Интеграция CUBA-приложения c LDAP позволяет решить две задачи:

В режиме интеграции с LDAP пользователи по прежнему должны иметь учетную запись в приложении. Все разрешения и параметры пользователя (кроме пароля) хранятся в БД приложения, LDAP используется только для аутентификации, т.е. проверки имени и пароля. Пароль в приложении для большинства пользователей, за исключением тех кому требуется стандартная аутентификация (см. ниже), рекомендуется не задавать вообще. Поле пароля в экране редактирования пользователя не является обязательным к заполнению если свойство cuba.web.externalAuthentication установлено в true.

Если логин пользователя перечислен в свойстве приложения cuba.web.standardAuthenticationUsers, то он всегда аутентифицируется обычным способом через хранимый в базе данных приложения хэш пароля. Поэтому если для некоторого пользователя из данного списка пароль в приложении задан, он сможет войти в систему с этим паролем, если в LDAP такого пользователя нет.

Взаимодействие CUBA-приложения с LDAP осуществляется через интерфейс CubaAuthProvider. Платформа содержит единственную реализацию данного интерфейса - LdapAuthProvider, предназначенную для решения первой задачи.

Для расширенной интеграции с Active Directory и обеспечения Single Sign-On для пользователей домена Windows можно использовать библиотеку Jespa и соответствующую имплементацию CubaAuthProvider, которая описана в Интеграция с Active Directory с использованием Jespa.

При необходимости можно также создать собственный класс имплементации CubaAuthProvider и использовать его, установив следующие свойства приложения: