Was ist die LDAP-Schnittstelle?
Die LDAP-Schnittstelle ermöglicht es Ihnen, die Nutzer-Authentifizierung der PICTURE-Prozessplattform durch die Authentifizierung anhand eines LDAP-Verzeichnisses (z.B. Active Directory) zu ersetzen. Dadurch können sich die Nutzer mit den gleichen Zugangsdaten in der PICTURE-Prozessplattform anmelden, die sie auch für andere Dienste verwenden, die an das gleiche LDAP-Verzeichnis angeschlossen sind (z.B. Netzwerk-Domänenlogin, E-Mail, Intranet). Die Anwender müssen sich daher keine neuen Zugangsdaten speziell für die PPP merken und für Administratoren entfällt die zusätzliche Arbeit, die mit der manuellen Pflege "doppelter" Benutzerkonten verbunden ist (z.B. Zugangsdaten verteilen, vergessene Passwörter zurücksetzen etc.).
Die flexiblen Mechanismen zur Steuerung der Zugriffsberechtigungen auf die Inhalte der PPP (z.B. funktionale Rechte und Rollen, Zugriffsrechte auf Ordner und Sichten) stehen auch bei Nutzung der LDAP-Schnittstelle weiterhin zur Verfügung. Der Administrationsaufwand hinsichtlich der Zugriffsberechtigungen lässt sich durch ein optionales "Mapping" von LDAP-Nutzergruppen auf PPP-Nutzergruppen weiterhin auf ein Minimum reduzieren.
Lassen Sie sich von unserem /wiki/spaces/pppdoc218/pages/93126887 bei Bedarf gerne individuell beraten, wie Sie LDAP-Schnittstelle und Zugriffsrechte so konfigurieren können, dass Ihren Bedürfnissen hinsichtlich Datenschutz und -sicherheit Rechnung getragen wird und für Sie dennoch möglichst wenig Pflegeaufwand entsteht.
Was ändert sich in der Nutzerverwaltung der PICTURE-Prozessplattform, wenn die LDAP-Schnittstelle aktiviert ist?
- Bei aktivierter LDAP-Schnittstelle müssen Sie keine Benutzerkonten mehr manuell in der PPP anlegen. Diese werden automatisch beim ersten Einloggen eines Nutzers erstellt (vorausgesetzt er gehört einer LDAP-Benutzergruppe an, die in der Schnittstellenkonfiguration für den Zugriff auf die PPP berechtigt ist oder ein default Zugang ist eingerichtet).
Bei den automatisch angelegten Nutzerkonten handelt es sich dabei um sogenannte "LDAP synchronisierte-Nutzerkonten". Sie werden in der Datenbank der PPP gespeichert, um dort alle Informationen vorzuhalten, welche die PPP "über einen Nutzer wissen muss" und um Benutzerkonten mit Elementen des Datenmodells der PPP verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.), lassen sich jedoch in der PPP nicht bearbeiten. - Die Stammdaten der o.g. LDAP synchronisierten Nutzerkonten (Vorname, Nachname, akademischer Titel, E-Mail-Adresse etc.) werden (sofern sie im LDAP-System hinterlegt sind und sofern ein Mapping der Daten zur PPP konfiguriert ist), aus dem LDAP-System übernommen.
- Die Nutzer werden beim Abgleich mit dem LDAP-Verzeichnis automatisch entsprechend Ihrer LDAP-Gruppen zu PPP-Gruppen zugewiesen. Weiterhin kann der Nutzertyp des PPP-Benutzerkontos (z.B. "Administrator", "Modellierer", "Betrachter") ebenfalls in Abhängigkeit von den LDAP-Gruppenmitgliedschaften automatisch eingestellt werden.
- Ist die LDAP-Schnittstelle aktiviert, wird bei einem Login zunächst versucht eine Authentifizierung über die LDAP-Schnittstelle durchzuführen. Wird der Nutzer nicht gefunden, wird die Authentifizierung über die Datenbank der PPP versucht.
Wie kann die Schnittstelle aktiviert werden?
Nutzen Sie die PPP im On-Premise-Betrieb, können Sie die LDAP-Schnittstelle über die Konfiguration selber konfigurieren. Nähere Informationen für Betreiber hinsichtlich der genauen Konfiguration der Schnittstelle finden Sie im entsprechenden /wiki/spaces/PPPHosting/pages/153986208 (vgl. Abschnitt "config.xml", Block "ldapSettings").
Falls Ihr Mandant durch die PICTURE GmbH betrieben wird, wenden Sie sich gerne an den Support (support@picture-gmbh.de).
Möchten Sie einen PPP-Mandanten mit bestehenden Benutzerkonten auf LDAP-Betrieb umstellen, beachten Sie bitte, dass die Benutzernamen der PPP-Benutzerkonten, die Sie nach Umstellung auf die Schnittstelle weiterhin nutzen möchten, den Benutzernamen im LDAP-Verzeichnis entsprechen müssen. Bei Bedarf unterstützen wir Sie gerne bei der Umstellung Ihres Mandanten auf LDAP-Betrieb. Wenden Sie sich dazu an unseren /wiki/spaces/pppdoc218/pages/93126887.
Welche Voraussetzungen sind nötig, um die LDAP-Schnittstelle zu nutzen, wenn Ihr PPP-Mandant durch die PICTURE GmbH betrieben wird?
Folgende Voraussetzungen müssen hierzu erfüllt sein:
- Der Webserver, auf dem Ihr PPP-Mandant in unserem Rechenzentrum betrieben wird, benötigt Zugriff auf Ihren LDAP-Server. In der Firewall Ihrer IT-Infrastruktur müssen daher entsprechende Freigaben eingerichtet sein.
- Es muss ein LDAP-Benutzerkonto existieren, dass
- Lesezugriff auf den LDAP-Server hat
- dort zur Nutzer-Authentifizierung (Passwort-Prüfung) berechtigt ist
- in der technischen Konfigurationsdatei Ihres PPP-Mandanten auf unserem Webserver hinterlegt werden darf.
- Sofern der Datenverkehr zu Ihrem LDAP-Server SSL-verschlüsselt ist, benötigen wir zur Hinterlegung auf unserem Webserver das verwendete SSL-Zertifikat.