Продукты: Indeed CM, Indeed AM 

Затрагиваемые компоненты: Enterprise SSO

Вопрос: Компоненты Indeed-Id (CM, ESSO, EA) работают только со своим контейнером в AD или могут работать с пользователями в других контейнерах (что для этого необходимо)?
Нужны ли компонентам Indeed-Id права на запись во всем AD или только в своем контейнере?

Ответ: Наши продукты хранят все данные, которые необходимы для работы системы (настройки и профили пользователей EA и SSO, аутентификаторы, информацию по смарт-картам CM и т.д.) в рамках собственного контейнера в Active Directory. Это данные, которые уже сформированы внутри наших систем.

Пользователи же, с которыми работают наши системы, могут располагаться в Active Directory в любом месте, а не обязательно в нашем контейнере.
Indeed EA и SSO работают со всеми пользователями в домене по умолчанию.
В Indeed CM необходимо указать место расположения каталога (каталогов) пользователей на этапе развертывания системы. Но в любом случае можно настроить системы на работу со всеми пользователями домена.

Для работы наших продуктов необходимы права на запись в рамках нашего контейнера с данными. В остальном нам нужны лишь права на чтение.
Исключение может составлять случай, когда средствами Indeed CM необходимо выполнять загрузку фотографии в профиль AD или выставление стандартной опции "Требовать вход по смарт-карте" (в этом случае должны быть права на запись в соответствующие атрибуты AD).