QM-Pilot Helpdesk

  1. QM-Pilot Helpdesk
  2. Lösungsstartseite
  3. Wissenswertes
  4. Technische Fragen
Open navigation

LDAP Anbindung

Bei der LDAP Konfiguration bzw. Anbindung eines ActiveDirectory gibt es einige Dinge zu beachten.

Grundsätzlich gibt es zwei Varianten der LDAP Anbindung:

  • Nur Authentifizierung über LDAP, Berechtigungsverwaltung im QM-Pilot
  • Authentifizierung und Berechtigungsverwaltung über LDAP

Wird nur die Authentifizierung über LDAP gemacht, genügt es die allg. LDAP Einstellungen ( siehe 1.) zu machen. Werden auch die Berechtigungen über LDAP verwaltet müssen pro QM-Pilot Gruppe (siehe 2.) und Rolle (siehe 3.) entsprechende Gruppen im LDAP/AD angelegt werden.

Werden die Berechtigungen auch über LDAP verwaltet ist es möglich Benutzer zu importieren und dass Benutzer automatisch beim ersten Login erstellt werden.


Welche Variante Sie einsetzen, können Sie in den LDAP Einstellungen wählen:

mceclip0.png

 

Konfiguration LDAP Einstellungen

Unter Konfiguration -> Einstellungen -> LDAP kann die LDAP Verbindung konfiguriert werden. Dabei müssen folgende Informationen eingegeben werden:

LDAP ContainerName oder IP des Domain Controllers bzw. LDAP Servers, bei LDAPS bitte servername:port z.B. localhost:636 eingeben!
LDAP DomainWird in der Regel nicht benötigt
LDAP Username und PasswordService Account mit lesendem Zugriff auf das LDAP
LDAP BASE DNBasis Pfad, ab dem Benutzer gesucht werden. z.B. DC=firma,DC=local
LDAP RolleFeld des AD oder LDAP in dem die Gruppenzuordnung gespeichert wird. In der Regel memberOf
LDAP LoginFeld für den Usernamen, in der Regel sAMAccountName
LDAP VornameFeld für den Vornamen, in der Regel name oder givenName
LDAP NameFeld für den Nachnamen, in der Regel sn
LDAP AbteilungOptionales Feld für die Abteilung, in der Regel department
LDAP TelefonOptionales Feld für die Telefonnummer, in der Regel telephoneNumber
LDAP SpracheOptionales Feld für die Sprache, hier sollte im AD/LDAP dann DE oder EN, FR usw. stehen
LDAP MailFeld für die Mailadresse, in der Regel mail


 

Gruppen (nicht, wenn nur Auth. über LDAP/AD)

Pro QM-Pilot Benutzergruppe muss es eine Gruppe im AD/LDAP geben.
Unter Stammdaten -> Gruppen/Rollen/Benutzer -> Gruppen müssen bei jeder Gruppe entsprechende LDAP Regeln hinterlegt werden



Im Feld LDAP Regel wird der Name der Gruppe im AD/LDAP angegeben.



Beim Login wird dann das oben für die Rollen definierten Feld (memberOf) nach diesem Wert durchsucht und dem Benutzer werden die entsprechenden Gruppen zugeordnet.
Verschachtelte / Vererbte Gruppenzuordnungen werden dabei nicht berücksichtigt.

 

Rollen (nicht, wenn nur Auth. über LDAP/AD)

Pro QM-Pilot Rolle muss es eine Gruppe im AD/LDAP geben.
Unter Stammdaten -> Gruppen/Rollen/Benutzer -> Rollen müssen bei jeder Rolle entsprechende LDAP Regeln hinterlegt werden



Im Feld LDAP Regel wird der Name der Gruppe im AD/LDAP angegeben.



Beim Login wird dann das oben für die Rollen definierten Feld (memberOf) nach diesem Wert durchsucht und dem Benutzer werden die entsprechenden Rollen zugeordnet.
Verschachtelte / Vererbte Gruppenzuordnungen werden dabei nicht berücksichtigt.

