU домена.
- **Выгружать группы** — включить для выгрузки групп безопасности.
- **Требуется шифрование** — включить, если домен принимает только шифрованные запросы.

### Шаг 2. Тестовый импорт

Нажмите кнопку **«Тестовый импорт»**. При успешном подключении будет отображено количество отделов, сотрудников и групп. При ошибке — описание проблемы.

### Шаг 3. Сопоставление атрибутов

Атрибуты Samba DC и РЕД АДМ совпадают с атрибутами FreeIPA. Настройте сопоставление в разделе **«Атрибуты»** карточки домена:

|Атрибут в Printum|Атрибут в домене|Описание|
|:---|:---|:---|
|`username`|`uid`|Логин|
|`unique_id`|`uidNumber`|Идентификатор в домене|
|`last_name`|`sn`|Фамилия|
|`first_name`|`givenName`|Имя|
|`patronymic`|`personalTitle`|Отчество|
|`email`|`mail`|Адрес электронной почты|
|`domain_groups`|`memberOf`|Доменные группы|
|`position`|`title`|Должность|
|`smb_path`|`homeDirectory`|Путь к папке|

Обязательные атрибуты: Логин, Фамилия, Имя, Идентификатор в домене, Адрес электронной почты.

### Шаг 4. Сохранение и расписание синхронизации

Нажмите **«Сохранить»**. В разделе **«Расписание»** настройте автоматическую синхронизацию (расписание общее для всех доменов). Либо нажмите **«Запустить сейчас»** для ручного запуска синхронизации.

---

## Ожидаемый результат

После успешной настройки пользователи из Samba DC или РЕД АДМ синхронизируются в Printum. Оргструктура и группы импортируются согласно настройкам.

---

## Как проверить

- Тестовый импорт показывает количество отделов, сотрудников и групп без ошибок.
- Пользователи из домена отображаются в разделе «Пользователи» Printum.

---

## Связанные страницы

- [Интеграция с FreeIPA](http://wiki.printum.io/books/4-integracii/page/integraciia-s-freeipa)
- [Интеграция с ALD Pro](http://wiki.printum.io/books/4-integracii/page/integraciia-s-ald-pro)
- [Интеграция с Active Directory](https://wiki.printum.io/books/4-integracii/page/integraciia-s-active-directory)

---

**Справочник атрибутов:** [Атрибуты доменов — справочник](https://wiki.printum.io/books/8-spravocnik/page/atributy-domenov-spravocnik) — сравнительная таблица по всем контроллерам домена.

# Интеграция с ALD Pro

## Цель

Настройка интеграции Printum с контроллером домена ALD Pro для синхронизации учётных записей пользователей, импорта оргструктуры и групп безопасности.

---

## Предусловия

- Развёрнутый и доступный сервер ALD Pro
- Учётная запись в домене с правами на чтение доменной структуры
- Настроена интеграция с почтовым сервером (SMTP)
- Printum запущен и доступен

---

## Шаги настройки

### Шаг 1. Добавление домена в Printum

Перейдите в раздел **Настройки → Интеграции → Домены** и нажмите кнопку **«Добавить»**.

Заполните поля:

- **Название** — любое удобное название для домена.
- **Тип** — выберите `ALD Pro`.
- **Адрес** — протокол, хост и порт домена (например, `ldap://aldpro.example.com:389`).
- **Логин и пароль в домене** — учётная запись с правами на чтение доменной структуры.
- **Фильтр** — фильтр поиска сотрудников. Если оставить значение по умолчанию `(&(objectCategory=person)(objectClass=user))`, будут импортированы объекты классов Person и User.
- **Стартовый уровень поиска** — уровень в домене для начала импорта (обычно самый верхний).
- **Атрибут для объединения учётных записей** — позволяет объединить несколько УЗ одного пользователя из разных доменов.
- **Выгружать оргструктуру** — включить для импорта иерархии. **Важно:** в ALD Pro нет разделения между группами и отделами, поэтому все отделы будут импортированы как группы.
- **Выгружать группы** — включить для выгрузки групп безопасности.
- **Требуется шифрование** — включить, если домен принимает только шифрованные запросы.

### Шаг 2. Тестовый импорт

Нажмите кнопку **«Тестовый импорт»**. При успешном подключении будет отображено количество отделов, сотрудников и групп. При ошибке — описание проблемы.

### Шаг 3. Сопоставление атрибутов

В разделе **«Атрибуты»** карточки домена настройте сопоставление атрибутов ALD Pro с атрибутами Printum:

|Атрибут в Printum|Атрибут в домене|Описание|
|:---|:---|:---|
|`username`|`uid`|Логин|
|`unique_id`|`uidNumber`|Идентификатор в домене|
|`last_name`|`sn`|Фамилия|
|`first_name`|`givenName`|Имя|
|`patronymic`|`rbtamiddlename`|Отчество|
|`email`|`mail`|Адрес электронной почты|
|`domain_groups`|`memberOf`|Доменные группы|
|`position`|`title`|Должность|
|`smb_path`|`homeDirectory`|Путь к папке|

Обязательные атрибуты: Логин, Фамилия, Имя, Идентификатор в домене, Адрес электронной почты.

### Шаг 4. Сохранение и расписание синхронизации

Нажмите **«Сохранить»**. В разделе **«Расписание»** настройте автоматическую синхронизацию (расписание общее для всех доменов). Либо нажмите **«Запустить сейчас»** для ручного запуска синхронизации.

---

## Ожидаемый результат

После успешной настройки пользователи из ALD Pro синхронизируются в Printum. Поскольку в ALD Pro нет разделения между группами и отделами, все отделы импортируются как группы безопасности.

---

## Как проверить

- Тестовый импорт показывает количество отделов, сотрудников и групп без ошибок.
- Пользователи из ALD Pro отображаются в разделе «Пользователи» системы Printum.

---

## Связанные страницы

- [Интеграция с FreeIPA](http://wiki.printum.io/books/4-integracii/page/integraciia-s-freeipa)
- [Интеграция с Samba DC и РЕД АДМ](http://wiki.printum.io/books/4-integracii/page/integraciia-s-samba-dc-i-red-adm)
- [Интеграция с Active Directory](https://wiki.printum.io/books/4-integracii/page/integraciia-s-active-directory)

---

**Справочник атрибутов:** [Атрибуты доменов — справочник](https://wiki.printum.io/books/8-spravocnik/page/atributy-domenov-spravocnik) — сравнительная таблица по всем контроллерам домена.

# Интеграция с Active Directory

## Цель

Настройка интеграции Printum с Microsoft Active Directory для синхронизации пользователей, оргструктуры и групп безопасности.

---

## Предусловия

- Развёрнутый и доступный контроллер домена Microsoft Active Directory
- Учётная запись с правами на чтение доменной структуры (обычно доменный администратор)
- Настроена интеграция с почтовым сервером (SMTP)
- Printum запущен и доступен

---

## Шаги настройки

### Шаг 1. Добавление домена

Перейдите в раздел **Настройки → Интеграции → Домены** и нажмите кнопку **«Добавить»**.

Заполните поля:

- **Название** — любое удобное название для домена.
- **Тип** — выберите `Active Directory`.
- **Адрес** — протокол, хост и порт домена (например, `ldap://dc.example.com:389` или `ldaps://dc.example.com:636`).
- **Логин и пароль в домене** — учётная запись с правами чтения доменной структуры.
- **Фильтр** — фильтр поиска сотрудников. Если оставить значение по умолчанию `(&(objectCategory=person)(objectClass=user))`, будут импортированы объекты классов Person и User.
- **Стартовый уровень поиска** — уровень в домене для начала импорта (обычно самый верхний).
- **Атрибут для объединения учётных записей** — позволяет объединить несколько УЗ одного пользователя из разных доменов.
- **Выгружать оргструктуру** — включить для импорта иерархии на основе OU домена.
- **Выгружать группы** — включить для выгрузки групп безопасности.
- **Требуется шифрование** — включить, если домен принимает только шифрованные запросы.

