Systembenutzer migrieren
Bis ADOIT 16.0 konnten Windows-Benutzer über die Desktop-Anwendung Administrations-Toolkit manuell aus Microsoft Active Directory importiert werden. Diese sogenannten "Systembenutzer" wurden direkt gegen Active Directory authentifiziert und konnten für eine sichere Authentifizierung in ADOIT und im Administrations-Toolkit verwendet werden.
Mit dem Release von ADOIT 17.0 wurde die Unterstützung für die Anmeldung mit "Systembenutzern" eingestellt. Um Benutzer in ADOIT 17.0 weiterhin mit relativ geringem Konfigurationsaufwand gegen Active Directory authentifizieren zu können, kann LDAP-Authentifizierung konfiguriert werden. Alternativ können die Authentifizierungsmechanismen IDM, SAML oder OIDC verwendet werden.
LDAP-Authentifizierung für "Systembenutzer" einrichten
So konfigurieren Sie LDAP-Authentifizierung, damit sich "Systembenutzer" gegen Active Directory authentifizieren können:
Diese Anleitung beschreibt nur die notwendigen Parameter, die erforderlich sind, um die Authentifizierung für ehemalige "Systembenutzer" in ADOIT 17.0 zu ermöglichen. Informationen zu weiteren Parametern finden Sie im Abschnitt LDAP in der Hilfe zur Administration.
LDAP-Einstellungen adaptieren
Zur Migration von "Systembenutzern" müssen Sie allgemeine LDAP-Einstellungen und domainspezifische Parameter konfigurieren:
- Öffnen Sie die ADOIT Administration und wechseln Sie zu Authentifizierung >LDAP.
Im Folgenden sind die Konfigurationsparameter aufgeführt, die angepasst werden müssen.
Allgemeine LDAP-Einstellungen
Zuerst müssen Sie allgemeine LDAP-Einstellungen anpassen, die für alle Domains gelten:
- Bearbeiten Sie die LDAP-Einstellungen im rechten Bereich.
Klappen Sie den Bereich Allgemein auf und passen Sie folgende Parameter an:
Aktiviert
Aktivieren Sie diese Option, um den LDAP-Mechanismus global einzuschalten.
Eigenschaften
Definieren Sie die LDAP-Eigenschaften, die für alle Benutzer verfügbar sein sollen. Die Eigenschaft
sAMAccountName
muss enthalten sein, da sie zur eindeutigen Identifizierung von Benutzern verwendet wird und als Anmeldename innerhalb von ADOIT dient. Andere Eigenschaften sind optional.
Beispiel
Fügen Sie folgende Eigenschaft hinzu:
Name:
sAMAccountName
, Rekursive Knotensuche:nein
Legt die LDAP-Eigenschaft "sAMAccountName" fest, die sich auf das Active Directory Attribut "Security Account Manager (SAM) Account Name" bezieht.
Die anderen allgemeinen LDAP-Parameter müssen normalerweise nicht angepasst werden.
Domainspezifische LDAP-Parameter
Jetzt müssen Sie domainspezifische Parameter anpassen:
- Klicken Sie im linken Bereich unter LDAP-Domains auf Erstellen, um eine neue Domain hinzuzufügen.
Sobald Sie die Domain hinzugefügt haben, können Sie sofort mit der Bearbeitung der Konfiguration beginnen. Passen Sie folgende Parameter an:
Rangordnung
Repräsentiert die Reihenfolge, in der Domains für die Verarbeitung einer Authentifizierungsanfrage herangezogen werden. Stellen Sie sicher, dass die neue Domain die höchste Priorität erhält, indem Sie diesen Wert auf "1" setzen.
Name
Repräsentiert die Kennung dieser Domain. Sie können einen beliebigen Namen wählen.
Anbieter-URL
Legt die URL für den LDAP-Verzeichnisserver fest. Dieser Wert hat die Form
ldap://host:port
. Verwenden Sie IP-Adressen anstelle von Domain-Namen, um eine DNS-Abfrage zu vermeiden.Principal
Repräsentiert den Benutzernamen des Hauptbenutzers zum Nachschlagen aller anderen Benutzer. Dieser Benutzer muss Lesezugriff auf alle Bereiche des Verzeichnisdiensts haben, die in ADOIT verwendet werden.
Principal-Domain
Repräsentiert die Domain des Hauptbenutzers.
Principal-Format
In diesem Feld wird festgelegt, wie der Benutzername und die Domäne des Auftraggebers für die Authentifizierung beim Verzeichnisdienst zusammengesetzt werden sollen. Setzen Sie den Wert für Microsoft Active Directory auf
%principal%@%principaldomain%
.Passwort
Repräsentiert das Passwort des Hauptbenutzers. Wird verschlüsselt gespeichert.
Login-Basis-DN
Repräsentiert den Startpunkt in Ihrer Verzeichnisstruktur, von dem aus der LDAP-Server während des Authentifizierungsprozesses mit der Suche nach Benutzerobjekten beginnt. Ersetzen Sie
company
durch den tatsächlichen Namen Ihres Unternehmens oder Ihrer Domäne undcom
durch die geeignete Top-Level-Domain (TLD) für Ihre Organisation.Login-Filter
Diese erforderliche Filteroption enthält einen Platzhalter für den Benutzernamen, der verwendet wird, um das entsprechende Benutzerobjekt im LDAP-Verzeichnis genau zu identifizieren. Setzen Sie den Wert auf
(&(objectClass=user)(sAMAccountName=%username%))
. Beim Anmeldeversuch eines Benutzers ersetzt ADOIT%username%
automatisch durch den eingegebenen Benutzernamen. Der Filter durchsucht dann das LDAP-Verzeichnis nach einem Benutzerobjekt, dessensAMAccountName
-Attribut mit dem eingegebenen Benutzernamen übereinstimmt. Wenn ein entsprechender Eintrag gefunden wird, bestätigt ADOIT, dass die Anmeldeinformationen einem gültigen Benutzer im Verzeichnis entsprechen.Standard-Konnektor
Repräsentiert den Konnektor mit LDAP-Kopplung an, der verwendet werden soll, um das User Mapping zu bestimmen, wenn LDAP außerhalb des Kontexts eines spezifischen Konnektors genutzt wird (z. B. bei der Synchronisation von Benutzern über einen geplanten Task). Wählen Sie den Standard-Konnektor ("Standard Login") aus.
