Mandanten-Einstellungen konfigurieren

Standardmäßig teilen sich alle Mandanten die gleiche Konfiguration (Standardkonfiguration gemäß LDAP Sync konfigurieren). Die Standardkonfiguration ist im Verzeichnis defaults.xml (siehe Konfigurationsdatei defaults.xml) abgelegt und wird von LDAPSync.xml (siehe LDAP Sync konfigurieren) referenziert.

Sie können optionale Mandanten-Einstellungen für jeden Mandanten konfigurieren, der in der AE verwendet wird (siehe Konfigurationsdatei client_[client number].xml).

Wichtig! Die Synchronisation mit dem Mandanten 0 wird nicht unterstützt.

Dieses Thema beinhaltet Folgendes:

Konfigurationsdateien

defaults.xml

Die Standardkonfiguration wird gespeichert unter ./clients/defaults.xml. Bei Bedarf können Sie den Pfad und Dateinamen im Mandanten-Element in LDAPSync.xml ändern.

client_[client number].xml

Sie können mandantenspezifische Mappings zwischen LDAP und AE/ARA-Benutzergruppen definieren, die in einer separaten Datei gespeichert werden müssen. Z. B. client_10.xml

Hinweis: Wenn Sie keine Konfigurationsdateien für die Mandanten-Einstellung verwenden, müssen Sie die Mandanten beim Aufruf der LDAP Sync festlegen. Alle Einstellungen werden von defaults.xml übernommen.

Die Struktur ist die gleiche wie bei defaults.xml, aber alle Einstellungen sind optional.

Konfigurationselemente und ihre Attribute

Sie können alle Elemente und deren Attribute in allen Konfigurationsdateien verwenden (defaults.xml und client_[client number].xml).

Elemente

Beachten Sie, dass für defaults.xml alle Elemente benötigt werden, während für die Mandanten-Konfiguration (client_[client number].xml) alle Elemente optional sind.

Element	Erforderlich	Beschreibung
Schema	Ja	Grundlegende LDAP-Schema-Einstellungen zur Einschränkung des LDAP-Baums
UserSchema	Ja	Benutzerspezifische LDAP-Schema-Einstellungen
GruppenSchema	Ja	Gruppenspezifische LDAP-Schema-Einstellungen
AE	Ja	AE-Einstellungen für die Mandanten-Synchronisation (Mandantennummer, ....)
Gruppenzuordnung	Ja	Zuordnungen zwischen AE und LDAP-Gruppen
ARA	Ja	ARA-Einstellungen, falls erforderlich

Wichtig! Elemente werden nicht zusammengeführt. Wenn Sie Mandanten-Einstellungen verwenden, überschreibt die Einstellung in der Datei client_[client number].xml alle Attribute für dieses Element von defaults.xml.

Beispiel

Unterschiedliche Konfiguration eines einzelnen Elements

defaults.xml enthält die folgende Zuordnung:

<GroupMappings>
   <map AE="QA" ldap="g1" />
</GroupMappings>

client_10.xml enthält die folgende Zuordnung:

<GroupMappings>
   <map AE="DEV" ldap="g2" />
</GroupMappings>

Infolgedessen wird nur die Einstellung zur Gruppen-Zuordnung der Datei client_10.xml für die Synchronisation verwendet.

Schema-Attribute

Sie können den Distinguish Name (DN) für die Suche nach Benutzern oder Gruppen im LDAP konfigurieren.

Attribut	Typ	Erforderlich	Beschreibung
baseDN	Zeichenfolge	Ja	Der Root Distinguished Name (DN), der für die Suche gegen LDAP verwendet wird Beispiel: o=example,c=com cn=users,dc=ad,dc=example,dc=com
userDN	Zeichenfolge	Nein	Wird bei der Suche nach Benutzern verwendet. Beschränkt die LDAP-Benutzersuche auf eine einzelne OU (zusätzlich zu baseDN) Beispiel: ou=Users
groupDN	Zeichenfolge	Nein	Wird bei der Suche nach Gruppen verwendet. Zusätzlich zum Base DN. Beschränkt die LDAP-Gruppensuche auf eine einzelne OU (zusätzlich zu baseDN) Beispiel: ou=Gruppen
updateDn	Boolean	Nein	Ob der DN aktualisiert wird oder nicht: Attributwert ist `true`: DN des Benutzers wird aktualisiert Attributwert ist nicht `true` (es ist `false` oder leer oder ein anderer Wert): DN des Benutzers wird nicht aktualisiert Attribut ist nicht vorhanden: DN des Benutzers wird nicht aktualisiert

