Synchronisationsregeln
In diesem Thema erfahren Sie, wie die Benutzersynchronisation über LDAP Sync funktioniert.
AE-Benutzergruppen müssen Sie manuell in derPerspektive „Administration“ administrieren.
Hinweis: Zusätzlich zur Synchronisation mit der AE, verwaltet LDAP Sync auch CDA Benutzer-Entities.
Dieses Thema beinhaltet Folgendes:
Für die Verwaltung von Benutzern und Benutzergruppen gelten folgende Regeln für die Synchronisation vom LDAP-Verzeichnis in die AE:
Szenarien, in denen keine Synchronisation stattfindet
Wenn mindestens einer der folgenden Fälle zutrifft, findet keine Synchronisation statt:
-
Die Benutzergruppe AE, zu der der Benutzer gehört, wird nicht einer LDAP-Benutzergruppe zugeordnet.
-
Der AE-Benutzer ist nicht als LDAP-Benutzer gekennzeichnet (das Kontrollkästchen „LDAP-Verbindung“ ist deaktiviert).
Hinweis: Eine manuelle Aktualisierung von Benutzern und Benutzergruppen ist erforderlich.
Szenario I: Eine AE-Benutzergruppe wird einer LDAP-Benutzergruppe zugeordnet
Die AE-Benutzergruppe „GrpAE“ wird der LDAP-Gruppe "GrpLDAP" zugeordnet und der Benutzer wird als LDAP-Benutzer gekennzeichnet (das Kontrollkästchen „LDAP-Verbindung“ ist aktiviert).
Regeln
| Bedingung | Aktion | Grafische Beschreibung |
|---|---|---|
| Der Benutzer existiert in beiden Gruppen (GrpAE und GrpLDAP) | Die AE-Benutzerdaten (z. B.: Vorname, Nachname, E-Mail, etc.) werden aktualisiert. |
|
|
Der Benutzer existiert in der GrpAE und wird als LDAP-Benutzer in einer anderen LDAP-Gruppe markiert (z. B.: GrpLDAP_B). |
Der Benutzer wird aus der AE-Gruppe GrpAE entfernt. Hinweis: Wenn der Benutzer überhaupt nicht im LDAP vorhanden ist und der Parameter „autoDeactivateUsers“ auf „true“ gesetzt ist, wird der Benutzer in der AE deaktiviert. AE-Benutzerdaten werden nie aktualisiert, auch wenn sie sich unterscheiden. |
|
| Der Benutzer ist in der AE und im GrpLDAP vorhanden, aber nicht dem GrpAE zugeordnet. | Der AE-Benutzer wird der GrpAE hinzugefügt und die AE-Benutzerdaten (z. B.: Vorname, Nachname, E-Mail, etc.) werden aktualisiert. |
|
| Der Benutzer existiert überhaupt nicht im AE, ist aber dem GrpLDAP zugeordnet. | Der entsprechende AE-Benutzer wird angelegt und der GrpAE zugeordnet. Zusätzlich werden die Benutzerdaten vom LDAP-Benutzer übernommen und der Benutzer als LDAP-Benutzer markiert (in der AE). |
|
| In allen anderen Fällen findet keine Synchronisation statt. | - | - |
Szenario II: Zwei Benutzergruppen in AE und LDAP: Beide AE-Benutzergruppen werden den entsprechenden LDAP-Benutzergruppen zugeordnet (1:1-Beziehung)
Die AE-Benutzergruppe „GrpAE“ wird der LDAP-Gruppe „GrpLDAP“ zugeordnet, die AE-Benutzergruppe „GrpAE_B“ wird der LDAP-Gruppe „GrpLDAP_B“ zugeordnet und der Benutzer wird als LDAP-Benutzer gekennzeichnet (das Kontrollkästchen „LDAP-Verbindung“ ist aktiviert).
Regeln
Die Grundregeln des Szenarios I gelten.
