Часто интеграция Битрикс24 с AD — это не столько сложно, сколько долго: нужно учитывать логику AD клиента, прописывать вручную фильтры, дополнительные скрипты. И все равно возникают ошибки: данные передаются неверно, не передаются вовсе или создаются дубли. В этой статьей мы расскажем, какие проблемы чаще всего возникают при интеграции Битрикс24 с AD, в чем причина и какое решение мы считаем оптимальным.
Active Directory или AD/LDAP— это службы каталогов и сервер, на котором хранятся данные о сотрудниках компании и доступ к сетевым объектам. Обычно AD интегрируют с рабочими программами, чтобы удаленно управлять учетными записями пользователей. Подробнее про интеграцию Битрикс24 с AD и зачем это нужно, мы рассказывали раньше.
Active Directory состоит из объектов, которые обозначаются специальной терминологий. Некоторую мы используем в этой статье:
- Домен — группы пользователей и компьютеров, которые администрируются из одного центра и управляются одинаковыми настройками безопасности.
- Дерево — набор доменов, которые связаны между собой определенными отношениями: доверительными или с ограниченным доступом. Ветвь дерева — это группа.
- Лес — это каталог доменов: от одного до нескольких. Поэтому иногда Active Directory называют «службой каталогов».
- Атрибуты — то же, что и параметры: имя, фамилия, должность, телефон и другое. Атрибуты одинаковые у всех объектов внутри одного леса.
- Корень дерева или корневой домен — первый домен с заданными атрибутами.
Основные настройки для интеграции Битрикс24 с AD происходят именно на стороне AD. Одних навыков администрирования Битрикс24 недостаточно, чтобы все сделать грамотно, нужно знать правила администрирования Active Directory, возможные проблемы и как их решать. Мы много раз интегрировали Битрикс24 с AD и сталкивались со всеми возможными проблемами, но особо выделяем пять самых частых:
Проблема 1. Из AD в Битрикс24 передается меньше учетных записей сотрудников, чем нужно
Наиболее вероятная причина: расположение пользователей отличается от расположения групп.
Это самая распространенная проблема. Перед тем, как интегрировать Битрикс24 и AD, мы просим заказчиков заполнить таблицу: указать количество учетных записей, поля, атрибуты, группы на стороне AD, которые нужно синхронизировать с Битрикс24. Учетные записи пользователей на стороне AD располагаются в группах. Но фактически группа может лежать в одном месте, а учетная запись — в другом, то есть расположение групп может отличаться от расположения сотрудников. Или клиент дает не тот корень дерева, или из-за НДА клиент не может дать его вовсе.
Решение
Мы просим сисадмина клиента создать специальную группу на стороне AD и назвать ее «Битрикс24». В нее загружаются нужные учетные записи. Для этого мы прописываем специальный скрипт: он вытаскивает учетные записи и группы нужных сотрудников. Мы копируем эти группы и используем их как фильтр, чтобы включить сотрудников в группу «Битрикс24». Даже если клиент даст не тот корень дерева, при правильных настройках прав доступа скрипт покажет, где на самом деле находится сотрудник.
Здесь, в административной части, прописываем скрипт. Открываем объект «Пользователи» и вводим скрипт:
Скрипты могут «вытащить» персональные данные ваших сотрудников, поэтому доверяйте интеграцию Битрикс24 с Active Directory надежным компаниям, которые дорожат своей репутацией и несут юридическую ответственность за работу с вашими данными.
Проблема 2. Неправильно синхронизипуются параметры или не синхронизируются вовсе
Наиболее вероятная причина: несоответствие названия полей пользователей и групп в AD и Битрикс24.
На этапе настройки мы выбираем, какие атрибуты нужно передать из AD в Битрикс24. Если все атрибуты штатные, то нужные пользователи или целые группы подтянутся без проблем.
Однако иногда компаниям нужно указать кастомные параметры — так иногда называют атрибуты. Например, на стороне AD нет штатного поля «дата рождения». Оно дописывается администраторами. В таких случаях, система может не увидеть параметров с кастомным значением, поэтому пользователи и группы не подтянутся в Битрикс24.
Решение
- Уточняем названия атрибутов и групп у клиента: возможно, они имеют другое название на стороне AD.
