1C + LDAP = ?

примеры для толстого клиента, иба для 8.2 уже не особо актуально

/
// ADODB_Connection.Properties:
//
// "Password" ,
// "User ID" ,
// "Encrypt Password" ,
// "Integrated Security" ,
// "Data Source" ,
// "Location" ,
// "Extended Properties" ,
// "Connect Timeout" ,
// "Prompt" Строка ,
// "Window Handle" ,
// "Mode" ,
// "Bind Flags" ,
// "ADSI Flag" ,
//
// Получить свойства ADODB_Connection.Properties можно так
//
// Для каждого item Из ADODB_Connection.Properties Цикл
// мItemNameProperties.Добавить(item.Name);
// КонецЦикла;
//
// Замечание:
// На форме авторизации есть страница "СтраницаДоступ" где можно указать доменные логин/пароль по которым возможно соединение по LDAP к AD.
// Эта страница доступна только для пользователя с полными правами, при модификации логина/пароля этого пользователя - модифицированные данные
// запишутся в константы LDAP_Disable_Anonymous, SuperUser, SuperUserPWD.
//
Функция ПолучитьДанныеПользователя_AD_In_LDAP(LDAP_Disable_Anonymous, AD_Domain_DC, AD_Array_Name_Attributes, LDAP_StartingPoint, LDAP_Filter) Экспорт

// Настройка соединения <ADODB.Connection>
ADODB_Connection = Новый COMОбъект("ADODB.Connection");
ADODB_Connection.Provider = "ADsDSOObject";
Если LDAP_Disable_Anonymous Тогда
ADS_SECURE_AUTHENTICATION = 1; // Позволяет читать данные, когда не разрешен анонимный доступ
ADODB_Connection.Properties("User ID" ).Value = AD_Domain_DC+"\"+Константы.SuperUser.Получить();
ADODB_Connection.Properties("Password" ).Value = Константы.SuperUserPWD.Получить();
ADODB_Connection.Properties("ADSI Flag").Value = ADS_SECURE_AUTHENTICATION;
Иначе
; // Ничего не делаем, т.к. провайдер LDAP при анонимном доступе не требует логин/пароль по которым возможно соединение по LDAP
КонецЕсли;
ADODB_Connection.Open("Active Directory Provider");

// Наcтройка свойств <ADODB.Command>
// ADS_SCOPE_SUBTREE = 2
ADODB_Command = Новый COMОбъект("ADODB.Command");
ADODB_Command.ActiveConnection =ADODB_Connection;
ADODB_Command.Properties("Page Size").Value = 1000;
ADODB_Command.Properties("Timeout").Value = 30;
ADODB_Command.Properties("Cache Results").Value = Ложь;
//ADODB_Command.Properties("Searchscope") = ADS_SCOPE_SUBTREE;

// Инициализация строки атрибутов для передачи в запрос по AD
Count_Attributes = AD_Array_Name_Attributes.Количество(); String_Attributes = "";
Для Инд = 0 По AD_Array_Name_Attributes.ВГраница() Цикл
String_Attributes = String_Attributes + AD_Array_Name_Attributes[Инд] + ?(Инд + 1 = Count_Attributes, "", ",");
КонецЦикла;

// Формирование текста запроса ADODB_Command
CommandText = "<LDAP://" +LDAP_StartingPoint+ ">;" +LDAP_Filter+ ";" +String_Attributes+ ";subtree";

// Выполнение запроса ADODB_Command
ADODB_Command.CommandText = CommandText;
Попытка
Selection_ADODB = ADODB_Command.Execute();
Исключение
Предупреждение(ОписаниеОшибки() + Символы.ПС + " Администратору приложения необходимо установить параметры доступа по LDAP", 120);
Возврат Новый ТаблицаЗначений;
КонецПопытки;

// Создание колонок таблицы в которую будут помещены результаты запроса
Тз = Новый ТаблицаЗначений;
Для Каждого ЭлементМассива Из AD_Array_Name_Attributes Цикл
Тз.Колонки.Добавить(ЭлементМассива);
КонецЦикла;

// Заполнение таблицы по результатам запроса
Пока Не Selection_ADODB.EOF Цикл
НоваяСтрока = Тз.Добавить();
Для Каждого ЭлементМассива Из AD_Array_Name_Attributes Цикл
НоваяСтрока[ЭлементМассива] = Selection_ADODB.Fields(ЭлементМассива).Value;
КонецЦикла;
Selection_ADODB.MoveNext();
КонецЦикла;

// Закрытие соединений
Selection_ADODB.Close();
ADODB_Connection.Close();

Возврат Тз;