Zusätzlich:
| Bedingung | Aktion | Grafische Beschreibung |
|---|---|---|
| Der Benutzer existiert in der GrpAE und in der GrpLDAP_B. | Der AE-Benutzer wird aus dem GrpAE entfernt und zum GrpAE_Bhinzugefügt. Zusätzlich werden die AE-Benutzerdaten (z. B.: Vorname, Nachname, E-Mail, etc.) aktualisiert. |
|
| Der Benutzer existiert in einer der AE-Gruppen (z. B. in GrpAE) und in GrpLDAP und GrpLDAP_B. | Der AE-Benutzer wird auch zu GrpAE_B hinzugefügt. Zusätzlich werden die AE-Benutzerdaten (z. B.: Vorname, Nachname, E-Mail, etc.) aktualisiert. |
|
| Der Benutzer existiert in der GrpAE und im LDAP, aber nicht in einer der LDAP-Gruppen GrpLDAP oder GrpLDAP_B. |
Der AE-Benutzer wird aus der AE-Gruppe GrpAE entfernt. Hinweis: Wenn der Benutzer überhaupt nicht im LDAP vorhanden ist und der Parameter „autoDeactivateUsers“ auf „true“ gesetzt ist, wird der Benutzer in der AE deaktiviert. AE-Benutzerdaten werden nie aktualisiert, auch wenn sie sich unterscheiden. |
|
| Der Benutzer existiert überhaupt nicht in der AE aber der Benutzer befindet sich in der GrpLDAP oder in der GrpLDAP_B oder in beiden. | Der entsprechende AE-Benutzer wird angelegt und der entsprechenden Gruppe GrpAE oder GrpAE_B oder beiden Gruppen zugeordnet. Zusätzlich werden die Benutzerdaten vom LDAP-Benutzer übernommen und der Benutzer als LDAP-Benutzer markiert (in der AE). |
|
| Der Benutzer existiert in beiden AE-Gruppen (GrpAE und GrpAE_B), aber nur in einer LDAP-Gruppe (z. B. in GrpLDAP, aber nicht in GrpLDAP_B), | Der AE-Benutzer wird aus der AE-Gruppe GrpAE_B entfernt (weil er sich nicht in der LDAP-Gruppe GrpLDAP_B befindet). Zusätzlich werden die AE-Benutzerdaten (z. B.: Vorname, Nachname, E-Mail, etc.) aktualisiert. |
|
| Der Benutzer existiert in beiden AE-Gruppen und in beiden LDAP-Gruppen. | Die AE-Benutzerdaten (z. B.: Vorname, Nachname, E-Mail, etc.) werden aktualisiert. |
|
Szenario III: Zwei Benutzergruppen in der AE und LDAP - Nur eine AE-Benutzergruppe wird der entsprechenden LDAP-Benutzergruppe zugeordnet
Die AE-Benutzergruppe „GrpAE“ wird der LDAP-Gruppe „GrpLDAP“ zugeordnet, während:
Die AE-Benutzergruppe „GrpAE_B“ ist nicht der LDAP-Gruppe „GrpLDAP_B“ zugeordnet (kann aber relevante Benutzer enthalten)
und der Benutzer als LDAP-Benutzer markiert ist (das Kontrollkästchen „LDAP-Verbindung“ ist aktiviert)
Regeln
Die Grundregeln des Szenarios I gelten.