### Шаг 2. Тестовый импорт

Нажмите кнопку **«Тестовый импорт»**. При успешном подключении будет отображено количество отделов, сотрудников и групп. При ошибке — описание проблемы.

### Шаг 3. Сопоставление атрибутов

В разделе **«Атрибуты»** карточки домена настройте сопоставление атрибутов Active Directory с атрибутами Printum:

|Атрибут в Printum|Атрибут в домене|Описание|
|---|---|---|
|`username`|`sAMAccountName`|Логин|
|`unique_id`|`objectSid`|Идентификатор в домене|
|`last_name`|`sn`|Фамилия|
|`first_name`|`givenName`|Имя|
|`patronymic`|`personalTitle`|Отчество|
|`email`|`mail`|Адрес электронной почты|
|`domain_groups`|`memberOf`|Доменные группы|
|`position`|`title`|Должность|
|`smb_path`|`homeDirectory`|Путь к папке|

Обязательные атрибуты: Логин, Фамилия, Имя, Идентификатор в домене, Адрес электронной почты.

### Шаг 4. Сохранение и расписание синхронизации

Нажмите **«Сохранить»**. В разделе **«Расписание»** настройте автоматическую синхронизацию (расписание общее для всех доменов). Либо нажмите **«Запустить сейчас»** для ручного запуска синхронизации.

---

## Ожидаемый результат

После успешной настройки пользователи из FreeIPA синхронизируются в Printum. Оргструктура и группы импортируются согласно настройкам.

---

## Как проверить

- Тестовый импорт показывает количество отделов, сотрудников и групп без ошибок.
- Пользователи из AD отображаются в разделе «Пользователи» системы Printum.

---

## Связанные страницы

- [Настройка атрибутов домена](http://wiki.printum.io/books/4-integracii/page/nastroika-atributov-domena)
- [Расписание синхронизации с доменом](http://wiki.printum.io/books/4-integracii/page/raspisanie-sinxronizacii-s-domenom)
- [Интеграция с FreeIPA](http://wiki.printum.io/books/4-integracii/page/integraciia-s-freeipa)
- [Интеграция с ALD Pro](http://wiki.printum.io/books/4-integracii/page/integraciia-s-ald-pro)
- [Интеграция с Samba DC или РЕД АДМ](https://wiki.printum.io/books/4-integracii/page/integraciia-s-samba-dc-ili-red-adm)

---

**Справочник атрибутов:** [Атрибуты доменов — справочник](https://wiki.printum.io/books/8-spravocnik/page/atributy-domenov-spravocnik) — сравнительная таблица по всем контроллерам домена.

# Настройка атрибутов домена

## Цель

Сопоставление атрибутов LDAP-домена с полями пользователей в системе Printum для корректного импорта данных.

---

## Предусловия

- Домен добавлен в Printum (**Настройки → Интеграции → Домены**)
- Тестовый импорт выполнен успешно

---

## Как открыть настройку атрибутов

В таблице доменов раскройте карточку нужного домена (иконка в левом столбце строки). Перейдите в раздел **«Атрибуты»**.

Если выполняются настройки первого запуска нажмите **«Сохранить и перейти к артибутам»** после успешного тестового импорта.

---

## Обязательные атрибуты

Для успешной интеграции должны быть заполнены:

- Логин
- Фамилия
- Имя
- Идентификатор в домене
- Адрес электронной почты

---

## Рекомендуемые значения по типу домена

### Microsoft Active Directory

|Атрибут в Printum|Атрибут в домене|Описание|
|:---|:---|:---|
|`username`|`sAMAccountName`|Логин|
|`unique_id`|`objectSid`|Идентификатор в домене|
|`last_name`|`sn`|Фамилия|
|`first_name`|`givenName`|Имя|
|`patronymic`|`personalTitle`|Отчество|
|`email`|`mail`|Адрес электронной почты|
|`domain_groups`|`memberOf`|Доменные группы|
|`position`|`title`|Должность|
|`smb_path`|`homeDirectory`|Путь к папке|

### FreeIPA / Samba DC / РЕД АДМ

|Атрибут в Printum|Атрибут в домене|Описание|
|:---|:---|:---|
|`username`|`uid`|Логин|
|`unique_id`|`uidNumber`|Идентификатор в домене|
|`last_name`|`sn`|Фамилия|
|`first_name`|`givenName`|Имя|
|`patronymic`|`personalTitle`|Отчество|
|`email`|`mail`|Адрес электронной почты|
|`domain_groups`|`memberOf`|Доменные группы|
|`position`|`title`|Должность|
|`smb_path`|`homeDirectory`|Путь к папке|

### ALD Pro

|Атрибут в Printum|Атрибут в домене|Описание|
|:---|:---|:---|
|`username`|`uid`|Логин|
|`unique_id`|`uidNumber`|Идентификатор в домене|
|`last_name`|`sn`|Фамилия|
|`first_name`|`givenName`|Имя|
|`patronymic`|`rbtamiddlename`|Отчество|
|`email`|`mail`|Адрес электронной почты|
|`domain_groups`|`memberOf`|Доменные группы|
|`position`|`title`|Должность|
|`smb_path`|`homeDirectory`|Путь к папке|

**Примечание:** В ALD Pro нет разделения между группами и отделами — все отделы импортируются как группы.

---

## Связанные страницы

- [Интеграция с Active Directory](http://wiki.printum.io/books/4-integracii/page/integraciia-s-active-directory)
- [Интеграция с FreeIPA](http://wiki.printum.io/books/4-integracii/page/integraciia-s-freeipa)
- [Интеграция с Samba DC и РЕД АДМ](http://wiki.printum.io/books/4-integracii/page/integraciia-s-samba-dc-i-red-adm)
- [Интеграция с ALD Pro](http://wiki.printum.io/books/4-integracii/page/integraciia-s-ald-pro)

---

**Справочник атрибутов:** [Атрибуты доменов — справочник](https://wiki.printum.io/books/8-spravocnik/page/atributy-domenov-spravocnik) — сравнительная таблица по всем контроллерам домена.

# Расписание синхронизации с доменом

## Цель

Настройка автоматической синхронизации пользователей и оргструктуры из домена в Printum.

---

## Предусловия

- Домен добавлен и успешно протестирован в Printum
- Атрибуты домена сопоставлены

---

## Настройка расписания

В карточке домена (**Настройки → Интеграции → Домены**) перейдите в раздел **«Расписание»**.

**Важно:** расписание синхронизации является общим для всех доменов — изменение расписания в одном домене применится ко всем остальным.

Укажите желаемую периодичность синхронизации и сохраните настройки.

---

## Ручная синхронизация

Для немедленной синхронизации без ожидания планового запуска:

- В режиме карточек — нажмите кнопку **«Запустить сейчас»**.
- В режиме таблицы — нажмите иконку синхронизации (справа от иконки удаления).

---

## Ожидаемый результат

Пользователи, изменения в оргструктуре и группах автоматически применяются в Printum согласно заданному расписанию.

