Zum Hauptinhalt springen
Version: 17.1

LDAP-Authentifizierung einrichten

Bei der Anmeldung an ADOIT mit Hilfe der LDAP-Authentifizierung werden ADOIT Benutzer direkt gegen einen Verzeichnisdienst (z.B. Active Directory oder eDirectory) authentifiziert.

Benutzer, die sich zum ersten Mal an ADOIT anmelden, können abhängig von der Konfiguration "on-the-fly" in der ADOIT-Datenbank erzeugt werden. Sie werden vorkonfigurierten Benutzergruppen und System-Rollen zugewiesen. Optional werden ihnen spezifische Repositorys als Arbeitsplatz zugewiesen und sie werden mit diesen Repositorys geteilt, damit sie als Objekte in der Modellierung verfügbar sind.

Um diesen Authentifizierungsmechanismus zu konfigurieren, führen Sie folgende Schritte aus:

  1. LDAP-Einstellungen adaptieren

  2. Konnektorspezifische Einstellungen adaptieren

  3. Authentifizierung von Benutzern starten

Hinweis

In diesem Kapitel konzentrieren wir uns auf die wichtigsten und essentiellen Parameter, die für die Einrichtung der LDAP-Authentifizierung benötigt werden. Einen umfassenden Überblick über alle konfigurierbaren Parameter finden Sie unter Authentifizierung in der Hilfe zur Administration.

Hinweis

Dieser Authentifizierungsmechanismus basiert auf dem LDAPv3-Standard. Daher ist eine allgemeine Kompatibilität zu LDAPv3-konformen Verzeichnisdiensten gegeben.

LDAP-Einstellungen adaptieren

Zum Einrichten dieses Authentifizierungsmechanismus müssen Sie allgemeine LDAP-Einstellungen und domainspezifische Parameter konfigurieren:

Im Folgenden sind die Konfigurationsparameter aufgeführt, die angepasst werden müssen.

Allgemeine LDAP-Einstellungen

Zuerst müssen Sie allgemeine LDAP-Einstellungen anpassen, die für alle Domains gelten:

  • Bearbeiten Sie die LDAP-Einstellungen im rechten Bereich.

Passen Sie folgende Parameter an:

  • Aktiviert

    Aktivieren Sie diese Option, um den LDAP-Mechanismus global einzuschalten.

  • Eigenschaften

    Definieren Sie die LDAP-Eigenschaften, die für alle Benutzer verfügbar sein sollen. Für Active Directory sind dies normalerweise Attribute wie mail, sAMAccountName, displayName, givenName, distinguishedName, cn, memberOf, sn und department. Diese Attribute werden für das User Mapping verwendet, um System-Rollen, Benutzergruppen, Repositorys und mehr zuzuordnen.

    Beispiel

    Name: cn, Rekursive Knotensuche: nein

    Legt die LDAP-Eigenschaft "cn" fest, die sich auf das Active Directory Attribut "Common Name" bezieht.

Die anderen allgemeinen LDAP-Parameter müssen normalerweise nicht angepasst werden.

Domainspezifische LDAP-Parameter

Jetzt müssen Sie domainspezifische Parameter anpassen:

  • Klicken Sie im linken Bereich unter LDAP-Domains auf Erstellen, um eine neue Domain hinzuzufügen.

Sobald Sie die Domain hinzugefügt haben, können Sie sofort mit der Bearbeitung der Konfiguration beginnen. Passen Sie folgende Parameter an:

  • Rangordnung

    Repräsentiert die Reihenfolge, in der Domains für die Verarbeitung einer Authentifizierungsanfrage herangezogen werden. Stellen Sie sicher, dass die neue Domain die höchste Priorität erhält, indem Sie diesen Wert auf "1" setzen.

  • Name

    Repräsentiert die Kennung dieser Domain. Sie können einen beliebigen Namen wählen.

  • Anbieter-URL

    Legt die URL für den LDAP-Verzeichnisserver fest. Dieser Wert hat die Form ldap://host:port. Verwenden Sie IP-Adressen anstelle von Domain-Namen, um eine DNS-Abfrage zu vermeiden.