Zusätzlich:
| Bedingung | Aktion | Grafische Beschreibung |
|---|---|---|
| Der Benutzer existiert in der GrpAE und in beiden LDAP-Gruppen (GrpLDAP und GrpLDAP_B) | Die AE-Benutzerdaten (z. B.: Vorname, Nachname, E-Mail, etc.) werden aktualisiert. |
|
| Der Benutzer ist in der GrpAE und in der GrpLDAP_B vorhanden |
Der AE-Benutzer wird aus der GrpAE entfernt. Hinweis: AE-Benutzerdaten werden nie aktualisiert, auch wenn sie sich unterscheiden. |
|
| Der Benutzer existiert in mindestens einer der AE-Gruppen (GrpAE, GrpAE_B oder beides), aber er existiert nicht im LDAP. |
Der AE-Benutzer wird aus der AE-Gruppe GrpAE entfernt. Hinweis: Wenn der Benutzer überhaupt nicht im LDAP vorhanden ist und der Parameter „autoDeactivateUsers“ auf „true“ gesetzt ist, wird der Benutzer in der AE deaktiviert. AE-Benutzerdaten werden nie aktualisiert, auch wenn sie sich unterscheiden. |
|
| Der Benutzer ist im GrpAE_B vorhanden und der Benutzer befindet sich im GrpLDAP (oder im GrpLDAP und GrpLDAP_B). | Der AE-Benutzer wird zusätzlich der AEGroup zugeordnet. Zusätzlich werden die AE-Benutzerdaten (z. B.: Vorname, Nachname, E-Mail, etc.) aktualisiert. |
|
| Der Benutzer existiert in beiden AE-Gruppen (GrpAE und GrpAE_B) und im GrpLDAP. |
Die AE-Benutzerdaten (z. B.: Vorname, Nachname, E-Mail, etc.) werden aktualisiert. |
|
| Der Benutzer existiert in den beiden AE-Gruppen GrpAE und GrpAE_B und in den beiden LDAP-Gruppen (GrpLDAP und GrpLDAP_B). | Die AE-Benutzerdaten (z. B.: Vorname, Nachname, E-Mail, etc.) werden aktualisiert. |
|
| Der Benutzer existiert in beiden AE-Gruppen (GrpAE und GrpAE_B) und in der GrpLDAP_B. | Der Benutzer wird aus der AE-Gruppe GrpAE entfernt, die AE-Benutzerdaten werden nie aktualisiert, auch wenn sie sich unterscheiden. |
|
| Der Benutzer existiert nicht in der AE aber der Benutzer ist in beiden LDAP-Gruppen (GrpLDAP und GrpLDAP_B). | Der entsprechende AE-Benutzer wird angelegt und der AE-Gruppe GrpAE zugeordnet. Zusätzlich werden die Benutzerdaten vom LDAP-Benutzer übernommen und der Benutzer als LDAP-Benutzer markiert (in der AE). |
|
Szenario IV: Zwei Benutzergruppen in AE und eine in LDAP - Zwei AE-Benutzergruppen werden einer einzigen LDAP-Benutzergruppe zugeordnet
Die AE-Benutzergruppe „GrpAE“ wird der LDAP-Gruppe „GrpLDAP“ zugeordnet, die AE-Benutzergruppe „GrpAE_B“ wird der gleichen LDAP-Gruppe „GrpLDAP“ zugeordnet und der Benutzer wird als LDAP-Benutzer gekennzeichnet (das Kontrollkästchen „LDAP-Verbindung“ ist aktiviert).
Regeln
Die Grundregeln des Szenarios I gelten.
Zusätzlich:
| Bedingung | Aktion | Grafische Beschreibung |
|---|---|---|
| Der Benutzer existiert mindestens in einer der AE-Gruppen (GrpAE, GrpAE_B oder beide) und im GrpLDAP. | Der Benutzer ist in beiden AE-Gruppen (GrpAE und GrpAE_B) und die Daten für beide AE-Benutzer werden aktualisiert. |
|
| Der Benutzer existiert mindestens in einer der AE-Gruppen (GrpAE, GrpAE_B oder beide) und nicht in der LDAP-Gruppe. |
Der Benutzer AE wird aus den AE-Gruppen entfernt. Hinweis: Wenn der Benutzer überhaupt nicht im LDAP vorhanden ist und der Parameter „autoDeactivateUsers“ auf „true“ gesetzt ist, wird der Benutzer in der AE deaktiviert. AE-Benutzerdaten werden nie aktualisiert, auch wenn sie sich unterscheiden. |
|
| Wenn ein Benutzer überhaupt nicht in der AE vorhanden ist, aber der Benutzer in der LDAP-Gruppe existiert |
Der entsprechende AE-Benutzer wird angelegt und den AE-Gruppen (GrpAE und GrpAE_B) zugeordnet. Zusätzlich werden die Benutzerdaten vom LDAP-Benutzer übernommen und der Benutzer als LDAP-Benutzer markiert (in der AE). |
|
Szenario V: Zwei Benutzergruppen in LDAP und eine in AE - Zwei LDAP-Benutzergruppen werden einer einzigen AE-Benutzergruppe zugeordnet
Dieses Szenario wird nicht von LDAP Sync unterstützt.