LDAP Entegrasyonu

Patrona, Lightweight Directory Access Protocol (LDAP) ile kimlik doğrulamayı destekler.

SSO seçeneklerini Yönetici ayarları > Ayarlar > Kimlik Doğrulama altında bulabilirsiniz.

Gerekli LDAP nitelikleri

LDAP dizininizi şu niteliklerle ayarlamanız gerekir:

• e-posta (varsayılan olarak mail niteliği)
• ad (varsayılan olarak givenName niteliği)
• soyad (varsayılan olarak sn niteliği).

LDAP kurulumunuzda bunlar için başka nitelikler kullanılıyorsa, formun "Nitelikler" bölümünden düzenleyebilirsiniz.

LDAP dizininizde, Patrona kullanıcısı olacak her giriş için e-posta alanı doldurulmuş olmalıdır, aksi takdirde Patrona hesabı oluşturamaz ve bu kişi oturum açamaz. İsim alanlarından herhangi biri eksikse, Patrona varsayılan olarak "Bilinmeyen" değerini kullanır ve kişi adını hesap ayarlarından değiştirebilir.

LDAP kimlik doğrulamasını etkinleştirme

Yönetici ayarları > Ayarlar > Kimlik Doğrulama sekmesinde, LDAP bölümüne gidin ve Kur'a tıklayın. LDAP'ı etkinleştirmek için formun üst kısmındaki geçiş butonuna tıklayın, ardından formu ilgili ayrıntılarla doldurun.

Kullanıcı sağlama

Bir kişi LDAP aracılığıyla oturum açtığında, Patrona otomatik olarak bir Patrona hesabı oluşturabilir (zaten bir Patrona hesabı yoksa).

Sunucu ayarları

• LDAP Sunucusu. Sunucu adınız. Örneğin, ldap.alanadiniz.org
• LDAP Bağlantı Noktası. Sunucu bağlantı noktası, genellikle 389 veya SSL kullanılıyorsa 636.
• LDAP Güvenlik ayarları. Seçenekler Yok, SSL veya StarTLS'dir.
• LDAP yönetici kullanıcı adı. Bağlanılacak ayırt edici ad (varsa). Bu kullanıcı, diğer kullanıcılar hakkında bilgi aramak için kullanılacaktır.
• LDAP yönetici parolası.

Ardından değişikliklerinizi kaydedin. Patrona, gerekli nitelikleri LDAP dizininizden otomatik olarak çekecektir.

Kullanıcı şeması

Aynı sayfadaki Kullanıcı Şeması bölümü, Patrona'nın kullanıcıları kimlik doğrulamak için LDAP sunucunuza nerede ve nasıl bağlandığıyla ilgili ayarları yapabileceğiniz yerdir.

Kullanıcı arama tabanı

Kullanıcı arama tabanı alanı, LDAP sunucunuzda kullanıcıları ararken başlangıç noktası olan girişin ayırt edici adı (DN) ile tamamlanmalıdır.

Örneğin, şirketiniz WidgetCo için LDAP'ı yapılandırdığınızı varsayalım ve temel DN'niz dc=widgetco,dc=com olsun. Çalışanlara ait girişlerin tümü LDAP sunucunuzda People adlı bir organizasyon biriminde saklanıyorsa, kullanıcı arama tabanı alanına ou=People,dc=widgetco,dc=com DN'sini girmelisiniz. Bu, Patrona'ya eşleşen girişleri LDAP sunucusundaki bu konumda aramaya başlamasını söyler.

Kullanıcı filtresi

Kullanıcı filtresi alanında aşağıdaki grileştirilmiş varsayılan değeri göreceksiniz:

(&(objectClass=inetOrgPerson)(|(uid={login})(mail={login})))

Bir kişi Patrona'ya giriş yaptığında, bu komut, sağladıkları girişin LDAP sunucunuzdaki bir UID veya e-posta alanıyla eşleştiğini ve eşleşen girişin inetOrgPerson nesne sınıfına sahip olduğunu doğrular.

Bu varsayılan komut, inetOrgPerson yaygın olarak benimsenmiş bir nesne sınıfı olduğundan çoğu LDAP sunucusu için çalışacaktır. Ancak, şirketiniz örneğin çalışanları kategorize etmek için farklı bir nesne sınıfı kullanıyorsa, bu alan Patrona'nın bir kişi giriş yaptığında bir LDAP girişini nasıl bulduğunu ve kimlik doğrulaması yaptığını ayarlayabileceğiniz yerdir.

LDAP grup eşlemesi

Bir kişi SSO aracılığıyla oturum açtıktan sonra onları Patrona'daki gruplara manuel olarak atamak zahmetli olabilir. Bunun yerine, LDAP dizininizde zaten var olan gruplardan yararlanarak grup eşlemelerini etkinleştirebilirsiniz.

Aynı LDAP ayarları sayfasında Grup Şeması bölümüne gidin ve grup eşlemesini etkinleştirmek için geçiş butonuna tıklayın. Eşlemeyi Düzenle'yi seçmek, hangi LDAP grubunun hangi Patrona grubuna karşılık geldiğini belirterek eşlemeler oluşturabileceğiniz ve düzenleyebileceğiniz bir modal açacaktır.

Aşağıda görebileceğiniz gibi, LDAP sunucunuzda ve Patrona örneğinizde bir Muhasebe grubunuz varsa, LDAP sunucunuzdan Ayırt Edici Adı (örnekte, cn=Accounting,ou=Groups,dc=widgetco,dc=com) sağlamanız ve mevcut Patrona gruplarınızın açılır listesinden eşleşmesini seçmeniz yeterlidir.

Grup eşlemesiyle ilgili aklınızda bulundurmanız gereken bazı şeyler:

• Yönetici grubu diğer gruplar gibi çalışır.
• LDAP eşlemelerine dayalı olarak bir kişinin grup üyeliğindeki güncellemeler anında gerçekleşmez; değişiklikler yalnızca kişiler tekrar oturum açtıktan sonra etkili olur.
• Kişiler yalnızca eşlenen gruplara eklenir veya çıkarılır; eşleşmesi olmayan Patrona gruplarında senkronizasyonun hiçbir etkisi yoktur.

LDAP grup üyeliği filtresi

Grup üyeliği arama filtresi. {uid} yer tutucuları, kullanıcının Ayırt Edici Adı ve UID ile değiştirilecektir.

LDAP ile kullanıcı niteliklerini senkronize etme

Adlar, e-postalar ve roller gibi kullanıcı niteliklerini LDAP dizininizden yönetebilirsiniz. Veri alanı oluşturmayı ayarladığınızda, LDAP dizininiz bu nitelikleri Patrona'ya aktarabilecektir.

Oturum açma sorunlarını giderme

• Oturum açılamıyor.
• LDAP sorun giderme

Daha fazla okuma

• Kimlik doğrulama ve erişim kontrolü için LDAP kullanma.
• İzinler genel bakış.

Patrona'yı LDAP sunucunuzla entegre etmek için:

1. Yönetici ayarlarına gidin
2. LDAP yapılandırmasını seçin
3. Aşağıdaki bilgileri girin:

• Sunucu URL'si
• Bağlama DN'si
• Şifre
• Arama tabanı
• Kullanıcı filtresi
• Grup filtresi

Örnek yapılandırma:

ldap:
  url: "ldaps://ldap.example.com:636"
  bindDN: "cn=admin,dc=example,dc=com"
  searchBase: "dc=example,dc=com"
  userFilter: "(objectClass=person)"
  groupFilter: "(objectClass=group)"