LDAP фильтры запросов и динамические группы

Эта статья содержит информацию о том, как использовать язык запросов LDAP для фильтрации пользователей и создания динамических групп.

Обзор

Cato позволяет оптимизировать управление пользователями, импортируя только релевантных пользователей из вашего каталога LDAP с использованием языка запросов LDAP. С помощью фильтра каталога LDAP вы можете определить точные запросы LDAP для контроля за тем, какие пользователи синхронизируются с Cato. Кроме того, вы можете использовать запросы LDAP для организации пользователей в динамические группы в CMA. Используя атрибуты LDAP, вы можете создать динамические группы как подмножество вашего оригинального фильтра или всех ваших пользователей.

Используя страницу служб каталогов, вы можете интегрировать каталог LDAP вашей организации с Cato и настроить параметры импорта пользователей.

Сценарий использования — фильтры запросов

Компания ABC работает с штатными сотрудниками, подрядчиками и стажёрами. При импорте пользователей в CMA, как администратор, вы хотите импортировать только штатных сотрудников. Вы создаете следующий фильтр запросов для экземпляра вашего LDAP в Azure, чтобы импортировать только релевантных сотрудников:

(&(objectCategory=person)(objectClass=user)(employeeType=full-time))

Сценарий использования — динамические группы

Компания ABC имеет торговых представителей по всей стране, и они все относятся к отделу продаж. Используя атрибут employeeType, вы создаете подмножество торговых представителей для всех менеджеров в отделе продаж. Когда пользователь повышается в должности и назначается атрибут employeeType "Менеджер", а отдел устанавливается как "Продажи", они автоматически включаются в динамическую группу.

Требования

Перед тем, как настроить фильтры каталога LDAP или динамические группы пользователей, убедитесь, что:

У вас есть существующая интеграция каталога LDAP, настроенная в CMA
Вы являетесь администратором Cato с разрешениями на изменение настроек службы каталогов

Известные ограничения

Фильтр каталога LDAP импортирует только пользователей. Группы пользователей LDAP не импортируются.
Каждая учетная запись поддерживает до 10 уникальных атрибутов LDAP во всех динамических группах.

Повторное использование одного атрибута с различными значениями (например, memberOf=Admin, memberOf=Finance) считается как один атрибут.
Каждая учетная запись поддерживает до 50 динамических групп пользователей
Динамические группы не поддерживают вложенное членство в группе из LDAP.

Импортировать пользователей с использованием фильтров запросов LDAP

Вы можете выбрать импорт пользователей с использованием традиционного выбора групп или нового фильтра запросов LDAP. Вы также можете определить динамические группы пользователей, которые автоматически группируют пользователей на основе атрибутов из вашего каталога.

Примечание

Примечание: язык запросов LDAP не разработан и не поддерживается Cato. Вы несете ответственность за написание и проверку запросов, которые соответствуют требованиям вашей организации.

Чтобы настроить фильтр каталога LDAP:

В меню навигации выберите Доступ > Службы каталогов.
Выберите существующую конфигурацию LDAP или нажмите Новый, чтобы создать новую.
В разделе Фильтры, в поле Метод фильтра выберите Запрос LDAP.
В поле Запрос введите запрос LDAP, используя префикс вашего поставщика каталога и атрибуты LDAP. Запрос должен начинаться с действительного префикса, специфичного для поставщика.
- Azure: (&(objectCategory=person)(objectClass=user))
- OKTA + OpenLDAP: (&(objectClass=inetOrgPerson))
- JumpCloud + OneLogin: (&(objectClass=person))
См. ниже примеры фильтров запросов.
Нажмите Сохранить.

Примеры фильтров запросов

Ниже приведены примеры нескольких различных фильтров, которые вы можете использовать. Смотрите документацию вашего поставщика LDAP для получения подробной информации.