---

## Связанные страницы

- [Настройка атрибутов домена](http://wiki.printum.io/books/4-integracii/page/nastroika-atributov-domena)
- [Интеграция с Active Directory](http://wiki.printum.io/books/4-integracii/page/integraciia-s-active-directory)
- [Интеграция с FreeIPA](http://wiki.printum.io/books/4-integracii/page/integraciia-s-freeipa)
- [Интеграция с Samba DC и РЕД АДМ](http://wiki.printum.io/books/4-integracii/page/integraciia-s-samba-dc-i-red-adm)
- [Интеграция с ALD Pro](http://wiki.printum.io/books/4-integracii/page/integraciia-s-ald-pro)

# Как работает синхронизация пользователей с доменом

## Назначение

Синхронизация с контроллером домена — основной способ импорта пользователей в Принтум. Администратор не создаёт пользователей вручную: они выгружаются из домена автоматически.

## Поддерживаемые каталоги

- Microsoft Active Directory
- FreeIPA
- ALD Pro
- Samba DC
- РЕД АДМ

## Как технически происходит синхронизация

Синхронизация проходит через два уровня:

1. Контроллер домена → Мониторинг: данные выгружаются и агрегируются.
2. Мониторинг → ПринтМенеджер: пользователи передаются в систему управления.

> Схема движения данных: AD/LDAP → Мониторинг → ПринтМенеджер

## Выгружаемые атрибуты

В рамках синхронизации из домена выгружается набор атрибутов:

- Табельный номер
- Логин
- Идентификатор в домене
- Фамилия
- Имя
- Отчество
- Адрес электронной почты
- Доменные группы
- Должность
- Серийный номер карты
- Путь к папке

Перечень атрибутов конечный. Доменный пароль не выгружается и не хранится в Принтум.

## Настройка соответствия атрибутов

Принцип аналогичен интерпретации SNMP-данных в Мониторинге: каждому атрибуту системы указывается, в каком поле домена хранится нужное значение.

Из коробки подставлены стандартные значения атрибутов. Однако администраторы домена могут хранить данные нестандартно. Например:

- табельный номер может быть записан в поле телефона;
- номер карты можеть быть записан в произвольном атрибуте extensionAttribute.

Если стандартное соответствие не подходит, администратор изменяет маппинг атрибутов в настройках синхронизации и проверяет, что нужное значение появляется корректно.

## Что выгружается: орг. структура или группы

При настройке синхронизации выбирается, что выгружать из домена:

- **Орг. структура (OU)** — подразделения и отделы.
- **Группы безопасности** — произвольные группы пользователей.
- Оба варианта одновременно.

В классической модели доменной инфраструктуры организационная структура управляется через OU, а группы безопасности используются для управления доступами и логической сегментации пользователей.

Однако в реальных внедрениях возможны отклонения от данной модели. Например, у некоторых заказчиков подразделения не представлены в виде OU, а реализованы через группы безопасности, где каждая группа соответствует отдельному отделу.

## Фильтры выгрузки

Не обязательно выгружать всех пользователей домена. Используются стандартные LDAP-фильтры:

- Можно выгрузить только конкретный отдел.
- Удобно для пилотного проекта: взять IT-отдел и работать только с ними.

После того как фильтры и соответствие атрибутов настроены, система будет автоматически поддерживать данные в актуальном состоянии.

## Расписание синхронизации

Синхронизация происходит регулярно по расписанию. **Минимальный интервал — не чаще одного раза в 4 часа.** Для большинства случаев нескольких синхронизаций в день достаточно.

## Связанные страницы

- [Модель пользователей в Принтум](http://wiki.printum.io/books/1-arxitektura-i-koncepcii/page/model-polzovatelei-v-printum)
- [Объединение доменных учётных записей одного пользователя](http://wiki.printum.io/books/4-integracii/page/obieedinenie-domennyx-ucetnyx-zapisei-odnogo-polzovatelia)
- [Назначение ролей через группы домена](http://wiki.printum.io/books/4-integracii/page/naznacenie-rolei-cerez-gruppy-domena)

# Объединение доменных учётных записей одного пользователя

## Назначение

Один сотрудник может иметь несколько доменных учётных записей в разных доменах. Принтум позволяет связать их с одним Printum ID, чтобы правила, квоты и статистика применялись к одному физическому лицу.

## Типичный сценарий: банк с двумя контурами

В организациях с разделёнными сетевыми контурами (например, закрытый и открытый контур банка) сотрудник может иметь:

- учётную запись в закрытом контуре — для работы с конфиденциальными данными;
- учётную запись в открытом контуре — для работы с интернет-ресурсами.

Физически это один человек. Его правила печати, квоты и статистика должны быть общими, независимо от того, с какого контура он печатает.

## Атрибут для объединения учётных записей

При настройке интеграции с доменом задаётся **атрибут для объединения учетных записей**. Если у двух доменных учётных записей совпадает значение этого атрибута, они будут привязаны к одному пользователю при импорте.

Типичные атрибуты для объединения:

- **Адрес электронной почты** — если корпоративный адрес электронной почты прописан в обеих учётных записях.
- **Табельный номер** — если он хранится в каком-либо атрибуте домена (например, в поле telephoneNumber).

> Пример: у сотрудника Дмитрия есть две учётные записи в закрытом контуре (d.dvoynikov@internal) и в открытом контуре (d.dvoynikov@bank.ru). В обеих учётных записях в поле mail прописан один и тот же адрес электронной почты — d.dvoynikov@bank.ru. При синхронизации Принтум определит совпадение и привяжет обе учётки к одному пользователю.

## Результат объединения

После объединения:

- Правила печати применяются к пользователю независимо от источника учётной записи.
- Квоты считаются суммарно по всем учётным записям.
- Статистика печати объединяется.
- Роли назначаются на уровне пользователя.

## Связанные страницы

- [Модель пользователей в Принтум](http://wiki.printum.io/books/1-arxitektura-i-koncepcii/page/model-polzovatelei-v-printum)
- [Как работает синхронизация пользователей с доменом](http://wiki.printum.io/books/4-integracii/page/kak-rabotaet-sinxronizaciia-polzovatelei-s-domenom)

# Назначение ролей через группы домена

## Назначение

Принтум позволяет автоматически назначать роли, правила печати и МФУ для прямой печати на основе членства пользователей в группах домена. Администратор управляет доступами к печати так же, как управляет любыми другими правами — через контроллер домена.

## Что такое роль в Принтум

Роль определяет:

- **Доступ к данным** — по локациям (например, только московский филиал) и по пользователям (собственные данные, конкретные сотрудники или группа).
- **Доступный функционал** — что пользователь может делать в системе.

Стандартные роли поставляются из коробки. При необходимости можно создать свою роль: с нуля или клонировав существующую с добавлением/удалением прав. Роль можно задать как роль по умолчанию — она будет присваиваться всем новым пользователям при импорте.

## Как работает назначение роли через группу домена

1. Группы домена синхронизируются в Принтум вместе с пользователями.
2. В Принтум для группы настраивается соответствующая роль.
3. При синхронизации все члены группы получают указанную роль.
4. Новый сотрудник, добавленный в группу в домене, при следующей синхронизации автоматически получает нужную роль в Принтум — без каких-либо действий в самом Принтум.

> Пример: в домене есть группа «Администраторы». В Принтум для этой группы настроена роль «Администратор». Заказчик нанял нового IT-специалиста, добавил его в домене в группу «Администраторы». При следующей синхронизации пользователь появится в Принтум уже с ролью «Администратор» — в самом Принтум ничего настраивать не нужно.

## Назначение правил через группы

Аналогично ролям, через группы домена можно автоматически применять правила печати.

Правило — это условие (атрибуты задания: количество страниц, цветность, формат) плюс действие (запретить, разрешить только на определённых устройствах и т.д.).

> Пример: администратор создаёт в домене группу «Запрет цветной печати». В Принтум для этой группы задаётся правило — запрет цветной печати. Чтобы ограничить нового сотрудника, достаточно добавить его в эту группу в домене. После синхронизации запрет применится автоматически.