 

SSO / Single Sign On

Single Sign On kann in den LDAP Einstellungen aktiviert werden.
Grundvoraussetzung ist das im IIS die Windows Authentifizierung aktiviert wird.

Ausserdem sollte sich die Adresse des QM-Pilot Servers beim Internet Explorer in der Sicherheitszone " Local Intranet Zone" befinden. Weitere Informationen sind hier zu finden:
https://technet.microsoft.com/en-us/library/dd572939(v=office.13).aspx


Wichtig: Wird nur die Authentifizierung über LDAP gemacht muss der Benutzer bereits in QM-Pilot vorhanden sein um SSO nutzen zu können. Bei SSO werden Benutzer nur dynamisch erstellt wenn die Berechtigungen auch via LDAP vergeben werden. Grundsätzlich werden Benutzer nur dynamisch erstellt wenn sie mindestens eine Rolle in QM-Pilot haben und die Felder Vorname, Name und Email Daten enthalten. 


Für das SSO gibt es zwei Varianten.

  • SSO Aktiv
  • Auto Login Aktiv

Wird "SSO Aktiv" aktiviert erscheint auf der Login Seite ein Button "Windows Login"



Mit einem Klick auf den Button wird der Benutzer ohne Eingabe von Daten angemeldet.

Wird "Auto Login Aktiv" aktiviert wird der Benutzer direkt beim Zugriff auf die Startseite von QM-Pilot angemeldet.


Benutzer Import

Benutzer können unter den LDAP Einstellungen importiert werden. Bestehende Benutzer werden dadurch auch aktualisiert.

Die Funktion steht nur zur Verfügung wenn auch die Berechtigungsverwaltung über LDAP gemacht wird.
Werden die Berechtigungen in QM-Pilot verwaltet, müssen die Benutzer zwingend manuell erstellt werden.
Es werden nur Benutzer importiert die mind. eine Rolle in QM-Pilot bekommen und Daten in den Feldern Vorname, Name und Email Adresse haben.

 

Benutzer von QM-Pilot Benutzerverwaltung auf LDAP umstellen

Bestehende Benutzer können von lokalen Benutzern zu "LDAP Benutzern" gemacht werden.

Dazu muss unter Stammdaten -> Benutzer/Gruppen/Rollen in der Benutzerverwaltung beim entsprechenden Benutzer das LDAP Flag gesetzt werden. Wichtig ist, dass der Login gleich wie im AD hinterlegt ist.


Wird auch die Berechtigungssteuerung über LDAP gemacht, werden die Daten des Benutzers beim nächsten Login oder Benutzer Import aktualisiert.

LDAP Benutzer haben nicht die Möglichkeit Ihr Passwort über QM-Pilot zu ändern.

 

Wann wird ein Benutzer automatisch erstellt?

Wenn folgende Bedingungen erfüllt sind, werden Benutzer automatisch angelegt:

  • LDAP Aktiv und konfiguriert
  • Berechtigungssteuerung über LDAP/AD ("Nur Authentifizierung über LDAP" in den Einstellungen inaktiv)
  • wenn der Benutzer noch nicht mit diesem Loginnamen in der Datenbank vorhanden ist
  • wenn der Benutzer mind. eine Rolle bekommt (LDAP Regel)
  • die Felder Vorname, Name, Email Informationen enthalten
  • beim manuellen Login
  • beim Single Sign On
  • beim Import

 

War dieser Artikel hilfreich?

Das ist großartig!

Vielen Dank für das Feedback

Leider konnten wir nicht helfen

Vielen Dank für das Feedback

Wie können wir diesen Artikel verbessern?

Wählen Sie wenigstens einen der Gründe aus
CAPTCHA-Verifikation ist erforderlich.

Feedback gesendet

Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren