LDAP-Kopplung einstellen

AE stellt einen Mandanten zur Verfügung, der Anmeldedaten mittels LDAP über das Microsoft Active Directory oder Oracle Directory Server authentifiziert. Der Mandant ist Teil der AE. Bei der Anmeldung werden Benutzer nicht in der AE authentifiziert, sondern im Active Directory, wenn die LDAP-Kopplung im Benutzerobjekt aktiviert ist. Sie können LDAP-Daten über SSL synchronisieren.

Überblick

Standardmäßig ist die LDAP-Kopplung deaktiviert. Dies können Sie für jeden Benutzer in der Perspektive „Administration“ sehen. Aktivieren oder deaktivieren Sie es für einzelne Benutzer über den entsprechenden Befehl im Kontextmenü. Eine globale Einstellung aktiviert die LDAP-Kopplung für ein AE-System.

Eine LDAP-Anmeldung über die AE ist nur möglich, wenn das Passwort Zeichen der Code-Tabelle enthält, die Sie in Ihrer jeweiligen Datenbank verwenden.

SSL-Zertifikate importieren und installieren

Um einen Active Directory oder Oracle Directory Server mit LDAP über SSL nutzen zu können, müssen Sie einen Java-basierten Arbeitsprozess (JWP) verwenden können. Details zur Installation und zum Import der notwendigen Zertifikate finden Sie unter Installation des JWP.

1. Importieren Sie die Zertifikate, wie im Abschnitt zur JWP-Installation beschrieben.

2. Erstellen Sie eine Variable der LDAP-Kopplung mit den folgenden Einstellungen:

   VERSION = 2

   TLS = Y

   USE_DISTINGUISHED_NAME = Y

   SERVER = <hostname>:<sslport>

   Der Standardport für SSL ist 636.

3. Öffnen Sie das Benutzerobjekt, legen Sie den eindeutigen Namen (Distinguished Name) für den Benutzer fest und aktivieren Sie das Kontrollkästchen „LDAP-Kopplung“.

Aktivieren Sie die LDAP-Kopplung für Ihr AE-System

Öffnen Sie die Variable UC_SYSTEM_SETTINGS und geben Sie im Key „LDAP“ den Wert „Y“ ein. Mit dieser globalen Einstellung kann die LDAP-Kopplung von einem zentralen Punkt aus ein- und ausgeschaltet werden.

LDAP mit technischen Benutzerdaten synchronisieren

Sie können einen zusätzlichen technischen LDAP-Benutzer haben, der in der Lage wäre, eine LDAP-Synchronisierung durchzuführen, falls der aktuelle Benutzer nicht über die entsprechenden Berechtigungen verfügt.

Tipp: Wir empfehlen diese Methode im Gegensatz zur Lösung mit einzelnen Benutzerobjekten, da ein Benutzer im letzteren Fall nicht über die notwendigen Zugangsdaten verfügt und daher gezwungen wäre, sich vom System abzumelden und sich erneut anzumelden, um die Datensynchronisation zu ermöglichen.
Das An- und Abmelden ist nicht erforderlich, wenn die Lösung mit einem technischen Benutzer verwendet wird.

So legen Sie einen technischen Benutzer mit einem Login-Objekt an

• Erstellen Sie im Mandanten 0 ein Login-Objekt, das die spezifischen Benutzerdaten für die Verbindung zum LDAP-Server enthält. Es sollte nur eine Zeile enthalten, die die folgenden Informationen enthält:
• Agent / Name auf * setzen
• Typ auf LDAP setzen
• Geben Sie unter Benutzername / ID den Namen oder den Distinguished Name des Benutzers ein, der für die Kommunikation mit dem LDAP-Server verwendet werden soll.
• Geben Sie das Passwort des Benutzers im Feld Passwort ein.
• Registrieren Sie dieses Login-Objekt in der bereits vorhandenen UC_LDAP_Domänenvariablen mit dem Key SYNC_LOGIN.

• Überprüfen Sie, ob die Einstellung SYNC_LOGIN und das angegebene Login-Objekt korrekt konfiguriert sind, und gehen Sie wie folgt vor:
• Melden Sie sich am AWI mit einem Nicht-LDAP-Benutzer an.
• Öffnen oder erstellen Sie ein Benutzerobjekt, das einem LDAP-Benutzer entspricht.
• Stellen Sie sicher, dass die Option LDAP-Kopplung aktiviert ist.
• Klicken Sie auf Daten jetzt mit LDAP abgleichen.
• Wenn alles korrekt eingerichtet ist, wird der Distinguished Name des Benutzers automatisch vom LDAP-Server abgerufen.

Wenn der Key SYNC_LOGIN nicht in der Variable angegeben ist oder das Login-Objekt nicht existiert, gelten die Benutzerdaten des aktuellen Benutzers.

Ablauf bei Active Directory

Verbindungsdaten angeben

1. Melden Sie sich am Systemmandanten 0000 an.
2. Wechseln Sie in den Ordner „DIV_VARIABLES“ und duplizieren Sie die Variable UC_LDAP_EXAMPLE.  
3. Benennen Sie die Kopie „UC_LDAP_Domäne“. Wenn der Domänenname „SMITH“ ist, wird die Variable „UC_LDAP_SMITH“ genannt.
4. Öffnen Sie die Variable und geben Sie Ihre Verbindungsdaten ein.
5. Speichern und schließen Sie die Variable.