## Назначение МФУ для прямой печати через группы

Если используется схема с Клиентом ПМ, МФУ для прямой печати (без авторизации) также назначаются через группы домена или OU.

> Пример: для OU «Бухгалтерия» назначен МФУ Kyocera для прямой печати. Клиент ПМ автоматически создаёт этот МФУ на рабочей станции каждого сотрудника бухгалтерии. Новый бухгалтер появляется в домене в OU «Бухгалтерия» — при следующей синхронизации у него на компьютере автоматически появится нужный МФУ. Администратору Принтум ничего делать не нужно.

## Итог: интеграция в процесс управления пользователями

За счёт синхронизации с доменом Принтум встраивается в привычный для администраторов процесс управления доступами. Нанимая, увольняя или перемещая сотрудников между группами в контроллере домена, администратор одновременно управляет и их доступами к печати.

## Связанные страницы

- [Как работает синхронизация пользователей с доменом](http://wiki.printum.io/books/4-integracii/page/kak-rabotaet-sinxronizaciia-polzovatelei-s-domenom)
- [Модель пользователей в Принтум](http://wiki.printum.io/books/1-arxitektura-i-koncepcii/page/model-polzovatelei-v-printum)

# Доменная авторизация и SSO — как работает

## Назначение

Начиная с версии 4.2, Принтум поддерживает доменную авторизацию и Single Sign-On (SSO). Это позволяет пользователям входить в Личный кабинет с помощью доменного логина и пароля, не создавая отдельный пароль в Принтум.

## Принтум не хранит доменные пароли

Это ключевой принцип безопасности. Принтум:

- не импортирует доменные пароли;
- не хранит доменные пароли;
- не кэширует credentials пользователей.

При авторизации с доменным паролем Принтум передаёт введённые учётные данные контроллеру домена и проверяет корректность пароля **на стороне контроллера домена**. В самой системе пароль не сохраняется.

## Как выглядело до версии 4.2

В версии 4.1 пользователь при входе в Личный кабинет вводил:

- Логин — доменный (импортированный при синхронизации).
- Пароль — внутренний пароль Принтум (не доменный).

Внутренний пароль задавался самим пользователем через почту. Это не создавало проблем безопасности, но часто требования заказчиков предполагали использование исключительно доменного пароля.

## Доменная авторизация (версия 4.2+)

В Личном кабинете появляется кнопка **«Авторизоваться с помощью доменной УЗ»**.

Оба варианта авторизации могут работать параллельно:

- Внутренний пароль Принтум — для тех, кто его создал.
- Доменный пароль — для тех, кто предпочитает использовать корпоративные учётные данные.

Если заказчик переходит на доменную авторизацию, внутренняя парольная политика Принтум становится менее актуальной: пароли соответствуют требованиям политики домена.

## SSO (Single Sign-On)

SSO добавлен в версии 4.2. При использовании SSO пользователю не нужно вводить логин и пароль вручную — авторизация происходит автоматически на основе текущей доменной сессии.

В Личном кабинете появляется кнопка входа через SSO.

## Парольная политика

Принтум поддерживает настраиваемые парольные политики для внутренних паролей:

- Минимальная длина.
- Требования к составу (цифры, спецсимволы).
- Срок действия пароля.
- Требование смены пароля.

Можно задать несколько парольных политик для разных групп пользователей. Есть политика по умолчанию. При использовании доменной авторизации настройка внутренней политики остаётся на усмотрение администратора.

## Связанные страницы

- [Модель пользователей в Принтум](http://wiki.printum.io/books/1-arxitektura-i-koncepcii/page/model-polzovatelei-v-printum)
- [Как работает синхронизация пользователей с доменом](http://wiki.printum.io/books/4-integracii/page/kak-rabotaet-sinxronizaciia-polzovatelei-s-domenom)

# Гостевая печать через email — как работает

## Назначение

Гостевая печать через email позволяет напечатать документ пользователю, которого нет в домене и в Принтум. Это удобно для посетителей, внешних подрядчиков и любых людей, у которых нет корпоративной учётной записи.

## Как это работает

1. Администратор создаёт специальный почтовый ящик для приёма документов на печать (например, `print@company.ru`).
2. Гость отправляет документ как вложение к письму на этот адрес (например, с планшета или личного телефона).
3. Принтум автоматически создаёт для него временную учётную запись.
4. Гостю в ответ приходит письмо с PIN-кодом.
5. Гость подходит к устройству, вводит PIN-код, видит своё задание (или несколько, если отправил несколько писем) и выбирает, что распечатать.

## Требования

- Функционал должен быть включён администратором в настройках Принтум.
- Документ передаётся как вложение к письму.
- Доступ к физическому устройству необходим для получения распечатки.

> Даже если посторонний человек узнает адрес почтового ящика и отправит туда документ, получить распечатку он не сможет: для этого нужен физический доступ к устройству и PIN-код из ответного письма.

## Разница между гостевой печатью и печатью сотрудника через почту

Функционал «печать через email» используется в двух сценариях:

- **Гостевая печать** — пользователь не в домене, не в Принтум. Ему автоматически создаётся временная учётная запись и высылается PIN-код.
- **Печать сотрудника через почту** — сотрудник, который уже есть в системе, отправляет документ по почте. Он авторизуется под своей существующей учётной записью, PIN-код не нужен.

## Связанные страницы

- [Модель пользователей в Принтум](http://wiki.printum.io/books/1-arxitektura-i-koncepcii/page/model-polzovatelei-v-printum)
- [Настройка гостевой печати через почту](https://wiki.printum.io/books/4-integracii/page/nastroika-gostevoi-pecati-cerez-poctu)

# Интеграция с почтовым сервером (SMTP)

# Настройка подключения к почтовому серверу

## Цель

Подключение Printum к SMTP-серверу для отправки уведомлений, восстановления паролей и системных писем.

---

## Предусловия

- SMTP-сервер доступен из сети, где развёрнут Printum
- Имеется учётная запись для аутентификации на SMTP-сервере

---

## Шаги настройки

### Шаг 1. Открыть раздел

Перейдите в **Настройки → Интеграции → Почта**.

### Шаг 2. Заполнить поля подключения

- **SMTP-сервер** — адрес сервера по имени или IP-адресу.
- **Порт SMTP-сервера** — порт для подключения.
- **Имя пользователя** — логин для аутентификации на SMTP-сервере.
- **Пароль** — пароль для аутентификации.
- **Адрес отправителя** — адрес, от имени которого приходят письма. Обычно SMTP-серверы требуют совпадения с параметром «Имя пользователя».
- **Адрес службы поддержки** — адрес по умолчанию для получения уведомлений.
- **Использовать TLS** — включить шифрование по протоколу TLS.
- **Использовать SSL** — включить шифрование по протоколу SSL.

### Шаг 3. Отправить тестовое письмо

Заполните поле **«Почта для тестового письма»** и нажмите **«Отправить тестовое письмо»**. Если письмо с темой `[Printum] Тестовое сообщение` получено — интеграция настроена корректно.

### Шаг 4. Сохранить

Нажмите кнопку **«Сохранить»**.

---

## Почему важно настроить сразу

- Без почты не работают уведомления системы.
- Вы не получите уведомление об окончании лицензии.
- Пользователи не смогут сменить или восстановить пароль.

---

## Ожидаемый результат

Тестовое письмо получено. Системные уведомления Printum отправляются через настроенный SMTP-сервер.

---

## Связанные страницы

- [Настройка печати через почту](http://wiki.printum.io/books/4-integracii/page/nastroika-pecati-cerez-poctu)
- [Настройка гостевой печати через почту](http://wiki.printum.io/books/4-integracii/page/nastroika-gostevoi-pecati-cerez-poctu)

# Настройка печати через почту

## Цель

Настройка функции отложенной печати через электронную почту: пользователь отправляет письмо с вложением на специальный адрес, вложение добавляется в его персональную очередь печати.

