Zum Hauptinhalt springen
Version: 17.0

Periodische Synchronisation von Benutzern mit LDAP einrichten

ADOIT ermöglicht die Synchronisation von Benutzern mit einem LDAP-kompatiblen Verzeichnisdienst über einen geplanten Task. Zu den unterstützten Authentifizierungsmechanismen gehören LDAP, IDM, SAML und OIDC. Um diese Funktion zu nutzen, muss der gewählte Authentifizierungsmechanismus (= Konnektor) so konfiguriert werden, dass er eine LDAP-Kopplung verwendet.

Die Benutzer werden in ADOIT angelegt, bevor sie sich zum ersten Mal anmelden. Abhängig von der Konfiguration werden Benutzer vorkonfigurierten Benutzergruppen und System-Rollen zugewiesen. Optional werden ihnen spezifische Repositorys als Arbeitsplatz zugewiesen und sie werden mit diesen Repositorys geteilt, damit sie als Objekte in der Modellierung verfügbar sind.

Um die Synchronisation einzurichten, führen Sie folgende Schritte aus:

  1. Voraussetzungen

  2. Synchronisierungszeitplan einrichten

  3. Synchronisation von Benutzern starten

Hinweis

Wenn Sie den Authentifizierungsmechanismus LDAP-Authentifizierung einrichten, bevor Sie die periodische Synchronisation von Benutzern mit LDAP aktivieren, können wichtige Teile der Konfiguration wiederverwendet werden.

Voraussetzungen

Bevor Sie einen Zeitplan für die Synchronisierung einrichten, stellen Sie sicher, dass folgende Schritte abgeschlossen sind:

  • Konfigurieren Sie die allgemeinen LDAP-Einstellungen und geben Sie domainspezifische LDAP-Parameter an.

  • Passen Sie die konnektor-spezifischen LDAP-Einstellungen an. Aktivieren Sie dazu die LDAP-Kopplung und fügen Sie ein User Mapping für Ihren gewählten Konnektor hinzu.

Die Vorgehensweise ist dabei die gleiche wie beim Einrichten von LDAP-Authentifizierung - eine detaillierte Anleitung finden Sie im Abschnitt LDAP-Authentifizierung.

Hinweis

Synchronisierungszeitplan einrichten

Wenn alle Voraussetzungen erfüllt sind, können Sie einen Synchronisierungszeitplan einrichten:

Sie haben nun zwei Möglichkeiten:

  • Sie können im rechten Bereich unter LDAP-Einstellungen im Abschnitt Zeitplan die Synchronisation für alle Domains gleichzeitig konfigurieren.

  • Oder Sie können die Synchronisation für eine bestimmte Domain konfigurieren. Suchen Sie im linken Bereich unter LDAP-Domains nach der Domain, die Sie anpassen möchten. Bewegen Sie den Mauszeiger auf die Domain, klicken Sie auf Mehr, und dann auf Bearbeiten. Die benötigten Einstellungen befinden sich auf der dritten Seite, Zeitplan.

Die Konfiguration funktioniert in beiden auf die gleiche Art und Weise. Passen Sie folgende Parameter an:

  • Name

    Wählen Sie einen Namen für diesen Job aus (für die Rückverfolgbarkeit in den Log-Dateien).

  • Filter

    Ein Filter zur Eingrenzung, was aus dem Verzeichnisdienst abgefragt werden soll. Beispielsweise setzen Sie den Wert auf (objectClass=user), um nur Benutzer abzufragen.

  • Startknoten

    Definieren Sie den Knoten in der Baumstruktur des Verzeichnisdiensts, der als Ausgangspunkt für Suchen nach Benutzern verwendet werden soll.

    Hinweis

    Der Parameter Sync-Basis-DN wird als Fallback verwendet, wenn für den Synchronisationsjob kein Startknoten definiert ist. Wenn weder Sync-Basis-DN noch Startknoten definiert sind, wird ersatzhalber der Parameter Login-Basis-DN ausgewertet.

