Мультитенантная AD-авторизация

Мультитенантная AD-авторизация допускает использование одной доменной учетной записи в нескольких тенантах.

Настройка включается в конфигурационном файле WebApi в секции ActiveDirectory. Для этого установите параметру MultyTenantsGroup значение true:

"ActiveDirectory": {
    "KerberosKeytabPath: "/opt/Primo/krb5.keytab",
    "Type": 5,
    "MultyForest":  ,
    "MultyTenantsGroup": true
 },

В этом случае для разрешения неоднозначности выбора тенанта по роли Оркестратора пользователь должен будет явно указывать тенант при AD-авторизации.

Дополнительные настройки поиска в AD

Для более гибкой настройки, особенно в сложных структурах Active Directory, в секции ActiveDirectory для каждого леса доступны параметры UserSearchBase и GroupsSearchBase (доступны с версии 1.25.9). Они позволяют независимо задавать точки поиска для пользователей и групп. Это решает проблему, когда группы для назначения прав и пользователи для делегирования папок расположены в разных подразделениях AD.

"ActiveDirectory": {
"KerberosKeytabPath": "/opt/Primo/krb5.keytab",
"Type": 5,
"MultyTenantsGroup": true,
"MultyForest": {
"primo1.orch": {
"Host": "185.247.193.52",
"AdminUserName": "Administrator@primo1.orch",
"StartPoint": "DC=primo1,DC=orch",
"GroupsSearchBase": "OU=RPA Groups,DC=primo1,DC=orch",
"UserSearchBase": "OU=RPA Users,DC=primo1,DC=orch",
"Tenants": [ "", "BUCH" ]
}
}
},