---

## Как работает

Пользователь отправляет письмо с вложением (документ, PDF и др.) на специальный почтовый адрес, настроенный в системе. Загрузка писем выполняется по протоколу IMAP. Вложения автоматически добавляются в персональную очередь пользователя в Printum.

---

## Предусловия

- Настроена интеграция с почтовым сервером (SMTP)
- Имеется почтовый ящик для приёма писем с заданиями печати (IMAP-доступ)

---

## Шаги настройки

### Шаг 1. Настройка почтового ящика для приёма заданий

Перейдите в панель администратора ПринтМенеджера: **Настройки → Системные настройки → Настройки электронной почты** и укажите следующие параметры:

- **PRINT_MAILBOX_HOST** — адрес IMAP-сервера.
- **PRINT_MAILBOX_PORT** — порт на котором работает IMAP-сервер.
- **PRINT_MAILBOX_NAME** — адрес почты, через который задания попадают в очередь печати. Сотрудник может отправить на него файл, и он попадет в его очередь печати.  
- **PRINT_MAILBOX_PASSWORD** — пароль для аутентификации на сервере электронной почты (IMAP); не пароль от электронной почты, а пароль для почтовых приложений. Это разные пароли, для почтовых приложений генерируется у почтового провайдера отдельно. У Яндекса, например, тут: [https://id.yandex.ru/profile/apppasswords-list](https://id.yandex.ru/profile/apppasswords-list) .
- **PRINT_MAILBOX_USE_SSL** — флаг, который задает шифрование по протоколу SSL.
- **PRINT_MAILBOX_USE_TLS** — флаг, который задает шифрование по протоколу TLS.

Для добавления документа в очередь печати необходимо, чтобы адрес электронной почты сотрудника, который отправляет документ, совпадал с адресом электронной почты, указанный для этого сотрудника в ПМ.

### Шаг 2. Проверка

Отправьте тестовое письмо с документом с почты сотрудника на почту, указанную в **PRINT_MAILBOX_NAME**. Убедитесь, что задание появилось в очереди пользователя в Printum.

---

## Ожидаемый результат

После отправки письма с вложением документ появляется в персональной очереди пользователя и доступен для печати на устройстве.

---

## Связанные страницы

- [Настройка подключения к почтовому серверу](http://wiki.printum.io/books/4-integracii/page/nastroika-podkliuceniia-k-poctovomu-serveru)
- [Настройка гостевой печати через почту](http://wiki.printum.io/books/4-integracii/page/nastroika-gostevoi-pecati-cerez-poctu)

# Настройка гостевой печати через почту

## Цель

Активация гостевой печати через почту — возможность печати для пользователей, которых нет в списке сотрудников Printum.

---

## Как работает

Гость отправляет письмо с вложением на специальный адрес. Система автоматически создаёт гостевую учётную запись и добавляет задание в гостевую очередь. В ответном письме гость получает PIN-код. Используя PIN-код на МФУ со встроенным приложением, гость авторизуется и распечатывает документ.

---

## Предусловия

- Настроена интеграция с почтовым сервером (SMTP)
- Настроена печать через почту (параметр `PRINT_MAILBOX_NAME`)

---

## Шаги настройки

### Шаг 1. Включить гостевую печать

Перейдите в панель администратора ПринтМенеджера: **Настройки → Системные настройки → Настройки электронной почты**.

Включите параметр `GUEST_PRINT_VIA_MAIL`.

### Шаг 2. Проверка

Отправьте письмо с документом с адреса, которого нет в списке сотрудников, на адрес `PRINT_MAILBOX_NAME`. Убедитесь, что:

- В мониторинге и ПринтМенеджере создан сотрудник-гость в группе «Гости».
- На адрес отправителя пришло ответное письмо с PIN-кодом.
- Гость может авторизоваться на МФУ по PIN-коду и распечатать задание.

---

## Ожидаемый результат

Пользователь, не зарегистрированный в системе, получает PIN-код по почте и может распечатать отправленный документ через МФУ.

---

## Связанные страницы

- [Настройка подключения к почтовому серверу](http://wiki.printum.io/books/4-integracii/page/nastroika-podkliuceniia-k-poctovomu-serveru)
- [Настройка печати через почту](http://wiki.printum.io/books/4-integracii/page/nastroika-pecati-cerez-poctu)

# Отправка событий в SIEM (Syslog)

# Настройка отправки событий в Syslog

## Цель

Настройка отправки системных событий Printum во внешний Syslog-сервер (SIEM).

---

## Предусловия

- Syslog-сервер развёрнут и доступен из сети Printum
- Известен адрес и порт Syslog-сервера

---

## Особенности отправки

- Отправка происходит по указанному хосту и порту (например, `192.168.10.10:1514`).
- Допустимые порты: `514`, `1514`, `1468`. Если порт не указан — используется `514`.
- Авторизация по стандарту syslog не поддерживается — логин и пароль указывать не нужно.
- Тело отчёта заполнять не нужно — отправляются все доступные параметры события.

---

## Шифрование (TLS)

Для отправки по шифрованному протоколу укажите CA-сертификат и сертификат клиента в формате `.pem`. Шифрование выполняется по протоколу TLS (выбирается максимально возможная версия для сервера). Если нежелательный протокол TLS активирован — запретите его непосредственно на сервере syslog.

Для настройки syslog-сервера обратитесь к его официальной документации.

---

## Формат событий

Логи передаются в следующем формате:

```
2023-05-25T06:15:21.930828+00:00 local Обнаружено новое устройство  event=2 user=One additional_parameters={'foo': 0}
2023-05-25T06:32:44.487278+00:00 test.local Обнаружено новое устройство  event=4 user=One location="Офис в Иваново" additional_parameters={'foo': 0}
```

Поля:

- `event` — уникальный идентификатор события.
- `user` — логин пользователя.
- `location` — название локации (если есть).
- `additional_parameters` — дополнительные параметры события.

---

## Диагностика

Для проверки прослушиваемого порта (TCP/UDP) на сервере syslog:

```
netstat -tulnp
```

---

## Ожидаемый результат

События из Printum поступают в Syslog-сервер в заданном формате.

---

## Параметры настройки интеграции

Перейдите по адресу `https://<адрес_сервера>:8001/config/integrations/` и выберите раздел **«Внешние интеграции»**. Нажмите **«Добавить»**.

Заполните поля:

<table id="bkmrk-%D0%9F%D0%B0%D1%80%D0%B0%D0%BC%D0%B5%D1%82%D1%80%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-%D0%9D%D0%B0%D0%B7"><thead><tr><th>Параметр</th><th>Описание</th></tr></thead><tbody><tr><td>Название конфигурации</td><td>Произвольное имя интеграции, например «Syslog SIEM»</td></tr><tr><td>Хост</td><td>Адрес и порт сервера Syslog, например `192.168.10.10:1514`. Допустимые порты: 514, 1514, 1468. Если порт не указан — используется 514</td></tr><tr><td>Тип интеграции</td><td>Выбрать **Syslog**</td></tr><tr><td>Locations</td><td>Локации, события которых передаются. Если не выбрать — передаются все события</td></tr><tr><td>Интервал между обменами</td><td>Время в минутах (минимум 1 минута)</td></tr><tr><td>Включено</td><td>Активировать интеграцию после создания</td></tr><tr><td>CA сертификат</td><td>Для шифрования по TLS — CA-сертификат в формате .pem</td></tr><tr><td>Сертификат</td><td>Файл SSL-сертификата клиента (.pem, без кодовой фразы)</td></tr></tbody></table>

**Важно:** авторизация по стандарту Syslog не поддерживается — логин и пароль указывать не нужно.

---

## Создание конструктора отчётов для Syslog

1. После создания интеграции нажать **«Добавить»** рядом с разделом «Отчёты для отправки» (события или логи безопасности).
2. Заполнить поля: 
    - **Внешняя интеграция** — выбрать созданную интеграцию.
    - **Тело отчёта** — поля для включения в отчёт (оставить пустым — передаются все поля).