  • Sicherheitsprotokoll

    Wenn Sie LDAPS verwenden, müssen Sie hier SSL aktivieren und ein SSL-Zertifikat (X509) hochladen.

  • Principal

    Diese Eigenschaft repräsentiert den Benutzernamen des Hauptbenutzers zum Nachschlagen aller anderen Benutzer. Dieser Benutzer muss Lesezugriff auf alle Bereiche des Verzeichnisdiensts haben, die in ADOIT verwendet werden.

  • Principal-Domain

    Diese Eigenschaft repräsentiert die Domain des Hauptbenutzers.

  • Principal-Format

    In diesem Feld wird festgelegt, wie der Benutzername und die Domain des Auftraggebers für die Authentifizierung beim Verzeichnisdienst zusammengesetzt werden sollen. Platzhalter (%principal%, %principaldomain%) repräsentieren den Anmeldenamen und die Domain. Ihre Anordnung hängt vom verwendeten Verzeichnisdienst ab. Zum Beispiel ist das Format bei Microsoft Active Directory typischerweise %principal%@%principaldomain%, während es bei IBM Tivoli cn=%principal%,%principaldomain% ist (wobei principaldomain einer bestimmten Struktur folgt, z. B. "o=domain.com" ). Weitere Informationen finden Sie im Infotext zu dieser Einstellung.

  • Passwort

    Diese Eigenschaft repräsentiert das Passwort des Hauptbenutzers. Wird verschlüsselt gespeichert.

  • Eindeutiger Bezeichner

    Wählen Sie eine Eigenschaft aus, die als eindeutige Kennung des Benutzers für den internen Gebrauch dient. Sie können mehrere Eigenschaften auswählen für den Fall, dass verschiedene Benutzer unterschiedliche Eigenschaften verwenden:

    Beispiel

    cn, distinguishedName

    Legt die LDAP-Eigenschaften "cn" und "distinguishedName" als eindeutige Kennungen fest.

    Die verschiedenen eindeutigen Kennungen werden nacheinander abgearbeitet und die erste gefundene verwendet.

  • Login-Basis-DN

    Repräsentiert den Startpunkt in Ihrer Verzeichnisstruktur, von dem aus der LDAP-Server während des Authentifizierungsprozesses mit der Suche nach Benutzerobjekten beginnt. Ersetzen Sie company durch den tatsächlichen Namen Ihres Unternehmens oder Ihrer Domäne und com durch die geeignete Top-Level-Domain (TLD) für Ihre Organisation.

  • Login-Filter

    Diese erforderliche Filteroption enthält einen Platzhalter für den Benutzernamen, der verwendet wird, um das entsprechende Benutzerobjekt im LDAP-Verzeichnis genau zu identifizieren. Die Standardkonfiguration (&(objectClass=user)(sAMAccountName=%username%)) ist in der Regel ausreichend und muss normalerweise nicht angepasst werden. Beim Anmeldeversuch eines Benutzers ersetzt ADOIT %username% automatisch durch den eingegebenen Benutzernamen. Der Filter durchsucht dann das LDAP-Verzeichnis nach einem Benutzerobjekt, dessen sAMAccountName-Attribut mit dem eingegebenen Benutzernamen übereinstimmt. Wenn ein entsprechender Eintrag gefunden wird, bestätigt ADOIT, dass die Anmeldeinformationen einem gültigen Benutzer im Verzeichnis entsprechen. Weitere Informationen zu den zulässigen Filtertypen und Booleschen Operatoren finden Sie im Infotext zu dieser Einstellung.

  • Standard-Konnektor

    Eine optionale Eigenschaft zur Festlegung des Konnektors mit LDAP-Kopplung, der zur Bestimmung des User Mappings verwendet werden soll, wenn LDAP außerhalb des Kontexts eines spezifischen Konnektors genutzt wird. Ein Beispiel dafür ist die Synchronisation von Benutzern über einen geplanten Task. Wählen Sie den Standard-Konnektor ("Standard Login") aus.

