Systembenutzer migrieren
Bis ADONIS 15.0 konnten Windows-Benutzer über die Desktop-Anwendung Administrations-Toolkit manuell aus dem Verzeichnisdienst Microsoft Active Directory importiert werden. Diese sogenannten "Systembenutzer" wurden direkt gegen Active Directory authentifiziert und konnten für eine sichere Authentifizierung in ADONIS und im Administrations-Toolkit verwendet werden.
Mit dem Release von ADONIS 16.0 wurde die Unterstützung für die Anmeldung mit "Systembenutzern" eingestellt. Um Benutzer in ADONIS 16.0 weiterhin mit relativ geringem Konfigurationsaufwand gegen Active Directory authentifizieren zu können, kann LDAP-Authentifizierung konfiguriert werden. Alternativ können die Authentifizierungsmechanismen IDM, SAML oder OIDC verwendet werden.
LDAP-Authentifizierung für "Systembenutzer" einrichten
So konfigurieren Sie LDAP-Authentifizierung, damit sich "Systembenutzer" gegen Active Directory authentifizieren können:
Diese Anleitung beschreibt nur die notwendigen Parameter, die erforderlich sind, um die Authentifizierung für ehemalige "Systembenutzer" in ADONIS 16.0 zu ermöglichen. Informationen zu weiteren Parametern finden Sie in der Vorlage, die Sie auf der Seite Allgemeine Einstellungen herunterladen können, und im Abschnitt Login mit LDAP-Kopplung.
Um diesen Authentifizierungsmechanismus zu konfigurieren, benötigen Sie Erfahrung mit JSON. Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren ADONIS-Kundenbetreuer.
Globale LDAP-Einstellungen adaptieren
Zur Migration von "Systembenutzern" müssen Sie allgemeine LDAP-Parameter und domänenspezifische LDAP-Parameter konfigurieren:
Öffnen Sie die ADONIS Administration.
Wechseln Sie zu Startseite > Weitere Optionen, und klicken Sie dann auf LDAP.
Im Folgenden sind die Konfigurationsparameter aufgeführt, die angepasst werden müssen.
Allgemeine LDAP-Parameter
Zuerst müssen Sie allgemeine Parameter anpassen, die für alle Domänen gelten:
- Bearbeiten Sie die LDAP-Einstellungen.
Passen Sie folgende Parameter an:
enabled
Legt fest, ob der LDAP-Mechanismus global aktiviert ist. Setzen Sie diesen Parameter auf "true".
default_domain
Geben Sie die Domäne an, die für die Authentifizierung und die Abfrage von Benutzerdaten verwendet wird.
Array "properties" (Eigenschaften: name etc.)
Definieren Sie die LDAP-Eigenschaften, die für alle Benutzer verfügbar sein sollen. Die Eigenschaft
sAMAccountName
muss enthalten sein, da sie zur eindeutigen Identifizierung von Benutzern verwendet wird und als Anmeldename innerhalb von ADONIS dient. Andere Eigenschaften sind optional.Beispiel
"properties": [ { "name": "sAMAccountName" }]
Legt die LDAP-Eigenschaft "sAMAccountName" fest, die sich auf das Active Directory Attribut "Security Account Manager (SAM) Account Name" bezieht.
Minimalkonfiguration
Für eine funktionierende Minimalkonfiguration ersetzen Sie die vorhandenen Einstellungen durch das
folgende JSON, und ersetzen Sie dann den Platzhalter <Domänenname>
durch Ihren Domänennamen:
{
"allow_client_action": false,
"default_domain": "<Domänenname>",
"enabled": true,
"environment": {},
"properties": [
{
"name": "sAMAccountName",
"recursiveNodeLookup": false
}
]
}
Domänenspezifische LDAP-Parameter
Jetzt müssen Sie domänenspezifische Parameter anpassen:
Klicken Sie unter Domains auf die Neuer Konnektor Schaltfläche , um eine neue Domäne hinzuzufügen.
Klicken Sie auf die Konnektor bearbeiten Schaltfläche , um Ihre neue Domäne zu bearbeiten.