Beispiel

<Schema baseDN="DC=QA,DC=spoc,DC=global"
        userDN=""
        groupDN="" 
        updateDn="true"
/>

UserSchema-Attribute

UserSchema bietet die folgenden Einstellungen:

Eine zusätzliche Filteroption (LDAP-Filterstring) bei der Suche nach Benutzern
Einstellungen zur Attributzuordnung für Benutzer

Für die Arbeit mit AD sind Standardwerte eingestellt.

Attribut	Typ	Erforderlich	Standard (AD)	Beschreibung
userFilter	Zeichenfolge	Ja	(&(objectCategory=person)(objectClass=user)(sAMAccountName=*))	Filter, der bei der Suche nach einem Benutzerobjekt verwendet wird. Beispiel: (&(objectCategory=Person)(objectClass=user)(sAMAccountName=*))
userNameAttribut	Zeichenfolge	Ja	sAMAccountName	Attributfeld, das für das Laden des Benutzernamens verwendet wird. Beispiel: cn,
userFirstNameAttribut	Zeichenfolge	Ja	givenName	Das Attributfeld, das zum Laden des Vornamens des Benutzers verwendet wird.
userLastNameAttribut	Zeichenfolge	Ja	sn	Das Attributfeld, das zum Laden des Nachnamens des Benutzers verwendet wird.
userEmailAttribut	Zeichenfolge	Ja	mail	Das Attributfeld, das zum Laden der E-Mail des Benutzers verwendet wird

Beispiel

<UserSchema userFilter="(&(objectCategory=person)
                        (objectClass=user)(sAMAccountName=*))"
            userNameAttribute="sAMAccountName"
            userFirstNameAttribute="givenName"
            userLastNameAttribute="sn"
            userEmailAttribute="mail"
/>

GruppenSchema-Attribute

GruppenSchema bietet die folgenden Einstellungen:

Eine zusätzliche Filteroption (LDAP-Filterstring) bei der Suche nach Gruppen
Attributzuordnungseinstellungen für Gruppen

Attribut	Typ	Erforderlich	Standard (AD)	Beschreibung
groupFilter	Zeichenfolge	Ja	(objectClass=group)	Der Filter, der für die Suche nach Gruppenobjekten verwendet wird. Beispiel: (objectClass=group)
groupNameAttribute	Zeichenfolge	Ja	cn	Das Attributfeld, das zum Laden oder Suchen nach dem Namen der Gruppe verwendet wird. Beispiel: cn

Attribut

Typ

Erforderlich

Standard (AD)

Beschreibung

groupFilter

Zeichenfolge

(objectClass=group)

Der Filter, der für die Suche nach Gruppenobjekten verwendet wird.

Beispiel: (objectClass=group)

groupNameAttribute

Zeichenfolge

Das Attributfeld, das zum Laden oder Suchen nach dem Namen der Gruppe verwendet wird.

Beispiel: cn

Beispiel

<GroupSchema groupFilter="(objectClass=group)"
             groupNameAttribute="cn"
/>

AE Attribute

Attribut	Typ	Erforderlich	Standardwert	Beschreibung
userDomain	Zeichenfolge	Ja		Die Domäne (LDAP) / Abteilung (AE) für den Benutzer - nur AE /LDAP-Benutzer mit dieser Abteilung / Domäne werden synchronisiert. Hinweis: Typischerweise der letzte dc= Teil der Base dn, aber nicht immer für AD.
autoDeactivateUsers	Boolean	Nein	falsch	Aktiviert/deaktiviert die Deaktivierung der AE-Benutzerobjekten wie folgt: true:LDAP Sync aktiviert / deaktiviert Benutzerobjekte, die innerhalb der angegebenen Domain und des Suchfilters gefunden werden können / nicht gefunden werden können false: LDAP Sync ändert nicht den aktiven Zustand des Benutzerobjekts in der AE. Das Entfernen eines Benutzers aus LDAP löscht oder deaktiviert das Benutzerobjekt in der AEnicht, aber der Benutzer kann sich nicht mehr in der AE anmelden, da die Authentifizierung gegen LDAP erfolgt.