Die anderen domainspezifischen Parameter müssen normalerweise nicht angepasst werden.

Konnektor-Spezifische Einstellungen adaptieren

Jeder Authentifizierungsmechanismus (= Konnektor) kann so konfiguriert werden, dass er eine LDAP-Kopplung verwendet, um zusätzliche Benutzerdaten abzurufen. Die Authentifizierung gegen den angegebenen Verzeichnisdienst erfolgt jedoch nur, wenn die LDAP-Kopplung für einen Konnektor vom Typ STANDARD konfiguriert wird:

  • Wechseln Sie in der ADOIT Administration zu Authentifizierung > Konnektoren .

  • Bewegen Sie den Mauszeiger auf den Konnektor Standard Login, klicken Sie auf Mehr, und dann auf Bearbeiten. Jetzt können Sie den Konnektor konfigurieren.

Hinweis

Wenn dieser Konnektor aktiv ist, wird die Standard-Anmeldeseite angezeigt, auf der ein Benutzer seinen Benutzernamen und sein Passwort eingeben kann. Wenn keine LDAP-Kopplung konfiguriert ist, werden diese Anmeldeinformationen verwendet, um den Benutzer gegen die verfügbaren Daten in der Datenbank zu authentifizieren. Wenn eine LDAP-Kopplung konfiguriert ist, werden die angegebenen Anmeldeinformationen für die Authentifizierung des Benutzers gegen den konfigurierten Verzeichnisdienst verwendet.

Sie müssen Einstellungen auf den Seiten LDAP-Kopplung und User Mapping der Konnektorkonfiguration anpassen.

LDAP-Kopplung

Passen Sie zuerst auf Seite 3 der Konnektorkonfiguration, LDAP-Kopplung, folgenden Parameter an:

  • LDAP-Kopplung aktivieren/deaktivieren

    Aktivieren Sie diese Option, um die LDAP-Kopplung für diesen Konnektor einzuschalten.

Die anderen Parameter auf der Seite LDAP-Kopplung müssen normalerweise nicht angepasst werden.

User Mapping

Mit folgenden Parametern auf Seite 4 der Konnektorkonfiguration, User Mapping, steuern Sie, wie der Authentifizierungsprozess mit Benutzern umgeht, die sich anmelden. Sie können beispielsweise festlegen, ob ein Benutzer erstellt werden soll, falls er noch nicht existiert, oder welche LDAP-Eigenschaften zum Zuweisen von System-Rollen, Benutzergruppen usw. verarbeitet werden.

Hinweis

Es können nur Eigenschaften ausgewählt werden, die Sie zuvor in den allgemeinen LDAP-Einstellungen definiert haben.

  • Eigenschaften

    Mapping von LDAP-Eigenschaften auf Benutzerattribute in ADOIT.

    Beispiel

    Name: sn, Attribut: Nachname

    Der Wert der LDAP-Eigenschaft "sn" wird in ADOIT dem Attribut "Nachname" zugewiesen.

Rollen

Weisen Sie Benutzern in ADOIT System-Rollen zu.

  • Standardrollen: Definieren Sie die standardmäßigen System-Rollen, die Benutzern zugewiesen werden, wenn keine anderen Rollenzuordnungen zutreffen.

  • Rollen: Weisen Sie System-Rollen auf Basis von LDAP-Eigenschaften zu:

    • Eigenschaft: Wählen Sie die LDAP-Eigenschaft für die Zuweisung der System-Rolle aus.

    • Typ: Wählen Sie eine Methode zum Abgleichen von Werten aus (siehe Mögliche Methoden zum Abgleichen von Werten).

    • Match: Definieren Sie den Wert, den Sie abgleichen möchten.

    • Zielname: Wählen Sie die System-Rolle in ADOIT aus, die zugewiesen werden soll.

Gruppen

Weisen Sie Benutzern in ADOIT Benutzergruppen zu.

