Mandanten-Einstellungen konfigurieren

Standardmäßig teilen sich alle Mandanten die gleiche Konfiguration (Standardkonfiguration gemäß LDAP Sync konfigurieren). Die Standardkonfiguration wird in der Datei defaults.xml gespeichert (siehe Konfigurationsdatei defaults.xml) und wird von der Datei LDAPSync.xml referenziert.

Sie können optionale Mandanten-Einstellungen für jeden Mandanten konfigurieren, der in der AE verwendet wird (siehe Konfigurationsdatei client_[client number].xml).

Wichtig! Die Synchronisation mit dem Mandanten 0 wird nicht unterstützt.

Konfigurationsdateien

defaults.xml

Die Standardkonfiguration wird in der Datei ./clients/defaults.xml gespeichert. Sie können den Pfad und den Dateinamen im Element Clients der Datei LDAPSync.xml ändern.

client_[client number].xml

Sie können mandantenspezifische Mappings zwischen LDAP und AE/CDA -Benutzergruppen definieren, die in einer separaten Datei gespeichert werden müssen. Zum Beispiel client_10.xml

Hinweis: Wenn Sie keine Konfigurationsdateien für die Mandanten-Einstellung verwenden, müssen Sie die Mandanten beim Aufruf von LDAP Sync festlegen. Alle Einstellungen werden aus der Datei defaults.xml abgerufen.

Die Struktur ist die gleiche wie bei defaults.xml, aber alle Einstellungen sind optional.

Konfigurationselemente und ihre Attribute

Sie können alle Elemente und deren Attribute in allen Konfigurationsdateien verwenden (defaults.xml und client_[client number].xml).

Elemente

Wichtig! In der Datei defaults.xml sind alle Elemente erforderlich, während in der Mandanten-Konfiguration (client_[Mandantennummer].xml) alle Elemente optional sind.

• Schema

  Grundlegende LDAP-Schema-Einstellungen zur Einschränkung des LDAP-Baums

• UserSchema

  Benutzerspezifische LDAP-Schemaeinstellungen

• GruppenSchema

  Gruppenspezifische LDAP-Schema-Einstellungen

• AE

  AE-Einstellungen für die Mandantensynchronisierung (z. B. Mandantennummer)

• Gruppenzuordnung

  Zuordnungen zwischen der AE und LDAP-Gruppen

• ARA

  ARA-Einstellungen, falls erforderlich

Wichtig! Elemente werden nicht zusammengeführt. Wenn Sie Mandanten-Einstellungen verwenden, überschreibt die Einstellung in der Datei client_[Mandantennummer].xml alle Attribute für dieses Element von defaults.xml.

Beispiel

Unterschiedliche Konfiguration eines einzelnen Elements

Defaults.xml enthält die folgende Zuordnung:

<GroupMappings> <map ae="QA" ldap="g1" /> </GroupMappings>

client_10.xml enthält die folgende Zuordnung:

<GroupMappings>
   <map ae="DEV" ldap="g2" />
</GroupMappings>

Infolgedessen wird nur die Einstellung zur Gruppen-Zuordnung der Datei client_10.xml für die Synchronisation verwendet.

Schema-Attribute

Sie können einen Distinguished Name (DN) konfigurieren, der bei der Suche nach Benutzern oder Gruppen in LDAP verwendet werden soll.

• baseDN

  Der Root Distinguished Name (DN), der für die Suche in LDAP verwendet wird.

  Beispiel:

  • o=example,c=com
  • cn=users,dc=ad,dc=example,dc=com

  Typ: String

  Obligatorisch: Ja

• userDN

  Wird bei der Suche nach Benutzern verwendet. Beschränkt die LDAP-Benutzersuche auf eine einzelne OU (OrganizationalUnit) zusätzlich zu baseDN.

  Beispiel: ou=Users

  Typ: String

  Obligatorisch: Nein

• groupDN

  Wird bei der Suche nach Gruppen zusätzlich zu baseDN verwendet. Beschränkt die LDAP-Gruppensuche auf eine einzelne OU (OrganizationalUnit) zusätzlich zu baseDN.

  Beispiel: ou=Groups

  Typ: String

  Obligatorisch: Nein

• updateDn

  Ob der DN aktualisiert wird oder nicht:

  • Attributwert ist true: DN des Benutzers wird aktualisiert
  • Der Attributwert ist nicht true (falseoder leer oder ein anderer Wert): DN des Benutzers wird nicht aktualisiert.
  • Attribut ist nicht vorhanden: DN des Benutzers wird nicht aktualisiert

  Typ: Boolean

  Obligatorisch: Nein

Beispiel

<Schema baseDN="DC=QA,DC=spoc,DC=global"
        userDN=""
        groupDN="" 
        updateDn="true"
/>

UserSchema-Attribute

UserSchema bietet die folgenden Einstellungen:

• Eine zusätzliche Filteroption (LDAP-Filterstring) bei der Suche nach Benutzern
• Einstellungen zur Attributzuordnung für Benutzer

Für die Arbeit mit AD sind Standardwerte eingestellt.

