LDAP-Schnittstelle

Owned by Christian Lamskemper
Last updated: Apr. 23, 2021 by Malte Stockmann
4 min read

Sie möchten vermeiden, dass sich die Nutzer Ihrer PICTURE-Prozessplattform ein neues Passwort und einen neuen Benutzernamen merken müssen und haben bereits ein LDAP-Verzeichnis für andere von Ihnen genutzten Anwendungen in Gebrauch? Dann informieren Sie sich im Folgenden, wie Sie Ihr LDAP-Verzeichnis auch für die PICTURE-Prozessplattform nutzen können.

Hinweis: Die LDAP-Schnittstelle steht ausschließlich für Selbsthoster zur Verfügung (Betriebsmodell "on premise"). Falls Sie die PICTURE-Prozessplattform im Betriebsmodell "Software-as-a-Service" (Hosting durch die PICTURE GmbH) nutzen, können Sie zur Umsetzung eines Single-Sign-On-Mechanismus stattdessen die SAML-2.0-Schnittstelle verwenden.

Inhaltsverzeichnis

Was ist die LDAP-Schnittstelle?

Die LDAP-Schnittstelle ermöglicht es Ihnen, die Nutzer-Authentifizierung der PICTURE-Prozessplattform durch die Authentifizierung anhand eines LDAP-Verzeichnisses (z.B. Active Directory) zu ersetzen. Dadurch können sich die Nutzer mit den gleichen Zugangsdaten in der PICTURE-Prozessplattform anmelden, die sie auch für andere Dienste verwenden, die an das gleiche LDAP-Verzeichnis angeschlossen sind (z.B. Netzwerk-Domänenlogin, E-Mail, Intranet). Die Anwender müssen sich daher keine neuen Zugangsdaten speziell für die PPP merken und für Administratoren entfällt die zusätzliche Arbeit, die mit der manuellen Pflege "doppelter" Benutzerkonten verbunden ist (z.B. Zugangsdaten verteilen, vergessene Passwörter zurücksetzen etc.). 

Die flexiblen Mechanismen zur Steuerung der Zugriffsberechtigungen auf die Inhalte der PPP (z.B. funktionale Rechte und Rollen, Zugriffsrechte auf Ordner und Sichten) stehen auch bei Nutzung der LDAP-Schnittstelle weiterhin zur Verfügung. Der Administrationsaufwand hinsichtlich der Zugriffsberechtigungen lässt sich durch ein optionales "Mapping" von LDAP-Nutzergruppen auf PPP-Nutzergruppen weiterhin auf ein Minimum reduzieren. 

Lassen Sie sich von unserem Support bei Bedarf gerne individuell beraten, wie Sie LDAP-Schnittstelle und Zugriffsrechte so konfigurieren können, dass Ihren Bedürfnissen hinsichtlich Datenschutz und -sicherheit Rechnung getragen wird und für Sie dennoch möglichst wenig Pflegeaufwand entsteht.

Was ändert sich in der Nutzerverwaltung der PICTURE-Prozessplattform, wenn die LDAP-Schnittstelle aktiviert ist?

