Bei der LDAP Konfiguration bzw. Anbindung eines ActiveDirectory gibt es einige Dinge zu beachten.
Grundsätzlich gibt es zwei Varianten der LDAP Anbindung:
- Nur Authentifizierung über LDAP, Berechtigungsverwaltung im QM-Pilot
- Authentifizierung und Berechtigungsverwaltung über LDAP
Wird nur die Authentifizierung über LDAP gemacht, genügt es die allg. LDAP Einstellungen ( siehe 1.) zu machen. Werden auch die Berechtigungen über LDAP verwaltet müssen pro QM-Pilot Gruppe (siehe 2.) und Rolle (siehe 3.) entsprechende Gruppen im LDAP/AD angelegt werden.
Werden die Berechtigungen auch über LDAP verwaltet ist es möglich Benutzer zu importieren und dass Benutzer automatisch beim ersten Login erstellt werden.
Welche Variante Sie einsetzen, können Sie in den LDAP Einstellungen wählen:
Konfiguration LDAP Einstellungen
Unter Konfiguration -> Einstellungen -> LDAP kann die LDAP Verbindung konfiguriert werden. Dabei müssen folgende Informationen eingegeben werden:
| LDAP Container | Name oder IP des Domain Controllers bzw. LDAP Servers, bei LDAPS bitte servername:port z.B. localhost:636 eingeben! |
| LDAP Domain | Wird in der Regel nicht benötigt |
| LDAP Username und Password | Service Account mit lesendem Zugriff auf das LDAP |
| LDAP BASE DN | Basis Pfad, ab dem Benutzer gesucht werden. z.B. DC=firma,DC=local |
| LDAP Rolle | Feld des AD oder LDAP in dem die Gruppenzuordnung gespeichert wird. In der Regel memberOf |
| LDAP Login | Feld für den Usernamen, in der Regel sAMAccountName |
| LDAP Vorname | Feld für den Vornamen, in der Regel name oder givenName |
| LDAP Name | Feld für den Nachnamen, in der Regel sn |
| LDAP Abteilung | Optionales Feld für die Abteilung, in der Regel department |
| LDAP Telefon | Optionales Feld für die Telefonnummer, in der Regel telephoneNumber |
| LDAP Sprache | Optionales Feld für die Sprache, hier sollte im AD/LDAP dann DE oder EN, FR usw. stehen |
| LDAP Mail | Feld für die Mailadresse, in der Regel mail |
Gruppen (nicht, wenn nur Auth. über LDAP/AD)
Pro QM-Pilot Benutzergruppe muss es eine Gruppe im AD/LDAP geben.
Unter Stammdaten -> Gruppen/Rollen/Benutzer -> Gruppen müssen bei jeder Gruppe entsprechende LDAP Regeln hinterlegt werden
Im Feld LDAP Regel wird der Name der Gruppe im AD/LDAP angegeben.
Beim Login wird dann das oben für die Rollen definierten Feld (memberOf) nach diesem Wert durchsucht und dem Benutzer werden die entsprechenden Gruppen zugeordnet.
Verschachtelte / Vererbte Gruppenzuordnungen werden dabei nicht berücksichtigt.
Rollen (nicht, wenn nur Auth. über LDAP/AD)
Pro QM-Pilot Rolle muss es eine Gruppe im AD/LDAP geben.
Unter Stammdaten -> Gruppen/Rollen/Benutzer -> Rollen müssen bei jeder Rolle entsprechende LDAP Regeln hinterlegt werden
Im Feld LDAP Regel wird der Name der Gruppe im AD/LDAP angegeben.
Beim Login wird dann das oben für die Rollen definierten Feld (memberOf) nach diesem Wert durchsucht und dem Benutzer werden die entsprechenden Rollen zugeordnet.
Verschachtelte / Vererbte Gruppenzuordnungen werden dabei nicht berücksichtigt.
SSO / Single Sign On
Single Sign On kann in den LDAP Einstellungen aktiviert werden.
Grundvoraussetzung ist das im IIS die Windows Authentifizierung aktiviert wird.
Ausserdem sollte sich die Adresse des QM-Pilot Servers beim Internet Explorer in der Sicherheitszone " Local Intranet Zone" befinden. Weitere Informationen sind hier zu finden:
https://technet.microsoft.com/en-us/library/dd572939(v=office.13).aspx
Wichtig: Wird nur die Authentifizierung über LDAP gemacht muss der Benutzer bereits in QM-Pilot vorhanden sein um SSO nutzen zu können. Bei SSO werden Benutzer nur dynamisch erstellt wenn die Berechtigungen auch via LDAP vergeben werden. Grundsätzlich werden Benutzer nur dynamisch erstellt wenn sie mindestens eine Rolle in QM-Pilot haben und die Felder Vorname, Name und Email Daten enthalten.
Für das SSO gibt es zwei Varianten.
- SSO Aktiv
- Auto Login Aktiv
Wird "SSO Aktiv" aktiviert erscheint auf der Login Seite ein Button "Windows Login"
Mit einem Klick auf den Button wird der Benutzer ohne Eingabe von Daten angemeldet.
Wird "Auto Login Aktiv" aktiviert wird der Benutzer direkt beim Zugriff auf die Startseite von QM-Pilot angemeldet.
Benutzer Import
Benutzer können unter den LDAP Einstellungen importiert werden. Bestehende Benutzer werden dadurch auch aktualisiert.
Die Funktion steht nur zur Verfügung wenn auch die Berechtigungsverwaltung über LDAP gemacht wird.
Werden die Berechtigungen in QM-Pilot verwaltet, müssen die Benutzer zwingend manuell erstellt werden.
Es werden nur Benutzer importiert die mind. eine Rolle in QM-Pilot bekommen und Daten in den Feldern Vorname, Name und Email Adresse haben.
Benutzer von QM-Pilot Benutzerverwaltung auf LDAP umstellen
Bestehende Benutzer können von lokalen Benutzern zu "LDAP Benutzern" gemacht werden.
Dazu muss unter Stammdaten -> Benutzer/Gruppen/Rollen in der Benutzerverwaltung beim entsprechenden Benutzer das LDAP Flag gesetzt werden. Wichtig ist, dass der Login gleich wie im AD hinterlegt ist.
Wird auch die Berechtigungssteuerung über LDAP gemacht, werden die Daten des Benutzers beim nächsten Login oder Benutzer Import aktualisiert.
LDAP Benutzer haben nicht die Möglichkeit Ihr Passwort über QM-Pilot zu ändern.
Wann wird ein Benutzer automatisch erstellt?
Wenn folgende Bedingungen erfüllt sind, werden Benutzer automatisch angelegt:
- LDAP Aktiv und konfiguriert
- Berechtigungssteuerung über LDAP/AD ("Nur Authentifizierung über LDAP" in den Einstellungen inaktiv)
- wenn der Benutzer noch nicht mit diesem Loginnamen in der Datenbank vorhanden ist
- wenn der Benutzer mind. eine Rolle bekommt (LDAP Regel)
- die Felder Vorname, Name, Email Informationen enthalten
- beim manuellen Login
- beim Single Sign On
- beim Import