• userFilter

  Filter, der bei der Suche nach einem Benutzerobjekt verwendet wird.

  Beispiel: (&(objectCategory=Person)(objectClass=user)(sAMAccountName=*))

  Typ: String

  Obligatorisch: Ja

  Standard (AD): (&(objectCategory=person)(objectClass=user)(sAMAccountName=*))

• userNameAttribut

  Attributfeld, das für das Laden des Benutzernamens verwendet wird.

  Beispiel: cn

  Typ: String

  Obligatorisch: Ja

  Standard (AD): sAMAccountName

• userFirstNameAttribut

  Das Attributfeld, das zum Laden des Vornamens des Benutzers verwendet wird.

  Typ: String

  Obligatorisch: Ja

  Standard (AD): givenName

• userLastNameAttribut

  Das Attributfeld, das zum Laden des Nachnamens des Benutzers verwendet wird.

  Typ: String

  Obligatorisch: Ja

  Standard (AD): sn

• userEmailAttribut

  Das Attributfeld, das zum Laden der E-Mail des Benutzers verwendet wird

  Typ: String

  Obligatorisch: Ja

  Standard (AD): mail

Beispiel

<UserSchema userFilter="(&(objectCategory=person)
                        (objectClass=user)(sAMAccountName=*))"
            userNameAttribute="sAMAccountName"
            userFirstNameAttribute="givenName"
            userLastNameAttribute="sn"
            userEmailAttribute="mail"
/>

GruppenSchema-Attribute

GruppenSchema bietet die folgenden Einstellungen:

• Eine zusätzliche Filteroption (LDAP-Filterstring) bei der Suche nach Gruppen
• Attributzuordnungseinstellungen für Gruppen

Attribute:

• groupFilter

  Der Filter, der für die Suche nach Gruppenobjekten verwendet wird.

  Beispiel: (objectClass=group)

  Typ: String

  Obligatorisch: Ja

  Standard (AD): (objectClass=group)

• groupNameAttribute

  Das Attributfeld, das zum Laden oder Suchen nach dem Namen der Gruppe verwendet wird.

  Typ: String

  Obligatorisch: Ja

  Standard (AD): CN

Beispiel

<GroupSchema groupFilter="(objectClass=group)"
             groupNameAttribute="cn"
/>

AE Attribute

• userDomain

  Die Domäne (LDAP) / Abteilung (AE) für den Benutzer - nur AE /LDAP-Benutzer mit dieser Abteilung / Domäne werden synchronisiert.

  Hinweis: Typischerweise ist das letzte dc= Teil der DN, aber nicht immer für AD.

  Typ: String

  Obligatorisch: Ja

  Standard: -

• autoDeactivateUsers

  Aktiviert/deaktiviert die Deaktivierung der AE

  • true:LDAP Syncdeaktiviert AE-Benutzerobjekte, die nicht im Verzeichnis innerhalb der angegebenen Domäne und des Suchfilters gefunden werden können.
  • False: LDAP Sync ändert nicht den aktiven Zustand des Benutzerobjekts in der AE. Das Entfernen eines Benutzers aus LDAP löscht oder deaktiviert das Benutzerobjekt in der AE nicht, aber der Benutzer kann sich nicht mehr in der AE anmelden, da die Authentifizierung für LDAP erfolgt.

  Typ: Boolean

  Obligatorisch: Ja

  Standard: false

Gruppenzuordnung-Attribute

Gruppenzuordnungen definieren die Zuordnung zwischen LDAP-Gruppen und AE-Benutzergruppen. Sie haben dafür zwei Möglichkeiten:

• Option 1
  Durch Festlegen eines statischen VARA-Objekts wie UC_LDAP_MAPPING_1000 im AE-Mandant 0 (für alle Mandanten), das die Gruppenzuordnungen enthält. Sie definieren die AE-Benutzergruppe im Feld Schlüssel dieses VARA-Objekts, die LDAP-Benutzergruppe(n) im Feld Wert 1.
  

  Wichtig!

  • Sie können die AE-Benutzergruppe einer oder mehreren LDAP-Gruppen zuordnen. Wenn Sie mehr als eine LDAP-Benutzergruppe angeben, trennen Sie sie jeweils mit einem Komma (,).
  • Die VARA-Objektinhalte dürfen nicht länger als 1023 Zeichen sein, daher können Sie Gruppen mit langen Namen oder vielen Gruppen nicht zuordnen.
    
• Option 2
  Durch die Verwendung der XML-Konfigurationsdateien für Standard- und Mandanten-Einstellungen.
  

  Tipp: Wenn Ihre Datei client.xml auf mehreren Servern gespeichert ist und/oder wenn die Gruppenzuordnung sehr häufig übernommen werden muss, sollten Sie in Betracht ziehen, ein VARA-Objekt zu verwenden, da es keinen Zugriff auf den AE-Server benötigt.

