Проблемы при интеграции Битрикс24 и Active Directory и их решение
Интеграция Битрикс24 с AD часто оказывается не столько сложной, сколько длительной: необходимо учитывать логику AD клиента, вручную прописывать фильтры и дополнительные скрипты. При этом все равно могут возникать ошибки: данные передаются неверно, не передаются вовсе или создаются дубли. В этой статье мы расскажем о наиболее частых проблемах при интеграции Битрикс24 с AD, их причинах и оптимальных решениях.
Active Directory (AD/LDAP) — это службы каталогов и сервер, на котором хранятся данные о сотрудниках компании и доступ к сетевым объектам. Обычно AD интегрируют с рабочими программами для удаленного управления учетными записями пользователей.
Active Directory состоит из объектов, которые обозначаются специальной терминологией. Некоторые из них мы используем в этой статье:
Основные настройки для интеграции Битрикс24 с AD выполняются именно на стороне AD. Поэтому необходимо знать правила администрирования Active Directory, возможные проблемы и способы их решения — одних навыков работы с 1С-Битрикс24 недостаточно. Мы многократно интегрировали Битрикс24 с AD и сталкивались со всеми возможными проблемами, но особенно выделяем пять самых частых:
- Домен — группы пользователей и компьютеров, которые администрируются из одного центра и управляются одинаковыми настройками безопасности.
- Дерево — набор доменов, связанных между собой определенными отношениями: доверительными или с ограниченным доступом. Ветвь дерева — это группа.
- Лес — каталог доменов: от одного до нескольких. Поэтому иногда Active Directory называют «службой каталогов».
- Атрибуты — параметры, такие как имя, фамилия, должность, телефон и другие. Атрибуты одинаковы у всех объектов внутри одного леса.
- Корень дерева или корневой домен — первый домен с заданными атрибутами.
Основные настройки для интеграции Битрикс24 с AD выполняются именно на стороне AD. Поэтому необходимо знать правила администрирования Active Directory, возможные проблемы и способы их решения — одних навыков работы с 1С-Битрикс24 недостаточно. Мы многократно интегрировали Битрикс24 с AD и сталкивались со всеми возможными проблемами, но особенно выделяем пять самых частых:
Проблема 1. Из AD в Битрикс24 передается меньше учетных записей сотрудников, чем нужно
Наиболее вероятная причина: расположение пользователей отличается от расположения групп.
Это самая распространенная проблема. Перед тем, как интегрировать Битрикс24 и AD, мы просим заказчиков заполнить таблицу: указать количество учетных записей, поля, атрибуты, группы на стороне AD, которые нужно синхронизировать с Битрикс24. Учетные записи пользователей на стороне AD располагаются в группах. Но фактически группа может лежать в одном месте, а учетная запись — в другом, то есть расположение групп может отличаться от расположения сотрудников. Или клиент дает не тот корень дерева, или из-за НДА клиент не может дать его вовсе.
Решение
Мы просим сисадмина клиента создать специальную группу на стороне AD и назвать ее «Битрикс24». Чтобы выгрузить в нее нужные учетные записи, мы используем специальный скрипт: он вытаскивает учетные записи и группы нужных сотрудников. Мы копируем эти группы и используем их как фильтр — сотрудники автоматически включаются в группу «Битрикс24». Даже если клиент даст не тот корень дерева, при правильных настройках прав доступа скрипт покажет, где на самом деле находится сотрудник.
Здесь, в административной части, прописываем скрипт. Открываем объект «Пользователи» и вводим скрипт:
Здесь, в административной части, прописываем скрипт. Открываем объект «Пользователи» и вводим скрипт:
Скрипты могут «вытащить» персональные данные ваших сотрудников, поэтому доверяйте интеграцию Битрикс24 с Active Directory надежным компаниям, которые дорожат своей репутацией и несут юридическую ответственность за работу с вашими данными.
Проблема 2. Неправильно синхронизируются параметры или не синхронизируются вовсе
Наиболее вероятная причина: несоответствие названия полей пользователей и групп в AD и Битрикс24.
На этапе настройки мы выбираем, какие атрибуты нужно передать из AD в Битрикс24. Если все атрибуты штатные, то нужные пользователи или целые группы подтянутся без проблем.
Однако иногда компаниям нужно указать кастомные параметры — так иногда называют атрибуты. Например, на стороне AD нет штатного поля «дата рождения». Оно дописывается администраторами.
В таких случаях, система может не увидеть параметров с кастомным значением, поэтому пользователи и группы не подтянутся в Битрикс24.
Однако иногда компаниям нужно указать кастомные параметры — так иногда называют атрибуты. Например, на стороне AD нет штатного поля «дата рождения». Оно дописывается администраторами.
В таких случаях, система может не увидеть параметров с кастомным значением, поэтому пользователи и группы не подтянутся в Битрикс24.
