Общая схема работы модуля описывается следующей последовательностью действий:

1. Пользователь проходит авторизацию в системе Bitrix Framework (вводится логин и пароль, используемые пользователем для авторизации в корпоративной сети);
2. Система обращается к указанному в настройках AD/LDAP серверу и проверяет наличие пользователя с указанными данными (паролем и логином) в базе пользователей на корпоративном сервере:
   • если пользователя с такими данными в корпоративной сети не существует Если пользователь Bitrix Framework, принадлежащий группе (одной или нескольким) из таблицы соответствий, будет удален из списка пользователей корпоративной сети, то при попытке получить доступ к ресурсам Bitrix Framework он получит отказ в авторизации. При этом аккаунт этого пользователя будет сохранен в системе Bitrix Framework.
     
     Чтобы разрешить такому пользователю авторизацию в продуктах «1С-Битрикс» через стандартный интерфейс, в настройках данного пользователя в административном разделе продукта нужно установить значение поля со списком Тип авторизации равным Внутренняя проверка и обновить регистрационную информацию (логин и пароль). , то система запрещает вход;
   • если пользователь существует, то определяется группа пользователей корпоративной сети если в AD дереве существует N-доменов (например, соответствуют подразделениям компании OD1, OD2…) и в этих доменах есть группы с одинаковыми именами, то в Таблице соответствий эти группы будут отображены N-раз. Для избегания путаницы в настройках AD/LDAP сервера можно поменять Атрибут названия группы, указав, например, DistinguishedName (DN). В итоге вместо названий групп будут отображены DN групп. , к которой он относится, и сопоставленная ей группа пользователей Bitrix Framework (с помощью таблицы соответствий).
3. Далее проверяется наличие аккаунта пользователя Если при выгрузке пользователей из AD оказывается, что логин выгружаемого пользователя совпадает с логином пользователя, созданного в Bitrix Framework уже ранее, то такой пользователь будет создан в системе, в добавок к уже существующему. Логины будут совпадать, но его привязка будет конкретно к AD.
   В таком случае (совпадение логинов) при авторизации сначала будет произведена попытка авторизовать пользователя через AD (используя логин и пароль, которые привязаны к AD) и только если она оказалась безуспешной (ошибка при авторизации), то будет уже произведена попытка авторизации под внутренним пользователем (логин и пароль пользователя, созданного вручную в системе). в системе:
   • если аккаунт не найден, то система получает данные о пользователе из базы данных корпоративного сервера и создает его аккаунт;
   • если аккаунт в системе уже был создан, т. е. пользователь уже авторизовался в Bitrix Framework, то система проверяет, были ли выполнены какие-либо изменения в профиле пользователя на корпоративном сервере. Если да, то соответствующие изменения выполняются и с профилем пользователя в Bitrix Framework.
4. Пользователь получает разрешение на доступ к ресурсам Bitrix Framework и авторизуется. Права пользователя определяются в зависимости от настроек группы пользователей Bitrix Framework, к которой он был приписан.