Die anderen domainspezifischen Parameter müssen normalerweise nicht angepasst werden.
Konnektorspezifische Einstellungen adaptieren
Als nächstes müssen Sie die LDAP-Kopplung für den Standard-Konnektor ("Standard Login") konfigurieren, um zusätzliche Benutzerdaten abzurufen und die Authentifizierung von Benutzern gegen Active Directory zu ermöglichen.
Wechseln Sie in der ADOIT Administration zu Authentifizierung > Konnektoren .
Bewegen Sie den Mauszeiger auf den Konnektor Standard Login, klicken Sie auf Mehr, und dann auf Bearbeiten. Jetzt können Sie den Konnektor konfigurieren.
Wenn der Standard-Konnektor aktiv ist, wird die Standard-Anmeldeseite angezeigt, auf der ein Benutzer seinen Benutzernamen und sein Passwort eingeben kann. Wenn keine LDAP-Kopplung konfiguriert ist, werden diese Anmeldeinformationen verwendet, um den Benutzer gegen die verfügbaren Daten in der Datenbank zu authentifizieren. Wenn eine LDAP-Kopplung konfiguriert ist, werden die angegebenen Anmeldeinformationen für die Authentifizierung des Benutzers gegen den konfigurierten Verzeichnisdienst verwendet.
Passen Sie folgenden Parameter auf Seite 3 LDAP-Kopplung an:
LDAP-Kopplung aktivieren/deaktivieren
Aktivieren Sie diese Option, um die LDAP-Kopplung für diesen Konnektor einzuschalten.
Passen Sie dann folgende Parameter auf Seite 4 User Mapping im Bereich Benutzer synchronisieren an:
Benutzer automatisch erstellen
Aktivieren Sie diese Option, damit Benutzer, die sich zum ersten Mal an ADOIT anmelden, "on-the-fly" in der ADOIT-Datenbank erzeugt werden.
Automatische Synchronisation
Aktivieren Sie diese Option, damit Benutzerdaten entsprechend den vom Verzeichnisdienst abgerufenen Informationen bei jeder Anmeldung aktualisiert werden. Manuelle Änderungen an den Daten eines Benutzers durch den ADOIT-Administrator werden damit überschrieben.
Welche Benutzerdaten synchronisiert werden, kann in den untergeordneten Eigenschaften dieses Parameters definiert werden (aktivieren Sie vorerst nur Attribute synchronisieren):
Attribute synchronisieren: Legt fest, ob die Benutzerattribute automatisch zwischen LDAP und ADOIT synchronisiert werden sollen. Aktivieren Sie diese Option.
Rollen synchronisieren: Legt fest, ob die Zuordnung von Benutzergruppen bei jeder Synchronisierung der Benutzerdaten aktualisiert wird. Deaktivieren Sie diese Option, damit bestehende Gruppenzuordnungen nicht überschrieben werden.
Gruppen synchronisieren: Legt fest, ob die Zuordnung von benannten Benutzern zu Szenarien bei jeder Synchronisierung der Benutzerdaten aktualisiert werden soll. Deaktivieren Sie diese Option, damit bestehende Szenariozuordnungen nicht überschrieben werden.
Repositorys synchronisieren: Legt fest, ob die Zuordnung von Repositorys bei jeder Synchronisierung der Benutzerdaten aktualisiert werden soll. Deaktivieren Sie diese Option, damit bestehende Repository-Zuordnungen nicht überschrieben werden.
Named Use synchronisieren: Legt fest, ob die Zuordnung von System-Rollen bei jeder Synchronisierung der Benutzerdaten aktualisiert werden soll. Deaktivieren Sie diese Option, damit bestehende Zuordnungen von System-Rollen nicht überschrieben werden.
Die anderen konnektorspezifischen Parameter müssen normalerweise nicht angepasst werden.
Authentifizierung von Benutzern starten
Speichern Sie die Änderungen in der ADOIT Administration. Alle Benutzer, die sich an der konfigurierten Domäne anmelden können, sollten sich jetzt auch an ADOIT anmelden können.
Wenn Benutzer noch nicht in der Datenbank vorhanden sind, werden sie automatisch erzeugt, wenn sie sich zum ersten Mal an ADOIT anmelden. Diesen neuen Benutzern müssen jedoch weiterhin manuell Benutzergruppen, System-Rollen, Repositorys usw. zugeordnet werden. Um eine automatische Zuordnung dieser Elemente basierend auf LDAP-Daten zu ermöglichen, sind zusätzliche Konfigurationsschritte erforderlich (siehe Abschnitt User Mapping in der Hilfe zur Administration für weitere Einzelheiten).
(Optional) Fehlersuche
Fehler werden in den Dateien "<Tomcat Installation>/logs/ADOIT17_0.log" und "<ADOIT Installation/*_aworker.log>" geloggt.