Die neue Domäne enthält bereits einige Parameter. Passen Sie folgende Parameter an:
defaultConnector
Der Wert der Eigenschaft defaultConnector muss die ID des Standard-Konnektors sein (standardmäßig "Standard Login").
login_base_dn
Die Angabe der Basisdomäne, in der sich die Benutzerobjekte befinden.
login_filter
Diese erforderliche Filteroption enthält einen Platzhalter für den Benutzernamen, der verwendet wird, um das entsprechende Benutzerobjekt im LDAP-Verzeichnis genau zu identifizieren. Die Standardkonfiguration
"login_filter": "(&(objectClass=user)(sAMAccountName=%username%))"
ist in der Regel ausreichend und muss normalerweise nicht angepasst werden. Beim Anmeldeversuch eines Benutzers ersetzt ADONIS%username%
automatisch durch den eingegebenen Benutzernamen. Der Filter durchsucht dann das LDAP-Verzeichnis nach einem Benutzerobjekt, dessensAMAccountName
-Attribut mit dem eingegebenen Benutzernamen übereinstimmt. Wenn ein entsprechender Eintrag gefunden wird, bestätigt ADONIS, dass die Anmeldeinformationen einem gültigen Benutzer im Verzeichnis entsprechen.name
name repräsentiert die Kennung dieser Domäne.
password
password repräsentiert das Passwort des Hauptbenutzers zum Nachschlagen aller anderen Benutzer in verschlüsselter Form. Ein Hilfsprogramm zur Verschlüsselung des Passworts finden Sie im Verzeichnis "03 Web Application\02 Tools\02 Password Encryption Tool" im Installationspaket.
principal
principal repräsentiert den Benutzernamen des Hauptbenutzers zum Nachschlagen aller anderen Benutzer. Dieser Benutzer muss Lesezugriff auf alle Bereiche des Verzeichnisdiensts haben, die in ADONIS verwendet werden.
principal_domain
principal_domain repräsentiert die Domäne des Hauptbenutzers.
provider_url
Legt die URL für den LDAP-Verzeichnisserver fest. Dieser Wert hat die Form "ldap://host:port". Verwenden Sie IP-Adressen anstelle von Domänen-Namen, um eine DNS-Abfrage zu vermeiden.
Minimalkonfiguration
Für eine funktionierende Minimalkonfiguration können Sie die vorhandenen Einstellungen durch das folgende JSON ersetzen, und dann die Platzhalter mit Ihren tatsächlichen Werten ersetzen
{
"defaultConnector": "Standard Login",
"index": 0,
"login_base_dn": "<Angabe der Basisdomäne>",
"login_filter": "(&(objectClass=user)(sAMAccountName=%username%))",
"name": "<Domänenname>",
"page_size": 0,
"password": "<Passwort des Hauptbenutzers in verschlüsselter Form>",
"principal": "<Hauptbenutzer Anmeldename>",
"principal_domain": "<Domäne des Hauptbenutzers>"
"principal_format": "%principal%@%principaldomain%",
"provider_url": "<URL für den LDAP-Verzeichnisserver>",
"sync_filter": "(objectClass=user)"
}
Konnektor-Spezifische Einstellungen adaptieren
Als nächstes müssen Sie die LDAP-Kopplung für den Standard-Konnektor ("Standard Login") konfigurieren, um zusätzliche Benutzerdaten abzurufen und die Authentifizierung von Benutzern gegen Active Directory zu ermöglichen.
Wechseln Sie in der ADONIS Administration zu Startseite > Weitere Optionen, und klicken Sie dann auf Allgemeine Einstellungen
Klicken Sie rechts auf dem Standard Login Konnektor auf die Konnektor bearbeiten Schaltfläche .
Dieser Abschnitt stellt den Standard-Konnektor dar. Wenn diese Verbindung aktiv ist, wird die Standard-Anmeldeseite angezeigt, auf der der Benutzer seinen Benutzernamen und sein Passwort eingeben kann. Wenn keine LDAP-Kopplung konfiguriert ist, werden diese Anmeldeinformationen verwendet, um den Benutzer gegen die verfügbaren Daten in der Datenbank zu authentifizieren. Wenn eine LDAP-Kopplung konfiguriert ist, werden die angegebenen Anmeldeinformationen für die Authentifizierung des Benutzers gegen den konfigurierten Verzeichnisdienst verwendet.