So richten Sie die LDAP-Kopplung in Benutzerobjekten ein

1. Das Benutzerobjekt muss den gleichen Namen wie der Benutzer im Active Directory haben, falls der Distinguished Name (DN) nicht verwendet wird. Der Name setzt sich aus dem Benutzernamen und der Domäne zusammen. Beispielsweise verwendet Herr Smith die Domäne „AE“. Er benötigt das Benutzerobjekt „SMITH/AE“. Erstellen Sie ein neues Benutzerobjekt für Sie selbst oder benennen Sie Ihr bestehendes um.
2. Öffnen Sie das Benutzerobjekt. Siehe Benutzer (USER).
3. Aktivieren Sie das Kontrollkästchen „LDAP-Kopplung“. Die Eingabefelder „Vorname“, „Nachname“ und „E-Mail1“ sind gesperrt, da ihr Inhalt durch die LDAP-Daten im Active Directory oder auf dem Oracle Directory Server gefüllt werden soll. Die gesperrten Felder werden beim Start der Synchronisation mit Daten vom jeweiligen Server gefüllt.
4. Testen Sie dies mit der Schaltfläche Daten jetzt mit LDAP abgleichen. Der Synchronisationsprozess funktioniert nur, wenn der ausführende Benutzer bereits über die LDAP-Kopplung synchronisiert wurde. Dazu müssen Sie das Automic Web Interface schließen und sich erneut anmelden.

Die im Benutzerobjekt gespeicherte Informationen werden nur bei der Anmeldung oder bei Verwendung der Schaltfläche Daten jetzt mit LDAP abgleichen aktualisiert. Es gibt keine automatische Synchronisation.

Ein Aus- und Wiedereinloggen zur Datensynchronisation ist nicht erforderlich, wenn die Lösung mit einem technischen Benutzer im speziellen Login-Objekt (Registrierung über SYNC_LOGIN in UC_LDAP_Domänenvariable) verwendet wird, wie vorstehend im Abschnitt „Allgemein“ beschrieben.

Wichtig! Die Person, die die Daten eines Benutzerobjekts mit LDAP synchronisiert, müsste auch ein LDAP-Benutzer sein, wenn die oben beschriebene Login-Objektlösung und der technische Benutzer nicht verwendet werden.

Das Active Directory verwendet nicht die zweite E-Mail-Adresse. Sie kann bei Bedarf verwendet werden.

5. Speichern und schließen Sie das Benutzerobjekt.
6. Wiederholen Sie alle Schritte für weitere Benutzer.

Ablauf bei Oracle Directory Server

Verbindungsdaten angeben

1. Melden Sie sich am Systemmandanten 0000 an.
2. Wechseln Sie in den Ordner „DIV_VARIABLES“ und duplizieren Sie die Variable UC_LDAP_EXAMPLE.
3. Die Namen der Benutzerobjekte setzen sich aus Name und Abteilung zusammen. Die Kopie der Variable kann in „UC_LDAP_Abteilung“ umbenannt werden. Für jede Abteilung wird eine zusätzliche Variable benötigt. Bei dieser Methode muss die Domäne im Key DOMAIN_ALIAS angegeben werden.
4. Öffnen Sie die Variable und geben Sie Ihre Verbindungsdaten ein.
5. Speichern und schließen Sie die Variable.

So richten Sie die LDAP-Kopplung in Benutzerobjekten ein

1. Das Benutzerobjekt muss den gleichen Namen wie der Distinguished Name des Benutzers haben.  Erstellen Sie ein neues Benutzerobjekt für Sie selbst oder benennen Sie Ihr bestehendes um.

Die Synchronisation von Daten funktioniert nur, wenn die „uid“ und der Name des Benutzerobjekts identisch sind. Beispiel: uid=nga, ou=people, dc=example,dc=com. Daher müsste das Benutzerobjekt NGA/ABTEILUNG heißen

2. Öffnen Sie das Benutzerobjekt. Siehe Benutzer (USER).
3. Aktivieren Sie das Kontrollkästchen „LDAP-Kopplung“. Die Eingabefelder „Vorname“, „Nachname“, „E-Mail1“ und „E-Mail2“ sind gesperrt, da ihr Inhalt durch die LDAP-Daten im jeweiligen Serververzeichnis gefüllt werden soll. Die gesperrten Felder werden beim Start der Synchronisation mit Daten vom Oracle Directory Server gefüllt.
4. Testen Sie dies mit der Schaltfläche Daten jetzt mit LDAP abgleichen. Der Synchronisationsprozess funktioniert nur, wenn der ausführende Benutzer bereits über die LDAP-Kopplung synchronisiert wurde. Dazu müssen Sie das Automic Web Interface schließen und sich erneut anmelden.

Die im Benutzerobjekt gespeicherte Informationen werden nur bei der Anmeldung oder bei Verwendung der Schaltfläche Daten jetzt mit LDAP abgleichen aktualisiert. Es gibt keine automatische Synchronisation.

Ein Aus- und Wiedereinloggen zur Datensynchronisation ist nicht erforderlich, wenn die Lösung mit einem technischen Benutzer im speziellen Login-Objekt (Registrierung über SYNC_LOGIN in UC_LDAP_Domänenvariable) verwendet wird, wie vorstehend im Abschnitt „Allgemein“ beschrieben.

Wichtig! Die Person, die die Daten eines Benutzerobjekts mit LDAP synchronisiert, müsste auch ein LDAP-Benutzer sein, wenn die oben beschriebene Login-Objektlösung und der technische Benutzer nicht verwendet werden.

5. Speichern und schließen Sie das Benutzerobjekt.
6. Wiederholen Sie alle Schritte für weitere Benutzer.

Hinweise:

• Externe Kennwortprüfungen Externe Kennwortprüfungen, die über den AE-Programmexit durchgeführt werden, werden vor der LDAP-Kopplung aufgerufen.

• Benutzerdaten werden während der Synchronisation mit dem LDAP-Serververzeichnis im Objekt gespeichert.

Siehe auch:

• Benutzer (USER)
• UC_LDAP_EXAMPLE