Attribut

Typ

Erforderlich

Standardwert

Beschreibung

userDomain

Zeichenfolge

Die Domäne (LDAP) / Abteilung (AE) für den Benutzer - nur AE /LDAP-Benutzer mit dieser Abteilung / Domäne werden synchronisiert.

Hinweis: Typischerweise der letzte dc= Teil der Base dn, aber nicht immer für AD.

autoDeactivateUsers

Boolean

Nein

falsch

Aktiviert/deaktiviert die Deaktivierung der AE-Benutzerobjekten wie folgt:

true:LDAP Sync aktiviert / deaktiviert Benutzerobjekte, die innerhalb der angegebenen Domain und des Suchfilters gefunden werden können / nicht gefunden werden können
false: LDAP Sync ändert nicht den aktiven Zustand des Benutzerobjekts in der AE. Das Entfernen eines Benutzers aus LDAP löscht oder deaktiviert das Benutzerobjekt in der AEnicht, aber der Benutzer kann sich nicht mehr in der AE anmelden, da die Authentifizierung gegen LDAP erfolgt.

Gruppenzuordnung-Attribute

Gruppenzuordnungen definieren die Zuordnung zwischen LDAP-Gruppen und AE-Benutzergruppen. Sie haben dafür zwei Möglichkeiten:

Option 1: Durch Setzen eines VARA-Objektnamens in der AE im Mandanten 0, der die Gruppenzuordnungen enthält
Option 2: Durch die Verwendung der XML-Konfigurationsdateien für Standard- und Mandanten-Einstellungen

Attribut	Typ	Erforderlich	Standardwert	Beschreibung
readFromVaraObject	Zeichenfolge	Nein		Bei Option 1 ist der im AE Mandanten 0 gespeicherte VARA-Objektname anzugeben. Für Option 2 (wenn Sie kein VARA-Objekt angeben) lassen Sie das Feld leer oder verwenden Sie das Element Gruppenzuordnung nicht. Wichtig! Der Inhalt des VARA-Objekts darf 1023 Zeichen nicht überschreiten. Wenn Sie kein VARA-Objekt angeben, müssen Sie mindestens ein untergeordnetes Element vom Typ „map“ angeben.

Attribut

Typ

Erforderlich

Standardwert

Beschreibung

readFromVaraObject

Zeichenfolge

Nein

Bei Option 1 ist der im AE Mandanten 0 gespeicherte VARA-Objektname anzugeben.

Für Option 2 (wenn Sie kein VARA-Objekt angeben) lassen Sie das Feld leer oder verwenden Sie das Element Gruppenzuordnung nicht.

Wichtig! Der Inhalt des VARA-Objekts darf 1023 Zeichen nicht überschreiten. Wenn Sie kein VARA-Objekt angeben, müssen Sie mindestens ein untergeordnetes Element vom Typ „map“ angeben.

Hinweis: Sie können die AE-Benutzergruppe einer oder mehreren LDAP-Gruppen zuordnen. Wenn Sie mehr als eine LDAP-Gruppe für eine AE-Benutzergruppe angeben, werden die Mitglieder aller dieser Gruppen zusammengefasst (Gruppen mit OR kombinieren).

Beispiel

<GroupMappings readFromVaraObject="UC_LDAP_MAPPING_1000" />

AE Objekt VARA.STATIC:

VARA.STATIC wird zur Speicherung und Verwaltung der Gruppenzuordnungen der AE zu LDAP verwendet.

Map-Element

Im Map-Element definieren Sie die Zuordnung zwischen AE-Benutzergruppen und einer LDAP-Gruppe.

