LDAP Sync-Mandanten-Einstellungen konfigurieren
Standardmäßig teilen sich alle Mandanten die gleiche Konfiguration (Standardkonfiguration gemäß LDAP Sync konfigurieren). Die Standardkonfiguration wird in der Datei defaults.xml gespeichert (siehe Konfigurationsdatei defaults.xml) und wird von der Datei LDAPSync.xml referenziert.
Sie können optionale Mandanten-Einstellungen für jeden Mandanten konfigurieren, der in der AE verwendet wird (siehe Konfigurationsdatei client_[client number].xml).
Wichtig! Die Synchronisation mit dem Mandanten 0 wird nicht unterstützt.
Diese Seite beinhaltet Folgendes:
Konfigurationsdateien
defaults.xml
Die Standardkonfiguration wird gespeichert in der Datei ./clients/defaults.xml. Sie können den Pfad und den Dateinamen im Element Clients der Datei LDAPSync.xml ändern.
client_[client number].xml
Sie können mandantenspezifische Mappings zwischen LDAP und AE/CDA -Benutzergruppen definieren, die in einer separaten Datei gespeichert werden müssen. Zum Beispiel client_10.xml
Hinweis: Wenn Sie keine Konfigurationsdateien für die Mandanten-Einstellung verwenden, müssen Sie die Mandanten beim Aufruf von LDAP Sync festlegen. Alle Einstellungen werden aus der Datei defaults.xml abgerufen.
Die Struktur ist die gleiche wie bei defaults.xml, aber alle Einstellungen sind optional.
Konfigurationselemente und ihre Attribute
Sie können alle Elemente und deren Attribute in allen Konfigurationsdateien verwenden (defaults.xml und client_[client number].xml).
Elemente
Wichtig! In der Datei defaults.xml sind alle Elemente erforderlich, während in der Mandanten-Konfiguration (client_[Mandantennummer].xml) alle Elemente optional sind.
-
Schema
Grundlegende LDAP-Schema-Einstellungen zur Einschränkung des LDAP-Baums
-
UserSchema
Benutzerspezifische LDAP-Schemaeinstellungen
-
GruppenSchema
Gruppenspezifische LDAP-Schema-Einstellungen
-
AE
AE-Einstellungen für die Mandantensynchronisierung (z. B. Mandantennummer)
-
Gruppenzuordnung
Zuordnungen zwischen der AE und LDAP-Gruppen
-
ARA
ARA-Einstellungen, falls erforderlich
Wichtig! Elemente werden nicht zusammengeführt. Wenn Sie Mandanten-Einstellungen verwenden, überschreibt die Einstellung in der Datei client_[Mandantennummer].xml alle Attribute für dieses Element von defaults.xml.
Beispiel
Unterschiedliche Konfiguration eines einzelnen Elements
Defaults.xml enthält die folgende Zuordnung:
<GroupMappings> <map ae="QA" ldap="g1" /> </GroupMappings>
client_10.xml enthält die folgende Zuordnung:
<GroupMappings> <map ae="DEV" ldap="g2" /> </GroupMappings>
Infolgedessen wird nur die Einstellung zur Gruppen-Zuordnung der Datei client_10.xml für die Synchronisation verwendet.
Schema-Attribute
Sie können einen Distinguished Name (DN) konfigurieren, der bei der Suche nach Benutzern oder Gruppen in LDAP verwendet werden soll.
-
baseDN
Der Root Distinguished Name (DN), der für die Suche in LDAP verwendet wird.
Beispiel:
- o=example,c=com
- cn=users,dc=ad,dc=example,dc=com
Typ: String
Obligatorisch: Ja
-
userDN
Wird bei der Suche nach Benutzern verwendet. Beschränkt die LDAP-Benutzersuche auf eine einzelne OU (OrganizationalUnit) zusätzlich zu baseDN.
Beispiel: ou=Users
Typ: String
Obligatorisch: Nein
-
groupDN
Wird bei der Suche nach Gruppen zusätzlich zu baseDN verwendet. Beschränkt die LDAP-Gruppensuche auf eine einzelne OU (OrganizationalUnit) zusätzlich zu baseDN.
Beispiel: ou=Groups
Typ: String
Obligatorisch: Nein
-
updateDn
Ob der DN aktualisiert wird oder nicht:
- Attributwert ist
true: DN des Benutzers wird aktualisiert - Der Attributwert ist nicht
true(falseoder leer oder ein anderer Wert): DN des Benutzers wird nicht aktualisiert. - Attribut ist nicht vorhanden: DN des Benutzers wird nicht aktualisiert
Typ: Boolean
Obligatorisch: Nein
- Attributwert ist
Beispiel
<Schema baseDN="DC=QA,DC=spoc,DC=global"
userDN=""
groupDN=""
updateDn="true"
/>
UserSchema-Attribute
UserSchema bietet die folgenden Einstellungen:
- Eine zusätzliche Filteroption (LDAP-Filterstring) bei der Suche nach Benutzern
- Einstellungen zur Attributzuordnung für Benutzer
Für die Arbeit mit AD sind Standardwerte eingestellt.
