...
- Bei aktivierter LDAP-Schnittstelle müssen Sie keine Benutzerkonten mehr manuell in der PPP anlegen. Diese werden automatisch beim ersten Einloggen eines Nutzers erstellt (vorausgesetzt er gehört einer LDAP-Benutzergruppe an, die in der Schnittstellenkonfiguration für den Zugriff auf die PPP berechtigt ist oder ein default Zugang ist eingerichtet).
Bei den automatisch angelegten Nutzerkonten handelt es sich dabei um sogenannte "LDAP synchronisierte-Nutzerkonten". Sie werden in der Datenbank der PPP gespeichert, um dort alle Informationen vorzuhalten, welche die PPP "über einen Nutzer wissen muss" und um Benutzerkonten mit Elementen des Datenmodells der PPP verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.), lassen sich jedoch in der PPP nicht bearbeiten. - Die Stammdaten der o.g. LDAP synchronisierten Nutzerkonten (Vorname, Nachname, akademischer Titel, E-Mail-Adresse etc.) werden (sofern sie im LDAP-System hinterlegt sind und sofern ein Mapping der Daten zur PPP konfiguriert ist), aus dem LDAP-System übernommen.
- Die Nutzer werden beim Abgleich mit dem LDAP-Verzeichnis automatisch entsprechend Ihrer LDAP-Gruppen zu PPP-Gruppen zugewiesen. Weiterhin kann der Nutzertyp des PPP-Benutzerkontos (z.B. "Administrator", "Modellierer", "Betrachter") ebenfalls in Abhängigkeit von den LDAP-Gruppenmitgliedschaften automatisch eingestellt werden.
- Für LDAP synchronisierte Nutzer sind die Funktionen zum Ändern des Passwort und des Nutzername deaktiviert, da diese über LDAP synchronisiert werden.
- Ist die LDAP-Schnittstelle aktiviert, wird bei einem Login zunächst versucht eine Authentifizierung über die LDAP-Schnittstelle durchzuführen. Wird der Nutzer nicht gefunden, wird die Authentifizierung über die Datenbank der PPP versucht.
...
Möchten Sie einen PPP-Mandanten mit bestehenden Benutzerkonten auf LDAP-Betrieb umstellen, beachten Sie bitte, dass die Benutzernamen der PPP-Benutzerkonten, die Sie nach Umstellung auf die Schnittstelle weiterhin nutzen möchten, den Benutzernamen im LDAP-Verzeichnis entsprechen müssen. Bei Bedarf unterstützen wir Sie gerne bei der Umstellung Ihres Mandanten auf LDAP-Betrieb. Wenden Sie sich dazu an unseren /wiki/spaces/pppdoc218/pages/93126887.
Welche Besonderheiten sind bei der LDAP-Schnittstelle zu beachten?
...
- Das Passwort für einen LDAP synchronisierten Nutzer wird bei jeder erfolgreichen Authentifizierung in der PPP Datenbank aktualisiert.
- Ein Nutzer wird nach jeder erfolgreichen Authentifizierung über LDAP als LDAP synchronisiert markiert.
Was passiert im Fehlerfall?
...
Für eine frühe Erkennung von Fehlern wird die LDAP Konfiguration beim Hochfahren des Mandanten validiert. Sollte ein Fehler Auftreten wird eine Mail an den Betreuer des Mandanten versendet.
Sollte die Validierung in einem der folgenden Fälle fehlschlagen, wird der Mandant ohne aktive LDAP-Schnittstelle hochgefahren:
- Es wird geprüft ob alle Pflicht Attribute vorhanden sind und einen Wert haben (Pflicht Attribute sind im /wiki/spaces/PPPHosting/pages/153986208 vgl. Abschnitt "config.xml", Block "ldapSettings" dokumentiert).
- Wenn eine IP-Zugriffsbeschränkung konfiguriert ist, wird geprüft ob diese im Mandanten vorhanden ist.
- Es wird geprüft ob die konfigurierten Nutzertypen im Mandanten vorhanden sind.
- Es wird geprüft ob eine Verbindung mit dem LDAP-Server hergestellt werden kann.
Sollte die Validierung im folgenden Fall fehlschlagen, wird der Mandant mit aktiver LDAP-Schnittstelle hochgefahren:
- Es wird geprüft ob die konfigurierten PPP-Gruppen im Mandanten vorhanden sind.
Tritt beim Authentifizierungsversuch ein Fehler auf (z.B. LDAP Server nicht erreichbar), wird eine Authentifizierung über die PPP-Datenbank versucht. Der Betreuer des Mandanten erhält ebenfalls eine Mail über den Fehler.
Welche Voraussetzungen sind nötig, um die LDAP-Schnittstelle zu nutzen, wenn Ihr PPP-Mandant durch die PICTURE GmbH betrieben wird?
...