Periodische Synchronisation von Benutzern mit LDAP einrichten
ADOIT ermöglicht die Synchronisation von Benutzern mit einem LDAP-kompatiblen Verzeichnisdienst über einen geplanten Task. Zu den unterstützten Authentifizierungsmechanismen gehören LDAP, IDM, SAML und OIDC. Um diese Funktion zu nutzen, muss der gewählte Authentifizierungsmechanismus (= Konnektor) so konfiguriert werden, dass er eine LDAP-Kopplung verwendet.
Die Benutzer werden in ADOIT angelegt, bevor sie sich zum ersten Mal anmelden. Abhängig von der Konfiguration werden Benutzer vorkonfigurierten Benutzergruppen und System-Rollen zugewiesen. Optional werden ihnen spezifische Repositorys als Arbeitsplatz zugewiesen und sie werden mit diesen Repositorys geteilt, damit sie als Objekte in der Modellierung verfügbar sind.
Um die Synchronisation einzurichten, führen Sie folgende Schritte aus:
Wenn Sie den Authentifizierungsmechanismus LDAP-Authentifizierung einrichten, bevor Sie die periodische Synchronisation von Benutzern mit LDAP aktivieren, können wichtige Teile der Konfiguration wiederverwendet werden.
Voraussetzungen
Bevor Sie einen Zeitplan für die Synchronisierung einrichten, stellen Sie sicher, dass folgende Schritte abgeschlossen sind:
Konfigurieren Sie die allgemeinen LDAP-Einstellungen und geben Sie domainspezifische LDAP-Parameter an.
Passen Sie die konnektor-spezifischen LDAP-Einstellungen an. Aktivieren Sie dazu die LDAP-Kopplung und fügen Sie ein User Mapping für Ihren gewählten Konnektor hinzu.
Die Vorgehensweise ist dabei die gleiche wie beim Einrichten von LDAP-Authentifizierung - eine detaillierte Anleitung finden Sie im Abschnitt LDAP-Authentifizierung.
Synchronisierungszeitplan einrichten
Wenn alle Voraussetzungen erfüllt sind, können Sie einen Synchronisierungszeitplan einrichten:
- Öffnen Sie die ADOIT Administration und wechseln Sie zu Authentifizierung >LDAP.
Sie haben nun zwei Möglichkeiten:
Sie können im rechten Bereich unter LDAP-Einstellungen im Abschnitt Zeitplan die Synchronisation für alle Domains gleichzeitig konfigurieren.
Oder Sie können die Synchronisation für eine bestimmte Domain konfigurieren. Suchen Sie im linken Bereich unter LDAP-Domains nach der Domain, die Sie anpassen möchten. Bewegen Sie den Mauszeiger auf die Domain, klicken Sie auf Mehr, und dann auf Bearbeiten. Die benötigten Einstellungen befinden sich auf der dritten Seite, Zeitplan.
Die Konfiguration funktioniert in beiden auf die gleiche Art und Weise. Passen Sie folgende Parameter an:
Name
Wählen Sie einen Namen für diesen Job aus (für die Rückverfolgbarkeit in den Log-Dateien).
Filter
Ein Filter zur Eingrenzung, was aus dem Verzeichnisdienst abgefragt werden soll. Beispielsweise setzen Sie den Wert auf
(objectClass=user)
, um nur Benutzer abzufragen.Startknoten
Definieren Sie den Knoten in der Baumstruktur des Verzeichnisdiensts, der als Ausgangspunkt für Suchen nach Benutzern verwendet werden soll.
HinweisDer Parameter Sync-Basis-DN wird als Fallback verwendet, wenn für den Synchronisationsjob kein Startknoten definiert ist. Wenn weder Sync-Basis-DN noch Startknoten definiert sind, wird ersatzhalber der Parameter Login-Basis-DN ausgewertet.
Beginnt um
Optionales Startdatum, ab dem der Zeitplan aktiv werden soll. Standardmäßig ist der Zeitplan sofort aktiv.
Endet um
Optionales Enddatum, ab dem der Zeitplan inaktiv wird. Nach diesem Datum ist der Zeitplan nicht mehr aktiv.
Typ
Wählen Sie die Zeiteinheit für den Synchronisierungszeitplan aus. Zu den verfügbaren Optionen gehören sekündlich, minütlich, stündlich, täglich, wöchentlich, monatlich oder jährlich.
Intervall
Für Zeitpläne auf Basis von Sekunden, Minuten, Stunden oder Jahren. Definieren Sie die Häufigkeit der Synchronisation. Legen Sie fest, wie viele Zeiteinheiten zwischen jeder Wiederholung des Jobs verstreichen müssen.
Tag des Monats
Für Zeitpläne auf Basis von Monaten. Geben Sie den Tag des Monats an, an dem der Job ausgeführt werden soll.
Wochentage
Für Zeitpläne auf Basis von Tagen und Wochen. Wählen Sie folgendermaßen die Wochentage aus, an denen der Job ausgeführt werden soll:
Tage: Der Job wird standardmäßig jeden Tag ausgeführt, aber Sie können ihn optional auf bestimmte Wochentage beschränken.
Wochen: Der Job wird einmal pro Woche am ausgewählten Tag ausgeführt.
Ausführungszeit
Für Zeitpläne auf Basis von Tagen, Wochen oder Monaten. Definieren Sie die genaue Stunde und Minute, zu der der Job gestartet werden soll.
Wochentage: Wochentag, wählen Sie einen oder mehrere Wochentage aus.
Ausführungszeit: Die genaue Stunde und Minute, zu der der Job gestartet werden soll.
Beispiel
Name: my5minSync | Filter: (objectClass=user) | Startknoten: dc=company,dc=eu | Typ: minütlich | Intervall: 5
Objekte werden aus dem Verzeichnisdienst importiert:
- alle 5 Minuten [
Typ
= Minuten,Intervall
= alle 5 Zeiteinheiten (= Minuten) ausführen], - wenn es Benutzerobjekte sind [
Filter
= (objectClass=user)] und - wenn sie zum Knoten "dc=company,dc=eu" oder seinen Kindern gehören [
Startknoten
].
Synchronisation von Benutzern starten
Sobald die Änderungen in der ADOIT Administration gespeichert werden, werden sie sofort wirksam. Ein Neustart ist nicht erforderlich.
Die Synchronisation der Benutzer beginnt. Synchronisationsjobs, die in festen Zeitintervallen laufen, werden sofort ausgeführt und dann jedes Mal wiederholt, wenn das Zeitintervall verstrichen ist. Synchronisationsjobs, die auf Tagen, Wochen oder Monaten basieren, werden zur angegebenen Zeit ausgeführt.
Synchronisation nach Bedarf ausführen
Die ADOIT Administration erlaubt Ihnen, die Synchronisation nach Bedarf auszuführen. Die Synchronisation wird entsprechend der Konfiguration für alle konfigurierten Domänen durchgeführt:
Wechseln Sie in der ADOIT Administration zu Startseite > Weitere Optionen, und klicken Sie dann auf Server
Klicken Sie auf LDAP-Synchronisation starten.
(Optional) Fehlersuche
Allgemeine Informationen und Fehler werden in den Dateien "<Tomcat Installation>/logs/ADOIT17_0.log" und "<ADOIT Installation/*_aworker.log>" geloggt. Detaillierte Informationen werden in der Datei "< Tomcat Installation > / logs/ADOIT17_0_LDAP.log" geloggt.