Im Folgenden sind die Konfigurationsparameter aufgeführt, die angepasst werden müssen.
ldap (Eigenschaft: enabled)
Legt fest, ob die LDAP-Kopplung für diesen Konnektor aktiviert ist oder nicht. Setzen Sie diesen Parameter auf "true".
user-mapping (Eigenschaft: autoCreateUser)
Legt fest, ob Benutzer, die sich zum ersten Mal an ADONIS anmelden, "on-the-fly" in der ADONIS-Datenbank erzeugt werden. Setzen Sie diesen Parameter auf "true".
user-mapping (Eigenschaft: auto_sync_user)
Dieses Objekt enthält mehrere Eigenschaften, die steuern, welche Benutzerdaten entsprechend den vom Verzeichnisdienst abgerufenen Informationen bei jeder Synchronisierung der Benutzerdaten (d. h. wenn sich der Benutzer anmeldet) aktualisiert werden sollen. Manuelle Änderungen an den Daten eines Benutzers durch den ADONIS-Administrator werden damit überschrieben. Diese Eigenschaften sind:
auto_sync_attributes: Legt fest, ob die Benutzerattribute automatisch zwischen LDAP und ADONIS synchronisiert werden sollen. Setzen Sie diesen Parameter auf "true".
auto_sync_groups: Legt fest, ob die Zuordnung von Benutzergruppen bei jeder Synchronisierung der Benutzerdaten aktualisiert wird. Setzen Sie diesen Parameter auf "false", damit bestehende Gruppenzuordnungen nicht überschrieben werden.
auto_sync_nameduse: Legt fest, ob die Zuordnung von benannten Benutzern zu Szenarien bei jeder Synchronisierung der Benutzerdaten aktualisiert werden soll. Setzen Sie diesen Parameter auf "false", damit bestehende Szenariozuordnungen nicht überschrieben werden.
auto_sync_repos: Legt fest, ob die Zuordnung von Repositorys bei jeder Synchronisierung der Benutzerdaten aktualisiert werden soll. Setzen Sie diesen Parameter auf "false", damit bestehende Repository-Zuordnungen nicht überschrieben werden.
auto_sync_roles: Legt fest, ob die Zuordnung von System-Rollen bei jeder Synchronisierung der Benutzerdaten aktualisiert werden soll. Setzen Sie diesen Parameter auf "false", damit bestehende Zuordnungen von System-Rollen nicht überschrieben werden.
enabled: Legen Sie fest, ob die automatische Synchronisierungsfunktion aktiviert ist. Setzen Sie diesen Parameter auf "true".
Minimalkonfiguration
Für eine funktionierende Minimalkonfiguration können Sie die vorhandenen Einstellungen durch das folgende JSON ersetzen:
{
"enabled": true,
"id": "Standard Login",
"index": 0,
"ldap": {
"domains": [],
"enabled": true,
"properties": []
},
"properties": {},
"type": "STANDARD",
"user-mapping": {
"autoCreateUser": true,
"auto_sync_user": {
"auto_sync_attributes": true,
"auto_sync_groups": false,
"auto_sync_nameduse": false,
"auto_sync_repos": false,
"auto_sync_roles": false,
"enabled": true
}
}
}
Authentifizierung von Benutzern starten
Speichern Sie die Änderungen in der ADONIS Administration. Um die Authentifizierung von Benutzern zu starten, muss der Apache Tomcat Web-Server neu gestartet werden.
Alle Benutzer, die sich an der konfigurierten Domäne anmelden können, sollten sich jetzt auch an ADONIS anmelden können. Wenn Benutzer noch nicht in der Datenbank vorhanden sind, werden sie automatisch erzeugt, wenn sie sich zum ersten Mal an ADONIS anmelden. Diesen neuen Benutzern müssen jedoch weiterhin manuell Benutzergruppen, System-Rollen, Repositorys usw. zugeordnet werden. Um eine automatische Zuordnung dieser Elemente basierend auf LDAP-Daten zu ermöglichen, sind zusätzliche Konfigurationsschritte erforderlich (siehe User Mapping für weitere Einzelheiten).
(Optional) Fehlersuche
Fehler werden in den Dateien "<Tomcat Installation>/logs/ADONIS16_0.log" und "<ADONIS Installation/*_aworker.log>" geloggt.