17.2. Общее описание

NextGIS ID on-premise (NGID on-premise) - это сервер авторизации и управления пользователями программного обеспечения NextGIS. В локальных сетях организаций с определенным уровнем изоляции от глобальной сети интернет, требуются функции авторизации пользователей настольного и мобильного программного обеспечения (ПО) NextGIS.

NGID on-premise предоставляет следующие возможности:

  • вход пользователей с указанием логина и пароля;

  • изменение свойств пользователей (имя, пароль), удаление пользователей;

  • добавление пользователей в команду, которой обеспечивается расширенный доступ к функциональности ПО, изменение состава команды;

  • авторизация пользователей через OAuth2 в различных приложениях;

  • персональная веб страница пользователя с профилем пользователя и возможность изменить пароль входа.

17.2.1. Вход и профиль

При переходе на главную страницу NGID on-premise открывается диалог входа пользователя (см. Рис. 17.1.), в котором необходимо указать логин и пароль пользователя, заведенного в административном интерфейсе.

../../_images/auth_window.png

Рис. 17.1. Окно авторизации пользователя

После успешной авторизации, пользователю отображается окно со страницей его профиля (см. Рис. 17.2.). В данном окне пользователь может изменить информацию о себе и пароль учетной записи.

../../_images/profile_window.png

Рис. 17.2. Окно профиля пользователя

17.2.2. Команда

Механизм управления командой позволяет добавить в свою команду дополнительного пользователя, указав для него логин и пароль, или удалить его из команды. Управление командой доступно через личный кабинет по подпути /users в разделе “Команда” (см. Рис. 17.3.). Каждый добавленный пользователь появится в списке и будет иметь расширенный доступ к функиям ПО NextGIS.

../../_images/ngidop_team.png

Рис. 17.3. Добавление пользователей в Команду

17.2.3. Приложения OAuth

В разделе Приложения OAuth предоставляется доступ для авторизации в различных приложениях NextGIS (см. Рис. 17.4.):

Каждое из этих приложений можно быть настроено для авторизации через NextGIS ID on-premise. По умолчанию эти приложения авторизуются через my.nextgis.com - облачный сервис. Подробности о том, как настроить авторизацию в этих приложениях см. в их документации.

../../_images/ngidop_apps_oauth.png

Рис. 17.4. Настройка OAuth applications

Примечание

Для получения доступа к расширенным функциям настольного и мобильного ПО необходимо указать адрес сервера NextGIS ID в настройках настольного ПО (см. Рис. 17.5.). По-умолчанию используется публичный сервис авторизации https://my.nextgis.com.

Во внутренней сети сервис может быть развернут по следующему адресу - https://gis.mycompany.ru/ngid. Данный путь следует указывать в качестве адреса сервера авторизации. В браузере открывать следующий адрес: * https://gis.mycompany.ru/ngid/ - профиль пользователя.

../../_images/auth_server_settings.png

Рис. 17.5. Настройка сервера авторизации в NextGIS QGIS

17.2.4. Настройка LDAP

Страница настроек LDAP открывается по подпути /ldapsettings (см. Рис. 17.6.). В блоке LDAP SERVER указывается адрес сервера авторизации, логин/пароль учетной записи пользователя для подключения к серверу.

Интеграция с внешним сервером Microsoft Active Directory

При авторизации через стандартный диалог входа NextGIS Web идет проверка существования данного пользователя в ПО NextGIS Web. Если аккаунт пользователя имеет тип Microsoft Active Directory, то проверка пароля осуществляется в Microsoft Active Directory. Если пользователя не существует, то проверяется существование пользователя в сервере Microsoft Active Directory. Если пользователь существует, то проверяется введенный пароль. Если сервер Microsoft Active Directory успешно авторизовал пользователя, то в ПО NextGIS Web создается пользователь с такими же логином и именем и типом аккаунта Microsoft Active Directory.

../../_images/ldap_settings.png

Рис. 17.6. Страница настроек LDAP

В блоке Поиск пользователя указывается база, в которой осуществляется поиск пользователя и его LDAP атрибуты, соответствующие искомым параметрам (логин, имя, фамилия).

Если пользователь принадлежит какой-то группе, то имеется возможность указать это в последнем блоке настроек конфигурации LDAP. Параметр не является обязательным, но дает возможность ограничивать авторизацию пользователей, не принадлежащих к конкретной группе. Пользователи из других групп не будут иметь возможности авторизоваться даже при указании корректной пары логин/пароль.

17.2.5. Идентификатор NextGIS ID on-premise

Примечание

Необходимо, чтобы на рабочих местах, где установлен NextGIS QGIS с модулем Rosreestr Tools открывался адрес с доменным именем geoservices.nextgis.com. Дополнительно вы также можете прописать разрешение на доступ к этому серверу (geoservices.nextgis.com) на сервере, где развернут NextGIS Web.

Для интеграции с глобальными сервисами NextGIS (такими как geoservices, NGQ Rosreestr Tools) используется уникальный GUID, указанный в разделе NextGIS ID on-premise (см. Рис. 17.7.). Его необходимо прописать в настройках учетной записи на my.nextgis.com в разделе NextGIS ID on-premise (см. Рис. 17.8.).

../../_images/ngidop_guid.png

Рис. 17.7. Идентификатор GUID в разделе NextGIS ID on-premise

../../_images/GUID_on_my.png

Рис. 17.8. Идентификатор GUID в облачном аккаунте NextGIS ID

В таблицу секции Settings необходимо внести настройки Коллектор и Трекер хабов в соответствии с адресами, на которых они развернуты.