  • Beginnt um

    Optionales Startdatum, ab dem der Zeitplan aktiv werden soll. Standardmäßig ist der Zeitplan sofort aktiv.

  • Endet um

    Optionales Enddatum, ab dem der Zeitplan inaktiv wird. Nach diesem Datum ist der Zeitplan nicht mehr aktiv.

  • Typ

    Wählen Sie die Zeiteinheit für den Synchronisierungszeitplan aus. Zu den verfügbaren Optionen gehören sekündlich, minütlich, stündlich, täglich, wöchentlich, monatlich oder jährlich.

  • Intervall

    Für Zeitpläne auf Basis von Sekunden, Minuten, Stunden oder Jahren. Definieren Sie die Häufigkeit der Synchronisation. Legen Sie fest, wie viele Zeiteinheiten zwischen jeder Wiederholung des Jobs verstreichen müssen.

  • Tag des Monats

    Für Zeitpläne auf Basis von Monaten. Geben Sie den Tag des Monats an, an dem der Job ausgeführt werden soll.

  • Wochentage

    Für Zeitpläne auf Basis von Tagen und Wochen. Wählen Sie folgendermaßen die Wochentage aus, an denen der Job ausgeführt werden soll:

  • Tage: Der Job wird standardmäßig jeden Tag ausgeführt, aber Sie können ihn optional auf bestimmte Wochentage beschränken.

  • Wochen: Der Job wird einmal pro Woche am ausgewählten Tag ausgeführt.

  • Ausführungszeit

    Für Zeitpläne auf Basis von Tagen, Wochen oder Monaten. Definieren Sie die genaue Stunde und Minute, zu der der Job gestartet werden soll.

  • Wochentage: Wochentag, wählen Sie einen oder mehrere Wochentage aus.

  • Ausführungszeit: Die genaue Stunde und Minute, zu der der Job gestartet werden soll.

Beispiel

Name: my5minSync | Filter: (objectClass=user) | Startknoten: dc=company,dc=eu | Typ: minütlich | Intervall: 5

Objekte werden aus dem Verzeichnisdienst importiert:

  • alle 5 Minuten [Typ = Minuten, Intervall = alle 5 Zeiteinheiten (= Minuten) ausführen],
  • wenn es Benutzerobjekte sind [Filter = (objectClass=user)] und
  • wenn sie zum Knoten "dc=company,dc=eu" oder seinen Kindern gehören [Startknoten].

Synchronisation von Benutzern starten

Sobald die Änderungen in der ADOIT Administration gespeichert werden, werden sie sofort wirksam. Ein Neustart ist nicht erforderlich.

Die Synchronisation der Benutzer beginnt. Synchronisationsjobs, die in festen Zeitintervallen laufen, werden sofort ausgeführt und dann jedes Mal wiederholt, wenn das Zeitintervall verstrichen ist. Synchronisationsjobs, die auf Tagen, Wochen oder Monaten basieren, werden zur angegebenen Zeit ausgeführt.

Synchronisation nach Bedarf ausführen

Die ADOIT Administration erlaubt Ihnen, die Synchronisation nach Bedarf auszuführen. Die Synchronisation wird entsprechend der Konfiguration für alle konfigurierten Domänen durchgeführt:

  • Wechseln Sie in der ADOIT Administration zu Startseite > Weitere Optionen, und klicken Sie dann auf Server

  • Klicken Sie auf LDAP-Synchronisation starten.

(Optional) Fehlersuche

Allgemeine Informationen und Fehler werden in den Dateien "<Tomcat Installation>/logs/ADOIT17_0.log" und "<ADOIT Installation/*_aworker.log>" geloggt. Detaillierte Informationen werden in der Datei "< Tomcat Installation > / logs/ADOIT17_0_LDAP.log" geloggt.