Для каждой интеграции допускается только один конструктор отчётов. Для передачи данных по нескольким пользователям необходимо создать несколько интеграций.

---

## Формат событий Syslog

Пример лога:

```
2023-05-25T06:15:21.930828+00:00 local Обнаружено новое устройство event=2 user=One additional_parameters={'foo': 0}
2023-05-25T06:32:44.487278+00:00 test.local Обнаружено новое устройство event=4 user=One location="Офис в Иваново" additional_parameters={'foo': 0}

```

Поля события:

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5%D0%A2%D0%B8%D0%BF%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-even"><thead><tr><th>Поле</th><th>Тип</th><th>Описание</th></tr></thead><tbody><tr><td>event</td><td>число</td><td>Уникальный ID события</td></tr><tr><td>user</td><td>строка</td><td>Логин пользователя</td></tr><tr><td>location</td><td>строка</td><td>Название локации (если есть)</td></tr><tr><td>additional\_parameters</td><td>JSON</td><td>Дополнительные параметры события</td></tr></tbody></table>

### Поля логов безопасности

<table id="bkmrk-%D0%9F%D0%BE%D0%BB%D0%B5%D0%A2%D0%B8%D0%BF%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-even-1"><thead><tr><th>Поле</th><th>Тип</th><th>Описание</th></tr></thead><tbody><tr><td>event\_group</td><td>строка</td><td>Группа событий</td></tr><tr><td>event\_name</td><td>строка</td><td>Название события</td></tr><tr><td>event\_name\_unique\_id</td><td>число</td><td>ID события</td></tr><tr><td>timestamp</td><td>строка</td><td>Время в формате ISO (пример: "2005-08-09T18:31:42")</td></tr><tr><td>operation\_subject</td><td>строка</td><td>Субъект операции</td></tr><tr><td>operation\_object</td><td>строка</td><td>Объект операции</td></tr><tr><td>result</td><td>строка</td><td>Результат операции</td></tr><tr><td>event\_level</td><td>строка</td><td>Уровень критичности</td></tr><tr><td>changed\_params</td><td>JSON</td><td>Изменённые параметры</td></tr></tbody></table>

---

## Шифрование TLS

Для передачи по зашифрованному каналу укажите CA-сертификат и сертификат клиента в формате .pem. Версия TLS выбирается максимально возможная для сервера Syslog. Если нужна конкретная версия TLS — запретите нежелательные протоколы на стороне сервера Syslog.

Для проверки порта Syslog на сервере:

```
netstat -tulnp
```

---

## Связанные страницы

- [Настройка подключения к почтовому серверу](http://wiki.printum.io/books/4-integracii/page/nastroika-podkliuceniia-k-poctovomu-serveru)
- [Управление пользователями — обзор](http://wiki.printum.io/books/5-upravlenie-sistemoi/page/upravlenie-polzovateliami-obzor)

# SSO

# Настройка SSO через SAML 2.0 в Microsoft AD FS

## Цель

Настройка единого входа (SSO) в Принтум через протокол SAML 2.0 с использованием Microsoft Active Directory Federation Services (AD FS) в качестве Identity Provider.

---

## Предусловия

- Windows Server 2012 или выше с актуальными обновлениями и патчами
- SSL-сертификат для домена AD FS (самоподписанный или от доверенного центра сертификации)
- DNS-запись для ADFS-сервера, например `adfs.yourdomain.com` (или FQDN домена, если ADFS развёрнут на контроллере домена)
- Настроена интеграция с доменом в Принтум (пользователи импортированы)
- Сопоставлены атрибуты домена, в том числе `unique_id`

---

## Шаг 1. Подготовка сервера AD FS

### DNS

- Если ADFS разворачивается не на контроллере домена — создайте DNS-запись для сервера (например, `adfs.yourdomain.com`).
- Если ADFS разворачивается на контроллере домена — используйте FQDN-имя домена. Чтобы узнать FQDN: откройте оснастку **«Active Directory — пользователи и компьютеры»**, раскройте **«Domain Controllers»**, выберите запись компьютера, откройте свойства. В строке **«DNS-имя»** будет указана полная запись.

### SSL-сертификат

- Получите SSL-сертификат для вашего ADFS-домена: самоподписанный или от доверенного центра сертификации.

---

## Шаг 2. Установка роли AD FS

1. Откройте **Server Manager**.
2. Выберите **Add roles and features**.
3. В мастере выберите **Role-based or feature-based installation**.
4. Выберите сервер из пула.
5. На странице выбора ролей выберите **Active Directory Federation Services**.
6. Следуйте инструкциям мастера и завершите установку.

---

## Шаг 3. Настройка AD FS

1. После установки откройте **AD FS Management** из меню **Administrative Tools**.
2. В правой панели выберите **Configure the federation service on this server**.
3. Выберите **Create the first federation server in a federation server farm**.
4. Укажите имя вашего SSL-сертификата.
5. Укажите имя вашего ADFS-сервера (например, `adfs.yourdomain.com`).
6. Укажите учётные данные администратора для создания базы данных конфигурации.
7. Выберите хранилище базы данных: SQL Server или встроенная база данных (Windows Internal Database). При выборе SQL Server убедитесь, что у вас есть соответствующие права и доступ.
8. Завершите мастер и перезагрузите сервер, если требуется.

### Проверка статуса службы ADFS

```
Get-Service adfssrv
```

Если сервис не запущен, выполните:

```
Start-Service adfssrv
```

После завершения настройки будет доступен для скачивания файл метаданных IdP.

---

## Шаг 4. Получение файла метаданных IdP

1. Перейдите в **Диспетчер серверов → Средства → Управление AD FS**.
2. В разделе **«Отношения доверия проверяющей стороны»** откройте настройку созданного ранее сервиса.
3. Во вкладке **«Наблюдение»** нажмите **«Проверить URL-адрес»** справа от строки адреса скачивания XML-файла с метаданными.
4. После успешной проверки скопируйте адрес, введите в браузере — файл метаданных будет скачан на ваш компьютер.

---

## Шаг 5. Настройка SAML 2.0 в Принтум

1. Перейдите в раздел **«Настройки доменной авторизации»** в административной панели Мониторинга.
2. Нажмите **«Добавить настройки доменной авторизации»**.
3. Заполните поля: 
    - **Тип** — выберите `SAML 2.0`.
    - **Метаданные IdP** — загрузите скачанный файл метаданных.
    - **Приватный ключ и Сертификат** — оставьте пустыми для автогенерации, либо загрузите свою пару ключ–сертификат.
4. Нажмите **«Сохранить»**.
5. В столбце **«Метаданные SP»** нажмите **«Открыть»** и сохраните данные в файл — это файл метаданных Service Provider для загрузки в AD FS.

---

## Шаг 6. Добавление Relying Party Trust в AD FS

1. Откройте **Управление AD FS**: **Диспетчер серверов → Средства → Управление AD FS**.
2. Выберите **«Отношения доверия проверяющей стороны»**, затем **«Добавить отношение проверяющей стороны»**.
3. На первом шаге оставьте выбор **«Поддерживающие утверждения»** и нажмите **«Запустить»**.
4. На втором шаге выберите **«Импорт данных о проверяющей стороне из файла»**, загрузите файл метаданных SP (сохранённый на шаге 5). Нажмите **«Далее»**.
5. Введите произвольное название для отношения доверия и нажмите **«Далее»**.
6. Настройте политику управления доступом или оставьте значение по умолчанию. Нажмите **«Далее»**.
7. На финальном экране оставьте галочку **«Настроить политику выдачи утверждений для данного приложения»** активной и нажмите **«Завершить»**.

