LHR-Hilfe
Click here to see this page in full context

 

Sign-On mittels Active Directory

Forms: lpv, Eurolohn/deve11/pv

In diesem Topic wird beschrieben wie der Login für das SelfService mittels AD/LDAP eingerichtet wird.

 

Vorbereitungen

Damit ein Zugang zu LDAP funktioniert, sind folgende Systemparameter zu setzen, welche vom Sys-Admin bzw. vom Datenbankadministrator verwaltet werden:

Parameter Name Beschreibung Wert

LDAP: Active

Mit diesem Parameter geben Sie an, ob der Login mittels ActiveDirectory/LDAP auf dem System zugelassen wird oder nicht.

Hier tragen Sie J oder N (Default) ein.

LDAP: Active_Users_Only

Mit diesem Parameter geben Sie an, dass Sie nicht nur aktive Mitarbeiter aus der Active Directory lesen möchten sondern alle.

Standardmäßig ist dieser Parameter auf "J" gesetzt.

Konkret wird hier auf das 2te Bit in den UserAccountControl flags geachtet ( !(userAccountControl:1.2.840.113556.1.4.803:=2) )

Hier tragen Sie J (Default) oder N ein.

LDAP: Server_Address

Mit diesem Parameter definieren Sie die Adresse unter der der LDAP-Server erreichbar ist.

Wenn es sich bei dem Server um einen, mit SSL-Verschlüsselung hinterlegten Server, handelt, dann tragen Sie hier ldaps ein.

Hier tragen Sie die Adresse ein.

"ldap://exampelcompany.at:1234"

LDAP: Use_Secure

(optional)

Mit diesem Parameter definieren Sie, ob eine gesicherte Verbindung mittels dem in "LDAP:Security_Protokoll" angegebenen Protokolls aufgebaut werden soll oder nicht.

Wenn dieser Wert auf "N" gesetzt wird, so werden die Daten zwischen dem LHR Server und dem LDAP Server unverschlüsselt übertragen!

Hier tragen Sie J (Default) oder N ein.

LDAP: Security_Protokoll

(optional)

Mit diesem Parameter geben Sie das Protokoll an, das benutzt werden soll, um eine gesicherte Verbindung aufzubauen.

Der Wert dieses Parameters wird nur dann genutzt, wenn der Parameter LDAP:Use_Secure mit "J" gefüllt ist.

Hier tragen Sie die Art des Protokolles ein.

Default ist SSL.

LDAP: Auth_Type

(optional)

Mit diesem Parameter definieren Sie die Art der LDAP Authentifizierung.

Hier tragen Sie die Art ein.

Default ist simple.

LDAP: Query_Base

Mit diesem Parameter hinterlegen Sie die Query (ohne UID), die zur Abfrage des Benutzers genutzt wird.

Hier tragen Sie die Query ein.

"DC=examplecompany,DC=at"

LDAP: Query_UN_UID

Mit diesem Parameter definieren Sie die UID des Benutzernamens des einzuloggenden Benutzers.

Hier muss das Attribut der Active Directory verwendet werden, welches auch zum Anmelden am Windows Account definiert. ist. (Standard)

 

LDAP: Query_FN_UID

(optional)

Mit diesem Parameter definieren Sie die UID des Vornamens des einzuloggenden Benutzers.

Hier muss das Attribut der Active Directory genommen werden, in dem sich der Vorname befindet.

Damit die automatische Zuordnung der SelfService User zu den Active Diretory User erzeugt werden kann, muss dieser Parameter gesetzt sein.

 

LDAP: Query_SN_UID

(optional)

Mit diesem Parameter definieren Sie die UID des Nachnamen des einzuloggenden Benutzers.

Hier muss das Attribut der Active Directory genommen werden, in dem sich der Nachname befindet.

Damit die automatische Zuordnung der SelfService User zu den Active Diretory User erzeugt werden kann, muss dieser Parameter gesetzt sein.

 

LDAP: Username

Mit diesem Parameter hinterlegen Sie den Namen des Benutzers, der benutzt wird, um diese Abfragen durchzuführen.

Hier tragen Sie den Benutzer ein, der die Query starten muss.

LDAP: Password

Mit diesem Parameter hinterlegen Sie das Passwort des im "LDAP: Username" definierten Benutzers. Der Inhalt dieses Feldes wird mit "*" maskiert, um das Auslesen des Passwortes zu verhindern.

