INTERVOLGARU, nuestro Partner Gold desde ya hace mucho tiempo, presenta sus casos de configuración de nuestra plataforma. Si le surgen algunas preguntas al respecto, por favor, póngase en contacto con INTERVOLGARU.
Este artículo está dedicado a la sincronización de Active Directory / LDAP con Bitrix24 En Premisa. Hay varias herramientas y modos de hacerlo, pero siempre se requieren ajustes adicionales. INTERVOLGARU ha elaborado su solución y le presenta las configuraciones que le ayudarán a resolver problemas de esta integración.
El cliente es una empresa de producción grande con el controlador de dominio ajustado y el Active Directory con la lista de usuarios.
La tarea es transferir los ajustes de usuarios a Bitrix24 y configurar la sincronización de tal manera que se sincronice la información de los campos de usuarios, y que el usuario desactivado en Active Directory se desactive en Bitrix24.
La versión En Premisa de Bitrix24 cuenta con un módulo estándar para esta tarea que es “integración AD / LDAP”. Antes de comenzar la sincronización es necesario instalar / actualizar este módulo.
Puede establecer la sincronización periódica. La configuración básica proporciona la posibilidad de ajustar la periodicidad en horas. En nuestro caso hemos configurado la sincronización “cada hora”. Una vez realizadas todas las configuraciones, es razonable aumentar este período hasta 24 horas, ya que los datos en Active Directory no suelen actualizarse muy a menudo.
El módulo también cuenta con la opción de transferir la estructura de la compañía. La puede encontrar en el panel administrativo en los ajustes del servidor.
Si la estructura de la empresa en Active Directory es incorrecta o tiene varios inconvenientes, entonces no vale la pena transferirla. En nuestro caso el cliente ha tomado la decisión de no usar la estructura corriente de AD y delimitar las estructuras en AD y Bitrix24. Esta decisión tiene varias desventajas, debido a que es necesario cambiar la estructura en dos lugares.
Problemas de integración de Bitrix24 y Active Directory
Inconveniente 1. Conflicto de filtros Configuraciones de campos > Filtro para grupos de usuarios y Grupos > Los siguientes grupos no participan en la importación del usuario.
El conflicto surge entre dos parámetros: Configuraciones de campos > Filtro para grupos de usuarios:
y Grupos > Los grupos marcados más abajo no participan en la importación de los usuarios:
El conflicto surge si se indican los ajustes en ambos campos; en este caso los usuarios no se importan. Solución: usar sólo el filtro para grupos de usuarios. En el campo Filtro para grupos de usuarios hay que ingresar el filtro de Active Directory:
(&(&(objectClass=user)(objectCategory=PERSON))(memberof=CN=BitrixCorpUser,CN=Builtin,DC=department1,DC=loc)).
Inconveniente 2. Sincronización de tiempo del servidor de Active Directory y de Bitrix24.
Durante la creación del servidor no se especificaba la hora en los ajustes, y los usuarios importados quedaban inactivos hasta la activación manual. En la lista de usuarios falta la fecha de sincronización, y los usuarios no tienen permisos de acceso y no pueden ingresar en la cuenta ni sincronizarse. Esto está relacionado con los ajustes del servidor.
Solución: modificar el valor MySQL del parámetro explicit_defaults_for_timestamp por Off. Realizar la verificación del sitio web.
Inconveniente 3. Conflicto entre dos copias de la misma cuenta del usuario.
Si el login y el correo electrónico del usuario de Active Directory no coinciden con los mismos datos de este usuario en Bitrix24, entonces en la cuenta aparecen dos copias de la misma cuenta del usuario. El inconveniente consiste en que es necesario desactivar al usuario registrado anteriormente y pasar todas sus tareas al usuario importado desde Active Directory.
La sincronización correcta ha sido lograda sólo del directorio superior de Active Directory, mientras que los metidos se ignoraban debido a que la estructura de la empresa no ha sido transferida. Solución: transferir a todos los usuarios en una carpeta y de ahí realizar la sincronización.
Solución: hacer al usuario importado desde Active Directory como principal, re-asignarle todas las tareas corrientes y despedir “la copia”.
La sincronización correcta ha sido lograda sólo del directorio superior de Active Directory, mientras que los metidos se ignoraban debido a que la estructura de la empresa no ha sido transferida. Solución: transferir a todos los usuarios en una carpeta y de ahí realizar la sincronización.
Inconveniente 4. Sincronización de la copia de Nombre y Apellido en otro idioma.
Debido a que la empresa es internacional, el nombre y el apellido aparecen en inglés. Por otro lado, es necesario verlos en idiomas locales (español / francés / alemán / ruso).
Solución: agregar el Nombre (RU) y el Apellido (RU) adicionales y sincronizarlos con la ayuda de atributos ExtensionAttribute1 y ExtensionAttribute2. No se recomienda utilizar campos estándares de Bitrix24.
Inconveniente 5. Sincronización de fotos de Active Directory con Bitrix24.
El problema consiste en las limitaciones básicas de AD. El tamaño de la imagen no debe superar los 95 х 95 píxeles y ser mayor de 100 kilobytes.
Solución: agregar el campo adicional jpegPhoto en Active Directory con el tamaño limitado a 100 kilobytes. El tipo jpg garantiza una compresión máxima. No se recomienda cargar las fotos con una resolución mayor de 300 х 300 píxeles, ya que ésto superaría las limitaciones de Bitrix24.
Información: Correspondencia de campos de usuario y atributos LDAP.
A continuación encontrará detalles para desarrolladores y administradores.
Se usa el método $arSyncFields. En los campos de Bitrix se ingresa la siguiente información:
"EMAIL" => Array("NAME" => GetMessage("LDAP_FIELD_EMAIIL"), "AD"=>"mail", "LDAP"=>"email"),
en la entrada hay un vector donde el primer parámetro es obligatorio (es la traducción del nombre del campo que se saca por la función GetMessage), el segundo parámetro no es requerido (es el nombre del campo de AD), y el tercer parámetro tampoco es obligatorio (es el nombre del campo de LDAP). Si está habilitada la comparación de los campos, entonces la información se saca de ellos. Si el campo está vacío, no se realizará la sincronización.
En el artículo original encontrará la tabla de correspondencia de los campos.
Resultados de integración de datos de Active Directory y Bitrix
La sincronización está funcionando, aunque a veces se requieren ajustes adicionales. La documentación no es insuficiente, de ahí que surge la necesidad de estudiar casos complicados, efectuando los ajustes de muchos parámetros (filtro para grupos de usuarios, correspondencia de campos de usuario y atributos LDAP, base DN, y etc.).
Sin embargo, es una herramienta muy útil para empresas grandes que facilita la configuración de la cuenta corporativa de Bitrix24. El funcionamiento correcto de la sincronización del módulo está asegurado sólo si instala el nuevo Bitrix24, así que INTERVOLGA recomienda usar la sincronización durante la instalación de cuentas nuevas.
Si Usted necesita configurar la sincronización de Bitrix24 con Active Directory, INTERVOLGARU estará dispuesta a ayudarle. Por favor, póngase en contacto con INTERVOLGARU.
Artículo original: Sincronización de Bitrix24 con Active Directory. Problemas y decisiones.