---

## Шаг 7. Настройка правила выдачи утверждений (Claim Rules)

1. В открывшемся окне **«Изменить политику подачи запросов»** нажмите **«Добавить правило»**.
2. В поле **«Шаблон правила утверждений»** выберите **«Отправка атрибутов LDAP как утверждений»**, нажмите **«Далее»**.
3. Введите произвольное имя правила.
4. В поле **«Хранилище атрибутов»** выберите **Active Directory**.
5. В разделе **«Сопоставление атрибутов»**: 
    - В столбце **«Атрибут LDAP»** — укажите атрибут, сопоставленный с `unique_id` при настройке импорта из домена. По умолчанию для Active Directory — `objectSid`.
    - В столбце **«Тип исходящего утверждения»** — выберите **«ИД имени»**.
6. Нажмите **«Готово»**.

---

## Результат

После успешной настройки в форме аутентификации в Личном кабинете или административной панели появится кнопка аутентификации через домен.

# Настройка SSO через Kerberos

## Цель

Настройка единого входа (SSO) в Printum через протокол Kerberos. Пользователь, однажды прошедший аутентификацию в домене, автоматически получает доступ к Printum без повторного ввода пароля.

---

## Предусловия

- Настроена интеграция с доменом (пользователи импортированы)
- Доступ к контроллеру домена для создания сервисного пользователя и SPN
- Printum доступен по FQDN или IP-адресу

---

## Шаги настройки

### Шаг 1. Подготовка на стороне контроллера домена

1. Создайте специального пользователя в домене для аутентификации Printum. Этот пользователь не обязан быть пользователем системы Printum.

2. Создайте Service Principal Name (SPN) для сервисного пользователя:

```
setspn -A HTTP/<host or ip> <username>
```

Где `<host or ip>` — хостнейм или IP-адрес сервера Printum, `<username>` — имя сервисного пользователя.

3. Сгенерируйте keytab-файл

```
ktpass /out krb5.keytab /princ HTTP/<hostname or IP with port>@<domain.name> /mapuser <account name>@<domain.name> /ptype KRB5_NT_PRINCIPAL /crypto ALL /pass <account password> /kvno 0
```

Параметры:

- `<hostname or IP with port>` — хостнейм или IP мониторинга с портом бэкенда (8001), например: `192.168.10.10:8001` или `domainname:8001`
- `<domain.name>` — имя домена (проверить: `echo %USERDOMAIN%` в CMD на контроллере домена)
- `<account name>` и `<account password>` — логин и пароль сервисного пользователя

### Шаг 2. Настройка в Printum

1. Перейдите в раздел **«Авторизация через Домен»**.
2. Добавьте новую запись или отредактируйте существующую.
3. Заполните поля: 
    - **Тип** — выберите `Kerberos`.
    - **Keytab для Kerberos** — загрузите сгенерированный файл `krb5.keytab`.
    - **Формат имени пользователя** — если логин в формате `username`, выберите «обрезать до первого символа @»; если в формате `username@domain.suffix` — «полностью».
    - **Атрибут пользователя для сопоставления** — для Kerberos использовать **Имя пользователя (username)**.

### Шаг 3. Настройка браузера на АРМ пользователя

Настройте браузер для работы с Kerberos согласно документации вашего браузера.

Если Printum доступен по IP-адресу (а не по доменному имени), разрешите обращение по IP. На Windows — добавьте запись в реестр:

```
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f
```

---

## Как проверить

Перейдите на страницу авторизации Printum и выберите **«Авторизоваться при помощи доменной УЗ»**. Аутентификация должна произойти автоматически без запроса пароля.

---

## Связанные страницы

- [Авторизация через доменную учётную запись на МФУ](http://wiki.printum.io/books/4-integracii/page/avtorizaciia-cerez-domennuiu-ucetnuiu-zapis-na-mfu)
- [Настройка атрибутов домена](http://wiki.printum.io/books/4-integracii/page/nastroika-atributov-domena)

# Авторизация через доменную учётную запись на МФУ

## Цель

Настройка авторизации пользователей на МФУ с использованием логина и пароля доменной учётной записи через протокол LDAP.

---

## Ограничения

Функционал поддерживается только на устройствах HP.

---

## Предусловия

- Настроена интеграция с доменом
- МФУ HP подключено и синхронизировано с ПринтМенеджером

---

## Шаги настройки

### Шаг 1. Включить доменную авторизацию

1. Откройте панель администратора Мониторинга.
2. В разделе **Constance → Настройки → Global options** найдите параметр `ALLOW_DOMAIN_AUTH_ON_PRINTERS`.
3. Установите галочку, чтобы разрешить доменную авторизацию на МФУ.

### Шаг 2. Синхронизировать с ПринтМенеджером

Перейдите в раздел **«Принтменеджеры»**, вкладку **«Принтменеджеры»** и нажмите «Синхронизировать», либо дождитесь автоматической синхронизации (по умолчанию раз в час).

### Шаг 3. Настройка порядка доменов (опционально)

При авторизации система последовательно перебирает все домены согласно порядковому номеру. Измените порядок в настройках домена для ускорения аутентификации.

### Шаг 4. Настройка префикса домена (при необходимости)

Логин подставляется в формате `domain\username`, где `domain` — название домена из настроек интеграции. Если название не совпадает с фактическим префиксом, настройте его: **Мониторинг → Импорт из доменов → Домены → настройки домена → поле «Префикс для логина при авторизации»**. Укажите нужный префикс или `-`, если префикс не нужен.

---

## Ожидаемый результат

Пользователи авторизуются на поддерживаемых МФУ HP, введя логин и пароль доменной учётной записи.

---

## Связанные страницы

- [Настройка SSO через Kerberos](http://wiki.printum.io/books/4-integracii/page/nastroika-sso-cerez-kerberos)

# Методы аутентификации в Принтум — обзор

## Назначение

Принтум поддерживает несколько механизмов интеграции с корпоративным каталогом пользователей. Каждый из них решает свою задачу. Понимание различий позволяет выбрать правильную комбинацию при внедрении.

---

## Сравнительная таблица технологий

|Технология|Назначение|Когда использовать|
|---|---|---|
|LDAP|Каталог пользователей, синхронизация|Всегда при доменной интеграции|
|SAML 2.0|Федеративная аутентификация|SSO через IdP (AD FS, Keycloak и др.)|
|Kerberos|Прозрачный SSO|Windows-домен, браузерный доступ|
|SSO|Пользовательский опыт единого входа|Результат настройки SAML или Kerberos|

---

## LDAP ≠ SAML ≠ SSO — в чём разница

### LDAP

LDAP — это протокол доступа к каталогу. В контексте Принтум он используется для **синхронизации пользователей**: импорта учётных записей из Active Directory в базу данных Принтум. LDAP не отвечает за вход пользователя — он только обеспечивает наличие пользователей в системе.

### SAML 2.0

SAML 2.0 — это протокол **федеративной аутентификации**. При использовании SAML пользователь проходит аутентификацию на стороне Identity Provider (например, AD FS). После успешного входа IdP передаёт в Printum подписанное SAML Assertion — утверждение, подтверждающее личность пользователя и набор его атрибутов. Принтум сопоставляет assertion с существующей учётной записью и открывает сессию.

### SSO

SSO (Single Sign-On) — это **пользовательский опыт**: возможность войти в систему один раз и получить доступ ко всем сервисам без повторного ввода пароля. SSO — это результат правильно настроенного SAML или Kerberos, а не отдельная технология.

