Zum Hauptinhalt springen
Version: 15.1

Periodische Synchronisation von Benutzern mit LDAP einrichten

Sie können eine automatische Synchronisation von Benutzern mit einem LDAP-kompatiblen Verzeichnisdienst einrichten.

Abhängig von der Konfiguration werden Benutzer vorkonfigurierten Benutzergruppen/System-Rollen zugewiesen. Optional werden ihnen spezifische Repositorys als Arbeitsplatz zugewiesen und sie werden mit diesen Repositorys geteilt, damit sie als Objekte in der Modellierung verfügbar sind.

Um die Synchronisation einzurichten, führen Sie folgende Schritte aus:

  1. Domänen-spezifische LDAP-Parameter adaptieren

  2. Globale LDAP-Einstellungen adaptieren

  3. Synchronisationseinstellungen adaptieren

  4. Synchronisation von Benutzern starten

Hinweis

Wenn Sie den Authentifizierungsmechanismus Web-Client Login mit LDAP-Kopplung einrichten, bevor Sie die periodische Synchronisation von Benutzern mit LDAP aktivieren, können wichtige Teile der Konfiguration wiederverwendet werden.

Achtung

Um die Synchronisation einzurichten, benötigen Sie Erfahrung mit JSON. Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren ADOIT-Kundenbetreuer.

Domänen-spezifische LDAP-Parameter adaptieren

Sie müssen domänenspezifische Parameter anpassen.

  • Öffnen Sie die Administratorseite. Klicken Sie auf der Symbolleiste ganz oben auf dem Bildschirm auf Mehr   , zeigen Sie auf Authentifizierung, und klicken Sie dann auf LDAP.

  • Klicken Sie auf die Schaltfläche , um Ihre Domäne zu bearbeiten.

Passen Sie folgende Parameter an:

  • sync_base_dn [optional]

    Ein domänen-spezifischer Parameter. Definieren Sie den Knoten in der Baumstruktur des Verzeichnisdiensts, der als Ausgangspunkt für Suchen nach Benutzern verwendet werden soll.

    Hinweis

    Der Parameter sync_base_dn wird als Fallback verwendet, wenn für den Synchronisationsjob das Attribut startNode nicht definiert ist. Wenn weder sync_base_dn noch startNode definiert sind, wird ersatzhalber der Parameter login_base_dn ausgewertet.

  • sync_filter [optional]

    Ein domänen-spezifischer Parameter. Ein Filter zur Eingrenzung, was aus dem Verzeichnisdienst abgefragt werden soll. Beispielsweise setzen Sie den Wert dieses Parameters auf "(objectClass=user)", um nur Benutzer abzufragen.

    Hinweis

    Der Parameter sync_filter wird als Fallback verwendet, wenn für den Synchronisationsjob das Attribut filter nicht definiert ist. Wenn weder sync_filter noch filter definiert sind, wird ersatzhalber der Wert "(objectClass=user)" verwendet.

Globale LDAP-Einstellungen adaptieren

Das Adaptieren der globalen LDAP-Einstellungen für die periodische Synchronisation erfordert dieselben Schritte wie beim Einrichten des Authentifizierungsmechanismus Web-Client Login mit LDAP-Kopplung. Bitte beachten Sie daher die entsprechende Beschreibung Globale LDAP-Einstellungen adaptieren.

User Mapping

Haben Sie die LDAP-Kopplung für den Standard-Konnektor konfiguriert und ein User Mapping für den Standard-Konnektor definiert? Dann können Sie das User Mapping für die Zuordnung von System-Rollen, Benutzergruppen, Repositorys und Benutzerattributen wiederverwenden:

  • Der Wert der Eigenschaft defaultConnector muss die ID des Standard-Konnektors sein (standardmäßig "Standard Login").

Wenn Sie die LDAP-Kopplung nicht aktiviert haben, müssen Sie ein globales User Mapping in den allgemeinen LDAP-Einstellungen konfigurieren. Weitere Informationen zum Konfigurieren eines User Mappings finden Sie im Abschnitt User Mapping.

Synchronisationseinstellungen adaptieren

Um die Synchronisationseinstellungen zu adaptieren:

  • Bearbeiten Sie unter Authentifizierung > LDAP die LDAP-Einstellungen.

Synchronization

Mit den folgenden Parametern können Sie die Synchronisation planen. Beispiele sind in der Hilfe Datei enthalten, die Sie von der Administratorseite herunterladen können.

Diese Parameter können konfiguriert werden:

  • In den allgemeinen LDAP-Einstellungen, um die Synchronisation für alle konfigurierten Domänen (= global) gleichzeitig zu adaptieren.

  • Für eine spezifische Domäne, um die Synchronisation für eine spezifische Domäne zu adaptieren.

Die Konfiguration funktioniert in beiden auf die gleiche Art und Weise:

  • synchronization (Eigenschaft: schedules)

    schedules ist ein Array von Scheduler-Objekten.

  • schedule [{Eigenschaften: name, filter [optional], startNode [optional], scheduleType, scheduleInterval, scheduleCronData}]

    Die Konfiguration des Synchronisationsjobs besteht aus folgenden Eigenschaften:

  • name: Ein Name für diesen Job (für die Rückverfolgbarkeit in den Log-Dateien).