Извлеките пользователей из определенной группы (Azure)

Следующий пример импортирует пользователей из определенной группы, используя атрибут memberOf, и отформатирован для Azure:

(&(objectCategory=person)(objectClass=user)(memberOf=CN=Developers,OU=Groups,DC=catonetworks,DC=com))

Извлеките пользователей из двух групп (Okta)

Следующий пример импортирует всех пользователей из двух групп и отформатирован для Okta:

(&(objectClass=inetOrgPerson)(memberOf=CN=Admins,OU=Groups,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=Groups,DC=catonetworks,DC=com))

Извлеките пользователей из любой из двух групп (Jumpcloud)

Следующий пример импортирует всех пользователей, которые принадлежат к любой из двух групп, и отформатирован для Jumpcloud:

(&(objectClass=person)(|(memberOf=CN=Admins,OU=Groups,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=Groups,DC=catonetworks,DC=com)))

Настройка динамических групп

После импорта пользователей с выбором либо группы пользователей, либо фильтра LDAP, вы можете создать динамические группы на основе атрибутов LDAP.

Чтобы настроить динамическую группу:

В меню навигации выберите Доступ > Службы каталогов.
Выберите существующую конфигурацию LDAP или нажмите Новый, чтобы создать новую.
В разделе Динамические группы: введите имя группы и определите запрос.
- Префикс для динамических групп не требуется.
- Если вы определили фильтр запросов LDAP, динамическая группа является подмножеством этого фильтра. В противном случае динамическая группа является подмножеством всех ваших пользователей.
Нажмите Сохранить.

Примеры

Ниже приведены примеры для определения динамических групп:

Определите динамическую группу, используя один атрибут
```
(department=Finance)
```
```
(title=*Manager)
```
Определите динамическую группу, используя несколько атрибутов с оператором AND:
```
(&(department=Sales)(title=Executive*))
```
Определите динамическую группу, используя несколько атрибутов с оператором OR:
```
(|(appRole=Admin)(appRole=Support))
```

Диагностика запросов фильтров и динамических групп

Ниже приведен список возможных сообщений об ошибках и их объяснения.

Вы можете определить либо фильтр DN группы, либо фильтр запросов LDAP

Появляется, когда вы определили как фильтр группы, так и фильтр запросов LDAP. Можно определить либо один, либо ни один, но нельзя определить оба.
Фильтр запросов LDAP недействителен. Ошибка '<ERROR MESSAGE FROM SDK>'

Появляется по нескольким причинам, и индивидуальное сообщение об ошибке предоставит больше информации. Например, невозможно разобрать строку '(&(objectClass=group)(cn=*)'. Это сообщение появляется, когда отсутствует закрывающая скобка.

Обратитесь к документации LDAP, специфичной для поставщика, чтобы узнать больше информации.
Фильтр запросов LDAP содержит недостающие обязательные фильтры объектов пользователя

Появляется, если вы не включили обязательный атрибут objectClass.
Фильтр запросов LDAP содержит неподдерживаемые фильтры объектов

Появляется, если вы включили фильтр по неподдерживаемому атрибуту, например, по группам вместо пользователей.
Динамические группы требуют слишком много дополнительных атрибутов LDAP (разрешено максимум 10 сверх атрибутов по умолчанию)

Появляется, если сумма всех запрашиваемых атрибутов не превышает 10 дополнительных атрибутов (в дополнение к тем, которые мы получаем по умолчанию)
Слишком много динамических групп (разрешено максимум 50)

Появляется, когда превышено максимальное количество в 50 динамических групп в учетной записи
Имя динамической группы '<GROUP_NAME>' уже существует.

Появляется, когда имя группы не является уникальным.
У динамической группы '<GROUP_NAME>' недействительный синтаксис запроса LDAP.

Появляется, когда синтаксис LDAP для динамической группы неверен. Обратитесь к документации LDAP, специфичной для поставщика, чтобы узнать больше информации.
Динамическая группа '<GROUP_NAME>' содержит атрибуты объекта пользователя, которые уже применяются автоматически и не должны быть включены в запрос динамической группы.

Появляется, когда синтаксис запроса LDAP включает атрибуты, которые применяются по умолчанию Cato.