---

## Как SAML связан с моделью пользователей Принтум

Механизм входа через SAML в Принтум работает следующим образом:

1. Пользователь нажимает кнопку **«Авторизоваться с помощью доменной УЗ»** в Личном кабинете или административной панели.
2. Принтум перенаправляет браузер пользователя на IdP (AD FS).
3. IdP аутентифицирует пользователя и возвращает SAML assertion в Принтум.
4. Принтум извлекает из assertion значение атрибута `name_id` и ищет пользователя с совпадающим `unique_id` в своей базе.
5. Если пользователь найден — создаётся сессия.

**Важно:** пользователи **не создаются автоматически** из SAML assertion. Учётная запись должна быть заранее создана в Принтум — как правило, путём синхронизации через LDAP. SAML только _аутентифицирует_ уже существующего пользователя, но не регистрирует нового.

|Этап|Технология|Что происходит|
|---|---|---|
|Импорт пользователей|LDAP|Учётные записи из AD попадают в Принтум|
|Вход пользователя|SAML 2.0|Assertion от IdP → поиск по `unique_id` → сессия|
|Единый вход|SSO|Пользователь входит один раз без повторного ввода пароля|

---

## Рекомендуемая комбинация для доменной среды

- **LDAP** — для синхронизации пользователей из Active Directory в Принтум.
- **SAML 2.0 (AD FS)** — для федеративной аутентификации и SSO через браузер.
- **Kerberos** — для прозрачного SSO в Windows-домене (альтернатива SAML для браузерных клиентов).

# Внешние интеграции

# Интеграция с DLP-системами

# Интеграция с DLP-системами
Раздел. Интеграции / Внешние интеграции
Ключевые слова:
- DLP
- Data Loss Prevention
- InfoWatch
- интеграция с DLP
- контроль копирования
- контроль сканирования
- контроль документов на МФУ
- анализ документов
- предотвращение утечек данных
- утечка данных
- информационная безопасность
- контроль документооборота
- копирование на МФУ
- сканирование на МФУ
- передача документов в DLP
- контроль действий пользователей на МФУ
- безопасность документов
component: ПринтМенеджер
-->
## Назначение
Интеграция с DLP-системами предназначена для передачи документов, полученных на МФУ, в системы предотвращения утечек данных (DLP) для последующего анализа.
Решение позволяет включить операции с документами на МФУ в общий контур контроля документооборота и информационной безопасности организации.
## Решаемая задача
Большинство DLP-систем контролируют электронные каналы передачи данных: электронную почту, файловые хранилища, веб-трафик и другие информационные потоки.
При этом операции, выполняемые непосредственно на МФУ, часто остаются вне зоны автоматического контроля.
В результате служба информационной безопасности не имеет возможности автоматически анализировать документы, обрабатываемые пользователями на устройствах печати.
Printum получает цифровой образ документа и передаёт его во внешнюю DLP-систему для проверки.
## Принцип работы
При выполнении пользователем операции копирования или сканирования Printum получает цифровой образ документа и автоматически передаёт его во внешнюю DLP-систему.
После получения документа дальнейший анализ выполняется средствами DLP-системы в соответствии с её политиками безопасности.
Printum не анализирует содержимое документов и не принимает решения о блокировке операций.
## Передаваемые данные
В DLP-систему могут передаваться:
файл документа;
тип операции;
дата и время выполнения операции;
информация о пользователе;
информация об устройстве;
дополнительные атрибуты события.
Конкретный состав передаваемых данных зависит от настроек интеграции.
## Особенности работы
Передача документов выполняется автоматически и не требует действий пользователя.
Если в системе разрешено хранение образов документов, Printum выполняет повторные попытки передачи при временной недоступности DLP-системы.
Если в организации запрещено хранение образов документов, передача выполняется до удаления документа из системы. В этом режиме повторные попытки передачи не выполняются.
Проверка содержимого документов, формирование инцидентов и принятие решений выполняются средствами DLP-системы.
## Требования
Для использования интеграции требуется Printum версии 4.4 или выше и встроенное приложение Printum на МФУ.
## Связанные статьи
Настройка интеграции с DLP-системами

# Настройка интеграции с DLP-системами

# Настройка интеграции с DLP-системами
Раздел: 4. Интеграции / Внешние интеграции
Ключевые слова:
- настройка DLP
- настройка InfoWatch
- интеграция InfoWatch
- создание интеграции
- внешние интеграции
- адрес сервера DLP
- параметры подключения DLP
- передавать файлы копирования
- передавать файлы сканирования
- проверка SSL
- CA сертификат
- клиентский сертификат
- синхронизация интеграции
- диагностика DLP
- передача документов
- не отправлено
- отправлено
- отправляется
component: ПринтМенеджер
## Назначение
Интеграция с DLP-системами позволяет автоматически передавать документы, полученные в результате операций копирования и сканирования, во внешнюю систему для последующего анализа.
Настройка выполняется в разделе внешних интеграций Printum.
## Создание интеграции
Откройте панель администратора Мониторинга.
Перейдите в раздел Внешние интеграции.
Для добавления интеграции выполните одно из действий:
нажмите Добавить рядом с разделом;
нажмите Добавить внешнюю интеграцию внутри раздела.
В форме создания интеграции заполните необходимые параметры.
Нажмите Сохранить.
После сохранения интеграция будет активирована и начнёт работать после синхронизации между Мониторингом и ПринтМенеджером. По умолчанию синхронизация выполняется один раз в час. При необходимости её можно выполнить вручную.
## Параметры подключения
При создании интеграции указываются следующие параметры:
### Проверка SSL
Параметр Проверка SSL включает проверку сертификата сервера.
При использовании самоподписанных сертификатов можно отключить проверку сертификата либо указать сертификат удостоверяющего центра в поле CA сертификат.
### Клиентский сертификат
В поле Сертификат может быть указан клиентский SSL-сертификат в формате PEM.
Сертификат не должен требовать ввода кодовой фразы.
## Настройка передачи документов
Для каждой интеграции можно указать, какие документы необходимо передавать во внешнюю систему.
Доступны следующие параметры:
Передавать файлы копирования — включает передачу документов копирования;
Передавать файлы сканирования — включает передачу документов сканирования.
После сохранения настроек и выполнения синхронизации передача документов будет выполняться автоматически.
## Проверка работы интеграции
Выполните копирование или сканирование на МФУ.
Важно:
на устройстве должно быть установлено встроенное приложение Printum;
для операций копирования должна быть активирована функция сохранения образа документа.
Перейдите в панель администратора ПринтМенеджера в раздел «Напечатанные задания, которые нужно отправить во внешнюю интеграцию».
Проверьте состояние созданных заданий.
Для каждого задания отображаются:
результат отправки;
время создания;
время передачи.
Возможны следующие статусы:
Отправляется — документ находится в процессе передачи;
Отправлено — документ успешно передан;
Не отправлено — документ не удалось передать.
Критерием успешной настройки является наличие документов со статусом «Отправлено».
## Особенности работы
Передача документов выполняется асинхронно и не блокирует действия пользователя.
Максимальное время попыток передачи документа составляет 2,5 часа.
Если за это время документ не удалось передать во внешнюю систему, дальнейшие попытки передачи не выполняются.
## Диагностика неисправностей
Если документы не передаются во внешнюю систему, рекомендуется проверить:
доступность сервера DLP;
корректность адреса сервера;
правильность логина и пароля;
корректность сертификатов;
настройки проверки SSL;
наличие CA-сертификата.
Подробная информация об ошибках передачи фиксируется в журналах системы.
## Связанные статьи
Интеграция с DLP-системами