- Затем указываем кастомные группы, поля, идентификаторы этих полей.
- Далее администратор AD создает группу с нужными атрибутами на сервере AD.
- Пишем свой пользовательский фильтр, по которому система будет понимать, каких пользователей передавать, а каких — нет. Выбранные сотрудники подтянутся в локальные группы Битрикс24.
Для такой процедуры нужны знания логики AD: как создаются группы, как указываются атрибуты, правила администрирования серверов AD/LDAP и т.д. Если в вашем AD бардак, значит сисадмин либо поленился создать понятную структуру, либо у него были другие задачи. Чтобы понять, оптимально ли устроена ваша ит-инфраструктура, проведите аудит. Наши специалисты оптимизируют ит-инфраструктуру и помогают определить квалификацию сисадминов. Это позволяет бизнесу экономить от 400 тысяч в год и улучшать качество работы всех систем.
Проблема 3. Импортируется больше сотрудников, чем нужно
Наиболее вероятная причина: количество сотрудников не ограничено фильтрами на стороне AD.
У нас так было: вместо 15 сотрудников импортировали 150. Причина обычно в неправильно настроенных фильтрах на стороне Active Directory. Если не ограничить с помощью фильтров количество сотрудников, то создаются дубли или переносятся сотрудники из других групп. Иногда не указан атрибут «user», поэтому вместе с учетными записями пользователей передаются данные офисной техники: принтеров, компьютеров.
Решение
Если не указан атрибут, то администратор клиента должен проставить на стороне AD класс пользователей «user» и исключить технику из этого класса. Когда нужно настроить обмен данных целой группы — то прописывается единый фильтр.
Если требуется импортировать сотрудников из 2 групп, мы передаем пользователей, которые состоят в этих группах. Это позволяет ограничить пользователей группами. Если в компании 300 пользователей, а с Битрикс24 нужно синхронизировать данные только 90 пользователей, то на стороне AD с помощью фильтров мы вытягиваем этих сотрудников в единую группу, которую потом синхронизируем с Битрикс24.
Проблема 4. При синхронизации данных «тормозит» Битрикс24
Причина: Проблема с сетевыми настройками в Active Directory.
У одного нашего клиента было так: Битрикс24 и AD существовали на одном сервере и обменивались информацией по локальной сети. Чтобы Битрикс24 работал быстрее, мы перенесли его на облачный сервер и договорились о доступе к настройкам Active Directory.
Решение
Специалистов нашего техотдела установили лицензионный антивирус Firewall, настроили маршрутизаторы и VPN-канал между Битрикс24 на облачном хостинге и сервером с AD. Синхронизация заработала быстро и без сбоев, а клиент отказался от услуг своих сисадминов и перешел к нам на абонентское обслуживание ит-инфраструктуры.
Проблема 5. Не переносится структура компании или переносится с ошибками
Причина: На стороне AD не проставлены отношения «менеджер» и «подчиненный» или проставлены не единообразно.
Если нет единообразия в настройках «подчиненный» — «менеджер», то отношения между сотрудниками передаются неверно, а импорт выдает ошибки при каждой синхронизации. Например, импорт может прерываться, если один сотрудник работает в двух и более отделах, а отношения прописаны стилистически разнородно или не проставлены вовсе.
Решение
Есть два варианта:
- настроить структуру на стороне AD;
- настраивать иерархию вручную на стороне Битрикс24.
При первом варианте нужно потратить много времени администратору клиентского Active Directory: он должен перепроверить атрибуты, поля, проставить единообразно отношения между пользователями. Тогда данные синхронизируются автоматически и без ошибок.
Затем мы укажем в настройках модуля интеграции соответствие название отделов в AD и Битрикс24.
Второй вариант — полуручной. Нужно отключить синхронизацию структуры в настройках модуля Битрикс24 и настроить структуру компании на стороне Битрикс24 вручную. Учетная запись сотрудника добавляется в Битрикс24 автоматически, а в структуру его придется заносить самостоятельно.
Чтобы синхронизация данных Active Directory c Битрикс24 прошла безопасно и успешно, нужно знать правила администрирования Active Directory, внутреннюю логику Битрикс24 и оптимально настраивать ит-инфраструктуру. Всё это мы умеем делать, обращайтесь —поможем.