КонецФункции

//
// Комментарии в методе приведены для примера, когда у нас ADUnits.Количество()=2, где: ADUnits[0]="1C" и ADUnits[0]="NA",
// имя выбранного домена "consalt.ru" и имя(доменный логин) пользователя "Test1C" .
// Первый юнит - это корень AD для приложений 1С соответствующего домена;
// Воторой юнит - это ветка в первом юните относительно приложения "NA" (Необоротные активы);
//
// Отметим, что пользователи могут зайти в приложение оносительно любого домена, но при выполнении следующих условий...
// 1. В выбранном домене пользователь существует и подтвердил свой пароль;
// 2. В выбранном домене есть юниты 1C>>NA>> и >> "Группы входимости"
// 3. Пользователь член хотя бы одной из этих групп;
// 4. Для хотя бы одной из найденных для пользователя групп AD в юнитах 1C>>NA>> сопоставлена Роль1С.
//
// Комментарии в теле метода даны оносительно данных представленого тут примера.
//
Функция ПолучитьДанныеПользователя_AD_In_LDAP(Логин)

// Получим булево значение: сервер LDAP запрещает анонимный доступ
LDAP_Disable_Anonymous = Константы.LDAP_Disable_Anonymous.Получить();

// Получим имена выбранного пользователем домена и логина(в форме они могут быть набраны как \\CONSALT, CONSALT.RU, \\CONSALT\TEST1C).
AD_Domain_DC = AD_Параметры.Получить("AD_Domain_DC"); // "CONSALT"
AD_Domain_distinguishedName = AD_Параметры.Получить("AD_Domain_distinguishedName"); // "DC=consalt,DC=ru"
AD_User_sAMAccountName = AD_Client.Получить_AD_User_sAMAccountName(Логин); // "TEST1C"

// Получим массив имен атрибутов доменного пользователя, значения которых необходимо получить.
AD_Array_Name_Attributes = Новый Массив;
AD_Array_Name_Attributes.Добавить("distinguishedName"); // Отличительное (характерное) имя пользователя, например, "CN=Иван И. Иванов,OU=Служба АСУ,OU=УТСиАСУ,DC=consalt,DC=ru"
AD_Array_Name_Attributes.Добавить("cn"); // Наименование доменного пользователя, как он "видит" себя в ОС.

// Получим LDAP_StartingPoint провайдера LDAP.
LDAP_StartingPoint = AD_Domain_distinguishedName;

// Получим фильтр для позиционирования на запись пользователя в AD по выбранному логину.
LDAP_Filter = "(&(objectCategory=person)(objectClass=user)(sAMAccountName="+AD_User_sAMAccountName+"))"; // objectCategory и objectClass ускорят чтение

// Получим данные из AD
ТзДанныеАД = AD_Client.ПолучитьДанныеПользователя_AD_In_LDAP(LDAP_Disable_Anonymous, AD_Domain_DC, AD_Array_Name_Attributes, LDAP_StartingPoint, LDAP_Filter);
Если ТзДанныеАД.Количество() = 0 Тогда
AD_Параметры.Вставить("УспешнаяАвторизация", Ложь);
Возврат Ложь;
КонецЕсли;

// Вставим полученные данные в соответствие как строковые параметры, которое "видит" ЭтаФорма и методы глобальных модулей на "Клиенте/Сервере".
AD_User_distinguishedName = ТзДанныеАД[0].distinguishedName;
AD_Параметры.Вставить("AD_User_distinguishedName", AD_User_distinguishedName);
AD_Параметры.Вставить("AD_User_Сn" , ТзДанныеАД[0].cn);
AD_Параметры.Вставить("ИмяПользователяИБ" , AD_Domain_DC+"\"+AD_User_sAMAccountName);

// Получим массив имен атрибутов групп, значения которых необходимо получить из прочитанных групп AD.
AD_Array_Name_Attributes = Новый Массив;
AD_Array_Name_Attributes.Добавить("cn");

// Получим характерное имя сокращенной формы строки связывания провайдера LDAP для чтения групп входимости доменного пользователя.
LDAP_StartingPoint = AD_Client.ПолучитьADUnits(Истина, Истина)+ "," + LDAP_StartingPoint; // "OU=NA,OU=1C,DC=consalt,DC=ru"

// Получим фильтр для позиционирования на группы пользователя в иерархии LDAP_StartingPoint
LDAP_Filter = "(&(objectCategory=group)(member="+AD_User_distinguishedName+"))";

// Получим данные из AD
ТзДанныеАД = AD_Client.ПолучитьДанныеПользователя_AD_In_LDAP(LDAP_Disable_Anonymous, AD_Domain_DC, AD_Array_Name_Attributes, LDAP_StartingPoint, LDAP_Filter);

// Вставим полученные данные в соответствие как ТаблицуЗначений.
// В дальнейшем эти параметры с клиента передаются на сервер для модификации прав/ролей ПользователяИБ. При передаче на сервер нужно удалять мутабельные параметры.
// Таким образом, значение по ключу "AD_User_Groups" нужно выделять в отдельный массив примитивных типов и удалять как элемент соответствия из AD_Параметры.
// Но тут(на клиенте) мы получаем его в таблицу значений, т.к. теоретически мы может читать из AD какие угодно атрибуты, добавив элементы в AD_Array_Name_Attributes.
AD_Параметры.Вставить("AD_User_Groups", ТзДанныеАД);

Возврат Истина; // Возврат необходим для проверки SuperUser в случае запрета анонимного доступа.

КонецФункции