Методы аутентификации в Принтум — обзор

Назначение

Принтум поддерживает несколько механизмов интеграции с корпоративным каталогом пользователей. Каждый из них решает свою задачу. Понимание различий позволяет выбрать правильную комбинацию при внедрении.

Сравнительная таблица технологий

Технология	Назначение	Когда использовать
LDAP	Каталог пользователей, синхронизация	Всегда при доменной интеграции
SAML 2.0	Федеративная аутентификация	SSO через IdP (AD FS, Keycloak и др.)
Kerberos	Прозрачный SSO	Windows-домен, браузерный доступ
SSO	Пользовательский опыт единого входа	Результат настройки SAML или Kerberos

LDAP ≠ SAML ≠ SSO — в чём разница

LDAP

LDAP — это протокол доступа к каталогу. В контексте Принтум он используется для синхронизации пользователей: импорта учётных записей из Active Directory в базу данных Принтум. LDAP не отвечает за вход пользователя — он только обеспечивает наличие пользователей в системе.

SAML 2.0

SAML 2.0 — это протокол федеративной аутентификации. Пользователь аутентифицируется на стороне Identity Provider (например, AD FS), и IdP передаёт в Принтум подписанное утверждение (assertion) о том, кто этот пользователь. Принтум сопоставляет assertion с существующей учётной записью и открывает сессию.

SSO

SSO (Single Sign-On) — это пользовательский опыт: возможность войти в систему один раз и получить доступ ко всем сервисам без повторного ввода пароля. SSO — это результат правильно настроенного SAML или Kerberos, а не отдельная технология.

Как SAML связан с моделью пользователей Принтум

Механизм входа через SAML в Принтум работает следующим образом:

Пользователь нажимает кнопку «Войти через домен» в Личном кабинете или административной панели.
Принтум перенаправляет браузер пользователя на IdP (AD FS).
IdP аутентифицирует пользователя и возвращает SAML assertion в Принтум.
Принтум извлекает из assertion значение атрибута name_id и ищет пользователя с совпадающим unique_id в своей базе.
Если пользователь найден — создаётся сессия.

Важно: пользователи не создаются автоматически из SAML assertion. Учётная запись должна быть заранее создана в Принтум — как правило, путём синхронизации через LDAP. SAML только аутентифицирует уже существующего пользователя, но не регистрирует нового.

Этап	Технология	Что происходит
Импорт пользователей	LDAP	Учётные записи из AD попадают в Принтум
Вход пользователя	SAML 2.0	Assertion от IdP → поиск по `unique_id` → сессия
Единый вход	SSO	Пользователь входит один раз без повторного ввода пароля

Интеграция с FreeIPA

Интеграция с Samba DC и РЕД АДМ

Интеграция с ALD Pro

Интеграция с Active Directory

Настройка атрибутов домена

Расписание синхронизации с доменом

Как работает синхронизация пользователей с доменом

Объединение доменных учётных записей одного пользователя

Назначение ролей через группы домена

Доменная авторизация и SSO — как работает

Гостевая печать через email — как работает

Настройка подключения к почтовому серверу

Настройка печати через почту

Настройка гостевой печати через почту

Настройка отправки событий в Syslog

Настройка SSO через SAML 2.0 в Microsoft AD FS

Настройка SSO через Kerberos

Авторизация через доменную учётную запись на МФУ

Методы аутентификации в Принтум — обзор

Методы аутентификации в Принтум — обзор

Назначение

Сравнительная таблица технологий

LDAP ≠ SAML ≠ SSO — в чём разница

LDAP

SAML 2.0

SSO

Как SAML связан с моделью пользователей Принтум

Рекомендуемая комбинация для доменной среды