  • Standardgruppen: Definieren Sie die standardmäßigen Benutzergruppen, die Benutzern zugewiesen werden, wenn keine anderen Gruppenzuordnungen zutreffen.

  • Gruppen: Weisen Sie Benutzergruppen auf Basis von LDAP-Eigenschaften zu:

    • Eigenschaft: Wählen Sie die Eigenschaft für die Zuweisung der Benutzergruppe aus.

    • Typ: Wählen Sie eine Methode zum Abgleichen von Werten aus (siehe Mögliche Methoden zum Abgleichen von Werten).

    • Match: Definieren Sie den Wert, den Sie abgleichen möchten.

    • Zielname: Wählen Sie die Benutzergruppe in ADOIT aus, die zugewiesen werden soll.

Beispiel

Benutzergruppe: Modellierer, Eigenschaft: department, Typ: contains, Match: Designer

Der Wert der Eigenschaft "department" muss "Designer" enthalten, damit der Benutzer zur Benutzergruppe "Modellierer" zugeordnet wird.

Repository

Weisen Sie Benutzern in ADOIT bestimmte Repositorys als Arbeitsplatz zu. Die Benutzer werden gleichzeitig als Objekte in der Modellierung verfügbar gemacht.

  • Basis-Zuweisungen: Legen Sie die Basis-Repositorys fest, die jedem Benutzer automatisch zugewiesen werden sollen. Zusätzlich können Sie bedingte Repository-Zuweisungen konfigurieren, aber diese Repositorys dienen als Basis für alle Benutzer. Wählen Sie "Alle Repositorys" oder ein bestimmtes Repository aus. Bei Auswahl eines bestimmten Repositorys können Sie außerdem eine Objektgruppe festlegen, in der sich die zugewiesenen Benutzerobjekte befinden sollen.

  • Bedingte Zuweisungen: Konfigurieren Sie benutzerdefinierte Repositoryzuweisungen mit:

    • Eigenschaft: Wählen Sie die Eigenschaft für die Zuweisung des Repositorys aus.

    • Typ: Wählen Sie eine Methode zum Abgleichen von Werten aus (siehe Mögliche Methoden zum Abgleichen von Werten).

    • Match: Definieren Sie den Wert, den Sie abgleichen möchten.

    • Zielname: Wählen Sie das Repository in ADOIT aus, das zugewiesen werden soll. Sie können entweder "Alle Repositorys" oder ein bestimmtes Repositorys als Ziel angeben. Bei Auswahl eines bestimmten Repositorys können Sie außerdem eine Objektgruppe festlegen, in der sich die zugewiesenen Benutzerobjekte befinden sollen.

Named Use

Weisen Sie Benutzern in ADOIT benannten Zugriff auf Szenarien zu.

  • Standard-Szenarien: Definieren Sie die Szenarien, für die Benutzer standardmäßig benannten Benutzerzugriff haben sollen, wenn keine anderen Szenariozuordnungen zutreffen.

  • Szenarien: Konfigurieren Sie benutzerdefinierte Szenariozuordnungen mit:

    • Eigenschaft: Wählen Sie die Eigenschaft für die Zuweisung des Szenarios aus.

    • Typ: Wählen Sie eine Methode zum Abgleichen von Werten aus (siehe Mögliche Methoden zum Abgleichen von Werten).

    • Match: Definieren Sie den Wert, den Sie abgleichen möchten.

    • Zielname: Wählen Sie das Szenario in ADOIT aus, das zugewiesen werden soll.

Mapped User Verwaltung

Zur Festlegung von Fällen, wo bereits authentifizierte Benutzer auf Alias-Benutzer gemappt werden sollen (= als solche behandelt werden sollen). Diese Alias-Benutzer repräsentieren die authentifizierten Benutzer, wenn sie sich an ADOIT anmelden. Beispielsweise können Sie so eine bestimmte Gruppe von Anwendern auf einen Benutzer mappen, der Zugriff auf das Organisationsportal hat.