Решение
- Уточняем названия атрибутов и групп у клиента: возможно, они имеют другое название на стороне AD.
- Затем указываем кастомные группы, поля, идентификаторы этих полей.
- Далее администратор AD создает группу с нужными атрибутами на сервере AD.
- Пишем свой пользовательский фильтр, по которому система будет понимать, каких пользователей передавать, а каких — нет. Выбранные сотрудники подтянутся в локальные группы Битрикс24.
Для такой процедуры нужны знания логики AD: как создаются группы, как указываются атрибуты, правила администрирования серверов AD/LDAP и т.д. Если в вашем AD бардак, значит сисадмин либо поленился создать понятную структуру, либо у него были другие задачи. Чтобы понять, оптимально ли устроена ваша ит-инфраструктура, проведите аудит. Наши специалисты оптимизируют ит-инфраструктуру и помогают определить квалификацию сисадминов. Это позволяет бизнесу экономить от 400 тысяч в год и улучшать качество работы всех систем.
Проблема 3. Импортируется больше сотрудников, чем нужно
Наиболее вероятная причина: количество сотрудников не ограничено фильтрами на стороне AD.
У нас так было: вместо 15 сотрудников импортировали 150. Причина обычно в неправильно настроенных фильтрах на стороне Active Directory. Если не ограничить с помощью фильтров количество сотрудников, то создаются дубли или переносятся сотрудники из других групп. Иногда не указан атрибут «user», поэтому вместе с учетными записями пользователей передаются данные офисной техники: принтеров, компьютеров.
Решение
Если не указан атрибут, то администратор клиента должен проставить на стороне AD класс пользователей «user» и исключить технику из этого класса. Когда нужно настроить обмен данных целой группы — то прописывается единый фильтр.
Если требуется импортировать сотрудников из 2 групп, мы передаем пользователей, которые состоят в этих группах. Это позволяет ограничить пользователей группами. Если в компании 300 пользователей, а с Битрикс24 нужно синхронизировать данные только 90 пользователей, то на стороне AD с помощью фильтров мы вытягиваем этих сотрудников в единую группу, которую потом синхронизируем с Битрикс24.
Проблема 4. При синхронизации данных «тормозит» Битрикс24
Причина: Проблема с сетевыми настройками в Active Directory.
У одного нашего клиента было так: Битрикс24 и AD существовали на одном сервере и обменивались информацией по локальной сети. Чтобы Битрикс24 работал быстрее, мы перенесли его на облачный сервер и договорились о доступе к настройкам Active Directory.
Решение
Специалистов нашего техотдела установили лицензионный антивирус Firewall, настроили маршрутизаторы и VPN-канал между Битрикс24 на облачном хостинге и сервером с AD.
Синхронизация заработала быстро и без сбоев, а клиент отказался от услуг своих сисадминов и перешел к нам на абонентское обслуживание ит-инфраструктуры.
Синхронизация заработала быстро и без сбоев, а клиент отказался от услуг своих сисадминов и перешел к нам на абонентское обслуживание ит-инфраструктуры.
Проблема 5. Не переносится структура компании или переносится с ошибками
Причина: На стороне AD не проставлены отношения «менеджер» и «подчиненный» или проставлены не единообразно.
Если нет единообразия в настройках «подчиненный» — «менеджер», то отношения между сотрудниками передаются неверно, а импорт выдает ошибки при каждой синхронизации. Например, импорт может прерываться, если один сотрудник работает в двух и более отделах, а отношения прописаны стилистически разнородно или не проставлены вовсе.
Решение
Есть два варианта:
При первом варианте нужно потратить много времени администратору клиентского Active Directory: он должен перепроверить атрибуты, поля, проставить единообразно отношения между пользователями. Тогда данные синхронизируются автоматически и без ошибок.
Затем мы укажем в настройках модуля интеграции соответствие название отделов в AD и Битрикс24.
- настроить структуру на стороне AD;
- настраивать иерархию вручную на стороне Битрикс24.
При первом варианте нужно потратить много времени администратору клиентского Active Directory: он должен перепроверить атрибуты, поля, проставить единообразно отношения между пользователями. Тогда данные синхронизируются автоматически и без ошибок.
Затем мы укажем в настройках модуля интеграции соответствие название отделов в AD и Битрикс24.
Второй вариант — полуручной. Нужно отключить синхронизацию структуры в настройках модуля Битрикс24 и настроить структуру компании на стороне Битрикс24 вручную. Учетная запись сотрудника добавляется в Битрикс24 автоматически, а в структуру его придется заносить самостоятельно.
Чтобы синхронизация данных Active Directory c Битрикс24 прошла безопасно и успешно, нужно знать правила администрирования Active Directory, внутреннюю логику Битрикс24 и оптимально настраивать ит-инфраструктуру. Всё это мы умеем делать, обращайтесь —поможем.
Хотите заказать аудит Битрикс24?
Оставьте свою заявку