Attribut	Typ	Erforderlich	Standardwert	Beschreibung
AE	Zeichenfolge	JA		Name der AE-Benutzergruppe
ldap	Zeichenfolge	JA		Namen der LDAP-Gruppen, die der AE-Gruppe zugeordnet sind. Hinweis: Mehrere LDAP-Gruppennamen werden durch ein Komma getrennt. Beispiel: Admin, SuperAdmin

Attribut

Typ

Erforderlich

Standardwert

Beschreibung

Zeichenfolge

Name der AE-Benutzergruppe

ldap

Zeichenfolge

Namen der LDAP-Gruppen, die der AE-Gruppe zugeordnet sind.

Hinweis: Mehrere LDAP-Gruppennamen werden durch ein Komma getrennt.

Beispiel: Admin, SuperAdmin

Beispiel (XML-Konfiguration)

<GroupMappings >
    <map AE="Administrator" ldap="AUTOMIC.offerings.admin" />
    <map AE="User" ldap="AUTOMIC.offerings.user" />
</GroupMappings>

CDA Attribute

Sie können die CDA-Synchronisation aktivieren und dann die Verbindung zu der zu synchronisierenden CDA-Instanz konfigurieren.

Attribut	Typ	Erforderlich	Beschreibung
aktiviert	Boolean	JA	Optionen: True: CDA Synchronisation ist aktiviert Falsch: CDA Synchronisation ist deaktiviert
url	Zeichenfolge	Ja, wenn CDA aktiviert ist	URL für die CDA-Instanz, die mit dem AE-Mandanten verbunden ist.
Benutzername	Zeichenfolge	Ja, wenn CDA aktiviert ist	Benutzername des CDA-Benutzers mit Berechtigung zum Anlegen und Bearbeiten von Benutzern in ARA.
Passwort	Zeichenfolge	Ja, wenn CDA aktiviert ist	Passwort für den CDA-Benutzer, der zur Verwaltung von Benutzern in ARA verwendet wird. Hinweis: Sie geben Ihr Passwort als Klartext ein bzw. ändern es als Klartext. Es wird beim nächsten Synchronisationslauf verschlüsselt und als verschlüsseltes Passwort in der Konfigurationsdatei gespeichert.

Beispiel: CDA Deaktiviert

<ARA enabled="false" />

Beispiel: CDA Aktiviert

<ARA enabled="true"
     url="http://localhost:5555"
     username="AE/1000/AUTOMIC/AUTOMIC"
     password="automic"
/>

Beispiel 1: defaults.xml

<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
			
    <Schema baseDN="DC=sbb01,DC=spoc,DC=global"
            userDN=""
            groupDN="" />
 
    <UserSchema userFilter="(&(objectCategory=person)
                            (objectClass=user)(sAMAccountName=*))"
                userNameAttribute="sAMAccountName"
                userFirstNameAttribute="givenName"
                userLastNameAttribute="sn"
                userEmailAttribute="mail" />
 
    <GroupSchema groupFilter="(objectClass=group)"
                 groupNameAttribute="cn" />
 
    <AE userDomain="sbb01"
        autoDeactivateUsers="false" />
 
    <GroupMappings >
        <map AE="Administrator" ldap="AUTOMIC.offerings.admin" />
        <map AE="User" ldap="AUTOMIC.offerings.user" />
    </GroupMappings>
 
    <ARA enabled="false"/>
			
</Configuration>

Beispiel 2: Minimal client_[client number].xml, um die Synchronisation mit Standardwerten zu aktivieren

<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
			
    <!-- This just enables the sync for this client 
         with defaults from ./defaults.xml -->
			
</Configuration>

Beispiel 3: client_[client number].xml zum Aktivieren der Synchronisierung mit Domäne AUTOMIC

<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
			
    <!-- This just enables the sync for this client 
         with defaults from ./defaults.xml -->
    <!-- Here we switch the domain for this client 
         to AUTOMIC, all other settings stay the same-->
			
    <Schema baseDN="DC=AUTOMIC,DC=spoc,DC=global"
        userDN=""
        groupDN="" />
			
    <AE userDomain="AUTOMIC"
        autoDeactivateUsers="false" />
			
</Configuration>