Hier tragen Sie das Passwort des Benutzers ein.

LDAP: Mail_Text

(optional)

Hier tragen Sie die Nummer des Textes ein, der als E-Mail an den Benutzer gesendet werden soll, wenn die Funktion "Passwort vergessen" benutzt wird.

Hier tagen Sie die Text-Nummer für die E-Mail ein.

 

Wenn nicht bekannt ist, welche Parameter notwendig sind, dann kann der Kunde eine Abfrage für einen User machen und das Ergebnis schicken.

Ein Ergebnis kann in extra wie folgt aussehen.

 

Anpassung der Benutzer im System

Damit die korrekten Berechtigungen/Daten für das SelfService laut Berechtigungsverwaltung übernommen werden können, muss eine "Verbindung" zwischen dem Active Directory-User und dem SelfService-Logonuser erstellt werden. Diese Verbindung definieren Sie in der Berechtigungsverwaltung unter "Datenzugriff/SelfService/Active Directory" in der Übersichtsseite.

In der Spalte AD Logonname haben Sie die Möglichkeit, die Zuordnung zum SelfService-User manuell vorzunehmen.

 

Es werden keine AD Benutzer automatisch erzeugt. Sollte zu einem System Benutzer ein ungültiger / nicht-existenter AD Benutzernamn eingetragen werden, so ist es für diesen Benutzer nicht möglich, sich im SelfService mittels LDAP einzuloggen. Aus sicherheitstechnischen Gründen wird beim Login auch keine Information bezüglich des eingegebenen AD Benutzers zurückgegeben außer „Login fehlgeschlagen“.

 

Mithilfe des Buttons "Ausgewählten AD Benutzernamen ermitteln" prüfen Sie für den ausgewählten Benutzer in der Active Directory, ob ein zugehöriger Benutzer gefunden wird.

Und mithilfe des Buttons "Alle AD Benutzernamen ermitteln" kontrollieren Sie bei allen SelfService Usern, ob ein Benutzer in der Active Directory gefunden wird.

Dabei wird auf den Vornamen und Nachnamen für den Benutzer hinterlegten Dienstnehmer (aus dem Dienstnehnerstamm) geachtet.

Da es eine Zuordnung des Mitarbeiters zum AD Benutzer benötigt, kann die Ermittlung des AD-Users nur funktionieren, wenn in der Maske "User/Benutzer" ein Dienstnehmer zugewiesen ist. Für sogenannten Stand-Alone-User (keine Zuordnung von MA) oder Kunden, die kein Mitarbeiter-SelfService haben, funktioniert somit die automatische Ermittlung nicht.

 

 

LDAP Server ist mit SSL verschlüsselt

Wenn der LDAP-Server (ist der Server über den der Windows Account verwaltet wird) mittels eines SSL-Zertifikates verschlüsselt ist, dann muss dieses Zertifikat im JAVA importiert werden.

Solange dieses Zertifikat nicht importiert wurde, kann der Login nicht funktionieren, auch wenn der AD-Benutzername in der Berechtigungsverwaltung manuell zugeordnet wurde.

Für das Einspielen des Zertifikates benötigen wir vom Kunden das gesamte Certificate-Chain und das eigentliche Zertifikat.

Diese können dann im Java importiert werden.

 

Dieses Zertifikat finden Sie in der Regel auch im Windows Certificate Store.

 

Die Einstellung, ob der Server ein SSL-Zertifikat nutzt, sehen Sie in Ihren LDAP-Connection-Einstellungen.

 

Zertifikat in JAVA importieren

Das SelfService wird immer über OJDK gestartet und daher importieren Sie das Zertifikat auch dort.

Öffnen Sie die CMD als Admin:

  1. Fügen Sie folgenden Befehl ein:

    1. %HOME%\javabin\OJDK8\jre\bin\keytool -importcert -file <Filename> -%HOME%\javabin\OJDK8\jre\lib\security\cacerts -alias <Alias-Name>

  2. Nach dem Bestätigen erhalten Sie die Frage für das Passwort des Keystores. Dieses ist immer "changeit".

  3. Diesen Befehl führen Sie 2x aus: Einmal für das Zertifikat selbst und einmal für die Chain.

 

 

Fenster

[Fenster 1]

[Fenster 2]

 

Aufgaben

[Aufgabe 1]

[Aufgabe 2]

 

Themen

[Thema 1]

[Thema 2]