-
userFilter
Filter, der bei der Suche nach einem Benutzerobjekt verwendet wird.
Beispiel: (&(objectCategory=Person)(objectClass=user)(sAMAccountName=*))
Typ: String
Obligatorisch: Ja
Standard (AD): (&(objectCategory=person)(objectClass=user)(sAMAccountName=*))
-
userNameAttribute
Attributfeld, das für das Laden des Benutzernamens verwendet wird.
Beispiel: cn
Typ: String
Obligatorisch: Ja
Standard (AD): sAMAccountName
-
userFirstNameAttribute
Das Attributfeld, das zum Laden des Vornamens des Benutzers verwendet wird.
Typ: String
Obligatorisch: Ja
Standard (AD): givenName
-
userLastNameAttribute
Das Attributfeld, das zum Laden des Nachnamens des Benutzers verwendet wird.
Typ: String
Obligatorisch: Ja
Standard (AD): sn
-
userEmailAttribute
Das Attributfeld, das zum Laden der E-Mail des Benutzers verwendet wird
Typ: String
Obligatorisch: Ja
Standard (AD): mail
Beispiel
<UserSchema userFilter="(&(objectCategory=person)
(objectClass=user)(sAMAccountName=*))" userNameAttribute="sAMAccountName" userFirstNameAttribute="givenName" userLastNameAttribute="sn" userEmailAttribute="mail" />
GruppenSchema-Attribute
GruppenSchema bietet die folgenden Einstellungen:
- Eine zusätzliche Filteroption (LDAP-Filterstring) bei der Suche nach Gruppen
- Attributzuordnungseinstellungen für Gruppen
Attribute:
-
groupFilter
Der Filter, der für die Suche nach Gruppenobjekten verwendet wird.
Beispiel: (objectClass=group)
Typ: String
Obligatorisch: Ja
Standard (AD): (objectClass=group)
-
groupNameAttribute
Das Attributfeld, das zum Laden oder Suchen nach dem Namen der Gruppe verwendet wird.
Typ: String
Obligatorisch: Ja
Standard (AD): CN
Beispiel
<GroupSchema groupFilter="(objectClass=group)"
groupNameAttribute="cn"
/>
AE Attribute
-
userDomain
Die Domäne (LDAP) / Abteilung (AE) für den Benutzer - nur AE /LDAP-Benutzer mit dieser Abteilung / Domäne werden synchronisiert.
Hinweis: Typischerweise ist das letzte dc= Teil der DN, aber nicht immer für AD.
Typ: String
Obligatorisch: Ja
Standard: -
-
autoDeactivateUsers
Aktiviert/deaktiviert die Deaktivierung der AE
- true:LDAP Syncdeaktiviert AE-Benutzerobjekte, die nicht im Verzeichnis innerhalb der angegebenen Domäne und des Suchfilters gefunden werden können.
- False: LDAP Sync ändert nicht den aktiven Zustand des Benutzerobjekts in der AE. Das Entfernen eines Benutzers aus LDAP löscht oder deaktiviert das Benutzerobjekt in der AE nicht, aber der Benutzer kann sich nicht mehr in der AE anmelden, da die Authentifizierung für LDAP erfolgt.
Typ: Boolean
Obligatorisch: Ja
Standard: false
Gruppenzuordnung-Attribute
Gruppenzuordnungen definieren die Zuordnung zwischen LDAP-Gruppen und AE-Benutzergruppen. Sie haben dafür zwei Möglichkeiten:
- Option 1
Durch Festlegen eines statischen VARA-Objekts wie UC_LDAP_MAPPING_1000 im AE-Mandant 0 (für alle Mandanten), das die Gruppenzuordnungen enthält. Sie definieren die AE-Benutzergruppe im Feld Schlüssel dieses VARA-Objekts, die LDAP-Benutzergruppe(n) im Feld Wert 1.Wichtig!
- Sie können die AE-Benutzergruppe einer oder mehreren LDAP-Gruppen zuordnen. Wenn Sie mehr als eine LDAP-Benutzergruppe angeben, trennen Sie sie jeweils mit einem Komma (,).
- Die VARA-Objektinhalte dürfen nicht länger als 1023 Zeichen sein, daher können Sie Gruppen mit langen Namen oder vielen Gruppen nicht zuordnen.
- Option 2
Durch die Verwendung der XML-Konfigurationsdateien für Standard- und Mandanten-Einstellungen.Tipp: Wenn Ihre Datei client.xml auf mehreren Servern gespeichert ist und/oder wenn die Gruppenzuordnung sehr häufig übernommen werden muss, sollten Sie in Betracht ziehen, ein VARA-Objekt zu verwenden, da es keinen Zugriff auf den AE-Server benötigt.
Attribut:
-
readFromVaraObject
Bei Option 1 ist der im AE-Mandanten 0 gespeicherte VARA-Objektname anzugeben.
Für Option 2 (wenn Sie kein VARA-Objekt angeben) lassen Sie das Feld leer oder verwenden Sie das Element Gruppenzuordnung nicht.
Wichtig! Wenn Sie kein VARA-Objekt angeben, müssen Sie mindestens ein untergeordnetes Element vom Typ „map“ angeben.
Typ: String
Obligatorisch: Nein
Beispiel
<GroupMappings readFromVaraObject="UC_LDAP_MAPPING_1000" />
AE Objekt VARA.STATIC:
VARA.STATIC wird zur Speicherung und Verwaltung der Gruppenzuordnungen der AE zu verwendet.LDAP
Map-Element
Im Map-Element definieren Sie die Zuordnung zwischen AE-Benutzergruppen und einer LDAP-Gruppen.
-
AE
Name der AE-Benutzergruppe
Typ: String
Obligatorisch: Ja
-
ldap
Namen der LDAP-Gruppen, die der AE-Gruppe zugeordnet sind.
Hinweis: Mehrere LDAP-Gruppennamen werden durch ein Komma getrennt.
Beispiel: Admin, SuperAdmin
Typ: String
Obligatorisch: Ja
Beispiel (XML-Konfiguration)
<GroupMappings >
<map AE="Administrator" ldap="AUTOMIC.offerings.admin" />
<map AE="User" ldap="AUTOMIC.offerings.user" />
</GroupMappings>
CDA Attribute
Sie können die CDA-Synchronisation aktivieren und dann die Verbindung zu der zu synchronisierenden CDA-Instanz konfigurieren.
-
aktiviert
Werte:
- True: CDA-Synchronisation ist aktiviert
- false: CDA-Synchronisation ist deaktiviert
Typ: Boolean
Obligatorisch: Ja
-
url
URL für die CDA-Instanz, die mit dem AE-Mandanten verbunden ist.
Typ: String
Obligatorisch: Ja, wenn CDA aktiviert ist
-
Benutzername
Benutzername des CDA-Benutzers mit Berechtigung zum Anlegen und Bearbeiten von Benutzern in CDA.
Typ: String
Obligatorisch: Ja, wenn CDA aktiviert ist
-
Passwort
Passwort für den CDA-Benutzer, der zur Verwaltung von CDA-Benutzern in verwendet wird.
Hinweis: Sie geben Ihr Passwort als Klartext ein bzw. ändern es als Klartext. Es wird beim nächsten Synchronisationslauf verschlüsselt und als verschlüsseltes Passwort in der Konfigurationsdatei gespeichert.
Typ: String
Obligatorisch: Ja, wenn CDA aktiviert ist
Beispiel: CDA Deaktiviert
<ARA enabled="false" />
Beispiel: CDA Aktiviert
<ARA enabled="true"
url="http://localhost:5555"
username="AE/1000/AUTOMIC/AUTOMIC"
password="automic"
/>
Beispiel 1: defaults.xml
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
<Schema baseDN="DC=sbb01,DC=spoc,DC=global"
userDN=""
groupDN="" />
<UserSchema userFilter="(&(objectCategory=person)
(objectClass=user)(sAMAccountName=*))"
userNameAttribute="sAMAccountName"
userFirstNameAttribute="givenName"
userLastNameAttribute="sn"
userEmailAttribute="mail" />
<GroupSchema groupFilter="(objectClass=group)"
groupNameAttribute="cn" />
<AE userDomain="sbb01"
autoDeactivateUsers="false" />
<GroupMappings >
<map AE="Administrator" ldap="AUTOMIC.offerings.admin" />
<map AE="User" ldap="AUTOMIC.offerings.user" />
</GroupMappings>
<ARA enabled="false"/>
</Configuration>
Beispiel 2: Minimale client_[client number].xml, um die Synchronisation mit Standardwerten zu aktivieren
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
<!-- Dies aktiviert nur die Synchronisierung für diesen Client
mit Standardeinstellungen von./defaults.xml -->
</Configuration>
Beispiel 3: client_[client number].xml zum Aktivieren der Synchronisierung mit Domäne AUTOMIC
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
<!-- Dies aktiviert nur die Synchronisierung für diesen Client
mit Standardeinstellungen von./defaults.xml -->
<!-- Hier wechseln wir die Domain für diesen Mandanten
to AUTOMIC, alle anderen Einstellungen bleiben gleich-->
<Schema baseDN="DC=AUTOMIC,DC=spoc,DC=global"
userDN=""
groupDN="" />
<AE userDomain="AUTOMIC"
autoDeactivateUsers="false" />
</Configuration>