Attribut:

• readFromVaraObject

  Bei Option 1 ist der im AE-Mandanten 0 gespeicherte VARA-Objektname anzugeben.

  Für Option 2 (wenn Sie kein VARA-Objekt angeben) lassen Sie das Feld leer oder verwenden Sie das Element Gruppenzuordnung nicht.

  Wichtig! Wenn Sie kein VARA-Objekt angeben, müssen Sie mindestens ein untergeordnetes Element vom Typ "map" angeben.

  Typ: String

  Obligatorisch: Nein

Beispiel

<GroupMappings readFromVaraObject="UC_LDAP_MAPPING_1000" />

AE Objekt VARA.STATIC:

VARA.STATIC wird zur Speicherung und Verwaltung der Gruppenzuordnungen der AE zu verwendet.LDAP

Map-Element

Im Map-Element definieren Sie die Zuordnung zwischen AE-Benutzergruppen und einer LDAP-Gruppen.

• AE

  Name der AE-Benutzergruppe

  Typ: String

  Obligatorisch: Ja

• ldap

  Namen der LDAP-Gruppen, die der AE-Gruppe zugeordnet sind.

  Hinweis: Mehrere LDAP-Gruppennamen werden durch ein Komma getrennt.

  Beispiel: Admin, SuperAdmin

  Typ: String

  Obligatorisch: Ja

Beispiel (XML-Konfiguration)

<GroupMappings >
    <map AE="Administrator" ldap="AUTOMIC.offerings.admin" />
    <map AE="User" ldap="AUTOMIC.offerings.user" />
</GroupMappings>

CDA Attribute

Sie können die CDA-Synchronisation aktivieren und dann die Verbindung zu der zu synchronisierenden CDA-Instanz konfigurieren.

• aktiviert

  Werte:

  • True: CDA-Synchronisation ist aktiviert
  • false: CDA-Synchronisation ist deaktiviert

  Typ: Boolean

  Obligatorisch: Ja

• url

  URL für die CDA-Instanz, die mit dem AE-Mandanten verbunden ist.

  Typ: String

  Obligatorisch: Ja, wenn CDA aktiviert ist

• Benutzername

  Benutzername des CDA-Benutzers mit Berechtigung zum Anlegen und Bearbeiten von Benutzern in CDA.

  Typ: String

  Obligatorisch: Ja, wenn CDA aktiviert ist

• Passwort

  Passwort für den CDA-Benutzer, der zur Verwaltung von CDA-Benutzern in verwendet wird.

  Hinweis: Sie geben Ihr Passwort als Klartext ein bzw. ändern es als Klartext. Es wird beim nächsten Synchronisationslauf verschlüsselt und als verschlüsseltes Passwort in der Konfigurationsdatei gespeichert.

  Typ: String

  Obligatorisch: Ja, wenn CDA aktiviert ist

Beispiel: CDA Deaktiviert

<ARA enabled="false" />

Beispiel: CDA Aktiviert

<ARA enabled="true"
     url="http://localhost:5555"
     username="AE/1000/AUTOMIC/AUTOMIC"
     password="automic"
/>

Beispiel 1: defaults.xml

<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
			
    <Schema baseDN="DC=sbb01,DC=spoc,DC=global"
            userDN=""
            groupDN="" />
 
    <UserSchema userFilter="(&(objectCategory=person)
                            (objectClass=user)(sAMAccountName=*))"
                userNameAttribute="sAMAccountName"
                userFirstNameAttribute="givenName"
                userLastNameAttribute="sn"
                userEmailAttribute="mail" />
 
    <GroupSchema groupFilter="(objectClass=group)"
                 groupNameAttribute="cn" />
 
    <AE userDomain="sbb01"
        autoDeactivateUsers="false" />
 
    <GroupMappings >
        <map AE="Administrator" ldap="AUTOMIC.offerings.admin" />
        <map AE="User" ldap="AUTOMIC.offerings.user" />
    </GroupMappings>
 
    <ARA enabled="false"/>
			
</Configuration>

Beispiel 2: Minimale client_[client number].xml, um die Synchronisation mit Standardwerten zu aktivieren

<?xml version="1.0" encoding="UTF-8"?> 
<Configuration>
			
	<!-- Dies ermöglicht einfach die Synchronisierung für diesen Mandanten 
         mit Standardwerten aus ./defaults.xml --> 
			
</Configuration>

Beispiel 3: client_[client number].xml zum Aktivieren der Synchronisierung mit Domäne AUTOMIC

<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
			
    <!-- Dies ermöglicht einfach die Synchronisierung für diesen Mandanten 
         mit Standardwerten aus ./defaults.xml --> 
    <!-- Hier wechseln wir die Domain für diesen Mandanten 
         in AUTOMIC, alle anderen Einstellungen bleiben unverändert--> 
			
    <Schema baseDN="DC=AUTOMIC,DC=spoc,DC=global"
        userDN=""
        groupDN="" />
			
    <AE userDomain="AUTOMIC"
        autoDeactivateUsers="false" />
			
</Configuration>