  • Standardmäßig zugeordnete Benutzer : Definieren Sie einen standardmäßigen Alias-Benutzer, auf den Benutzer gemappt werden sollen, wenn keine andere Zuordnung zutrifft (nur für neue Benutzer).

  • Mapped User: Konfigurieren Sie benutzerdefinierte Alias-Benutzer-Zuordnungen mit:

    • Eigenschaft: Wählen Sie die Eigenschaft für die Zuweisung des Alias-Benutzers aus.

    • Typ: Wählen Sie eine Methode zum Abgleichen von Werten aus (siehe Mögliche Methoden zum Abgleichen von Werten).

    • Match: Definieren Sie den Wert, den Sie abgleichen möchten.

    • Vorhandene Benutzer zuordnen: Optional können Sie angeben, wie vorhandene Benutzer behandelt werden sollen. Wenn diese Option aktiviert ist, wird der authentifizierte Benutzer immer durch den Alias-Benutzer repräsentiert wird, wenn das Mapping zutrifft. Wenn deaktiviert, gilt das Mapping nur für neue Benutzer, die noch nicht in der ADOIT-Datenbank vorhanden sind und nicht automatisch erstellt werden können.

    • Zielname: Wählen Sie den Alias-Benutzer in ADOIT aus, der zugewiesen werden soll.

Benutzer synchronisieren

Steuerung der automatischen Benutzererstellung und -synchronisierung:

  • Benutzer automatisch erstellen: Legen Sie fest, ob Benutzer, die sich zum ersten Mal an ADOIT anmelden, "on-the-fly" in der ADOIT-Datenbank erzeugt werden.

  • Automatische Synchronisation: Legen Sie fest, ob Benutzerdaten entsprechend den von Active Directory abgerufenen Informationen bei jeder Anmeldung und/oder bei jeder periodischen Synchronisation aktualisiert werden sollen. Manuelle Änderungen an den Daten eines Benutzers durch den ADOIT-Administrator werden damit überschrieben.

    Welche Benutzerdaten synchronisiert werden, kann in den untergeordneten Eigenschaften dieses Parameters definiert werden:

    • Attribute synchronisieren (= Eigenschaften)

    • Rollen synchronisieren

    • Gruppen synchronisieren

    • Repositorys synchronisieren

    • Named Use synchronisieren

Löschverhalten von Benutzern

Löschverhalten von Benutzern: Legen Sie fest, was mit Benutzern passiert, die während der Synchronisation nicht gefunden werden.

  • Nicht gefundene Benutzer löschen: Legen Sie fest, ob nicht gefundene Benutzer gelöscht werden sollen.

  • Nicht löschbare Benutzer in Benutzergruppe verschieben: Legen Sie fest, ob nicht gefundene Benutzer, die während der Synchronisation nicht gelöscht werden können, in eine bestimmte Benutzergruppe verschoben werden sollen. Wenn diese Option aktiviert ist, müssen Sie eine Gruppe auswählen, in die diese Benutzer verschoben werden sollen. Ansonsten werden die Benutzer nicht verschoben.

Hinweis

Welche Benutzer sind nicht löschbar?

  • Benutzer die gerade angemeldet sind.

  • Benutzer, die mit einem Repository geteilt wurden (= damit sie als Objekte in der Modellierung verfügbar sind), wenn sie in einem Modell verwendet werden oder eingehende Referenzen haben.

Die anderen Parameter auf der Seite User Mapping müssen normalerweise nicht angepasst werden.

Authentifizierung von Benutzern starten

Speichern Sie die Änderungen in der ADOIT Administration. Alle Benutzer, die sich an der oder den konfigurierten Domains anmelden können, sollten sich jetzt auch an ADOIT anmelden können. Wenn Benutzer noch nicht in der Datenbank vorhanden sind, werden sie dort erzeugt. Anhand des Mappings in der Konfiguration werden sie entsprechenden Benutzergruppen und System-Rollen zugewiesen.

(Optional) Fehlersuche

Fehler werden in den Dateien "<Tomcat Installation>/logs/ADOIT17_1.log" und "<ADOIT Installation/*_aworker.log>" geloggt.