  • filter: Ein Filter zur Eingrenzung, was aus dem Verzeichnisdienst abgefragt werden soll. Beispielsweise setzen Sie den Wert dieses Attributs auf "(objectClass=user)", um nur Benutzer abzufragen.

  • startNode: Definieren Sie den Knoten in der Baumstruktur des Verzeichnisdiensts, der als Ausgangspunkt für Suchen nach Benutzern verwendet werden soll.

    Hinweis

    Der Parameter sync_base_dn wird als Fallback verwendet, wenn für den Synchronisationsjob das Attribut startNode nicht definiert ist. Wenn weder sync_base_dn noch startNode definiert sind, wird ersatzhalber der Parameter login_base_dn ausgewertet.

  • scheduleType: Legen Sie die zu verwendenden Zeiteinheiten fest (1: Sekunden | 2: Minuten | 3: Stunden | 4: Tage | 5: Wochen | 6: Monate | 7: Jahre).

  • scheduleInterval: Mit dieser Einstellung können Sie ein Intervall für die Synchronisation festlegen. Legen Sie fest, wie viele Zeiteinheiten zwischen jeder Wiederholung des Jobs verstreichen müssen. Diese Einstellung ist kompatibel mit scheduleType 1,2,3 and 7.

  • scheduleCronData (Eigenschaften: D,w,h,m)

    Mit diesem Parameter können Sie die Synchronisation regelmäßig zu einem bestimmten Zeitpunkt starten. Diese Einstellung ist kompatibel mit scheduleType 4,5 und 6. Die Konfiguration besteht aus folgenden Attributen.

  • D: Tag des Monats, erlaubte Werte: 1-31.

  • w: Wochentag, erlaubte Werte: 1-7 (Sonntag - Samstag). Trennen Sie mehrere Werte durch Beistriche.

  • h: Die Stunde, in der die Synchronisation gestartet wird.

  • m: Die Minute, in der die Synchronisation gestartet wird.

Hinweis

Synchronisationsjobs, die auf Tagen basieren, werden standardmäßig täglich ausgeführt. Legen Sie einen oder mehrere Wochentage fest, damit die Synchronisation nur an bestimmten Tagen startet.

Synchronisationsjobs, die auf Wochen basieren, werden einmal pro Woche ausgeführt. Sie müssen den Wochentag festlegen.

Synchronisationsjobs, die auf Monaten basieren, werden einmal pro Monat ausgeführt. Sie müssen den Tag des Monats festlegen.

Beispiel

"synchronization": { "schedules": [ { "filter": "(objectClass=user)", "name": "my5minSync", "scheduleInterval": "5", "scheduleType": 2, "startNode": "dc=boc,dc=eu" } ] }

Objekte werden aus dem Verzeichnisdienst importiert:

  • alle 5 Minuten [scheduleType = Minuten, scheduleInterval = alle 5 Zeiteinheiten (= Minuten) ausführen],
  • wenn es Benutzerobjekte sind [filter="(objectClass=user)"] und
  • wenn sie zum Knoten "dc=company,dc=eu" oder seinen Kindern gehören [startNode].
Beispiel

"synchronization": { "schedules": [ { "filter": "(objectClass=user)", "name": "myWorkDaySync", "scheduleCronData": { "h": 1, "m": 0, "w": [ 2, 3, 4, 5, 6 ] }, "scheduleType": 4, "startNode": "dc=boc,dc=eu" } ] }

Objekte werden aus dem Verzeichnisdienst importiert:

  • täglich von Montag bis Freitag [scheduleType = Tage, scheduleCronData = jeden ersten, zweiten, dritten, vierten und fünften Wochentag um 1:00 Uhr nachts Ortszeit],
  • wenn es Benutzerobjekte sind [filter="(objectClass=user)"] und
  • wenn sie zum Knoten "dc=company,dc=eu" oder seinen Kindern gehören [startNode].

Synchronisation von Benutzern starten

Sobald die Änderungen auf der Administratorseite gespeichert werden, werden sie sofort wirksam. Ein Neustart ist nicht erforderlich.

Die Synchronisation der Benutzer beginnt. Synchronisationsjobs, die in festen Zeitintervallen laufen, werden sofort ausgeführt und dann jedes Mal wiederholt, wenn das Zeitintervall verstrichen ist. Synchronisationsjobs, die auf Tagen, Wochen oder Monaten basieren, werden zur angegebenen Zeit ausgeführt.

Synchronisation nach Bedarf ausführen

Die Administratorseite des Web-Clients erlaubt Ihnen, die Synchronisation nach Bedarf auszuführen. Die Synchronisation wird entsprechend der Konfiguration auf der Administratorseite für alle konfigurierten Domänen durchgeführt.

Hinweis

Bei Fragen zu den notwendigen Schritten lesen Sie bitte im Administrationshandbuch im Kapitel "Administratorseite" den Abschnitt "Server".

(Optional) Fehlersuche

Allgemeine Informationen und Fehler werden in den Dateien <Tomcat Installation>/logs/ADOIT15_1.log” und <ADOIT Installation/*_aworker.log> geloggt. Detaillierte Informationen werden in der Datei "< Tomcat Installation > / logs/ADOIT15_1_LDAP.log" geloggt.