  • Bei aktivierter LDAP-Schnittstelle müssen Sie keine Benutzerkonten mehr manuell in der PPP anlegen. Diese werden automatisch beim ersten Einloggen eines Nutzers erstellt (vorausgesetzt er gehört einer LDAP-Benutzergruppe an, die in der Schnittstellenkonfiguration für den Zugriff auf die PPP berechtigt ist oder ein Default-Zugang ist eingerichtet). 
    Bei den automatisch angelegten Nutzerkonten handelt es sich dabei um sogenannte "LDAP-synchronisierte Nutzerkonten". Sie werden in der Datenbank der PPP gespeichert, um dort alle Informationen vorzuhalten, welche die PPP "über einen Nutzer wissen muss" und um Benutzerkonten mit Elementen des Datenmodells der PPP verknüpfen zu können (z.B. Zugriffsberechtigungen für Ordner, Status-Informationen wie "letzter Bearbeiter eines Prozessmodells" etc.). Sie lassen sich jedoch in der PPP nicht bearbeiten. 
  • Die Stammdaten der o.g. LDAP-synchronisierten Nutzerkonten (Vorname, Nachname, akademischer Titel, E-Mail-Adresse etc.) werden aus dem LDAP-System übernommen (sofern sie im LDAP-System hinterlegt sind und ein Mapping der Daten zur PPP konfiguriert ist).
  • Den Nutzern werden beim Erstlogin über die LDAP-Schnittstelle automatisch entsprechend Ihrer LDAP-Gruppen zu PPP-Benutzergruppen hinzugefügt. Weiterhin kann der Nutzertyp des automatisch neu erstellten PPP-Benutzerkontos (z.B. "Administrator", "Modellierer", "Betrachter") ebenfalls in Abhängigkeit von den LDAP-Gruppenmitgliedschaften automatisch eingestellt werden.
  • Für LDAP-synchronisierte Nutzer sind in der PPP-Nutzerverwaltung die Funktionen zum Ändern des Passworts und des Nutzernamen deaktiviert.
  • Ist die LDAP-Schnittstelle aktiviert, wird bei einem Login zunächst versucht, eine Authentifizierung über die LDAP-Schnittstelle durchzuführen. Wird der Nutzer dort nicht gefunden, wird die Authentifizierung über die lokale Nutzerdatenbank der PPP versucht.
  • Das Passwort für einen LDAP-synchronisierten Nutzer wird bei jeder erfolgreichen Authentifizierung in der PPP-Datenbank aktualisiert. Dazu wird das für eine erfolgreiche Authentifizierung verwendete Passwort BCrypt-verschlüsselt in der lokalen Nutzerdatenbank der PPP gespeichert ("lokales Fallback-Passwort"). Hierdurch wird sichergestellt, dass der Login in die PPP mit dem zuletzt erfolgreich verwendeten Passwort auch bei vorübergehend nicht verfügbarem LDAP-Server weiterhin funktioniert. 
  • Ein Nutzer wird nach jeder erfolgreichen Authentifizierung über LDAP als "LDAP-synchronisiert" markiert. Im Anschluss stehen bestimmte Funktionen in der Nutzerverwaltung für diese Benutzerkonten nicht mehr zur Verfügung (Zurücksetzen des Passworts, Änderung des Benutzernamens). 

Wie kann die Schnittstelle aktiviert und konfiguriert werden?

Sie müssen die PPP im On-Premise-Betrieb einsetzen um die LDAP-Schnittstelle einsetzen zu können. In diesem Fall können Sie die LDAP-Schnittstelle über die zentrale Konfigurationsdatei der PPP-Webanwendung selber konfigurieren. Nähere Informationen für Betreiber hinsichtlich der genauen Konfiguration der Schnittstelle finden Sie im entsprechenden /wiki/spaces/PPPHosting/pages/153986208 (vgl. Abschnitt "config.xml", Block "ldapSettings").

Möchten Sie einen PPP-Mandanten mit bestehenden Benutzerkonten auf LDAP-Betrieb umstellen, beachten Sie bitte, dass die Benutzernamen der PPP-Benutzerkonten, die Sie nach Umstellung auf die Schnittstelle weiterhin nutzen möchten, den Benutzernamen im LDAP-Verzeichnis entsprechen müssen. Bei Bedarf unterstützen wir Sie gerne bei der Umstellung Ihres Mandanten auf LDAP-Betrieb. Wenden Sie sich dazu an unseren Support

Was passiert, wenn die PPP mit einer fehlerhaften LDAP-Konfiguration betrieben wird?

Für eine frühe Erkennung von Fehlern wird die LDAP-Konfiguration beim Hochfahren des PPP-Mandanten validiert. Sollte ein Fehler auftreten wird eine E-Mail an den Anwendungsbetreuer (wie im Verwaltungsmodul unter "Rechtliches & Datenschutz"  konfiguriert) versendet.

Sollte die Validierung in einem der folgenden Fälle fehlschlagen, wird der Mandant ohne aktive LDAP-Schnittstelle hochgefahren (d.h. Logins gegen die lokale Benutzerdatenbank der PPP sind möglich):

  • für einen ordnungsgemäßen Betrieb der LDAP-Schnittstelle benötigte Attribute sind nicht vorhanden oder nicht ausgefüllt (Pflicht-Attribute sind im /wiki/spaces/PPPHosting/pages/153986208 vgl. Abschnitt "config.xml", Block "ldapSettings" dokumentiert).
  • Eine IP-Zugriffsbeschränkung, auf die in der LDAP-Konfiguration Bezug genommen wird, ist in der Datenbank des PPP-Mandanten nicht (mehr) vorhanden.
  • Ein Nutzertyp, auf den in der LDAP-Konfiguration Bezug genommen wird, ist für den Mandanten nicht lizensiert.
  • Eine Verbindung mit dem LDAP-Server kann nicht hergestellt werden.

Sollte die Validierung im folgenden Fall fehlschlagen, wird der Mandant mit aktiver LDAP-Schnittstelle hochgefahren, bei der automatischen Erstellung von LDAP-synchronisierten Benutzerkonten können jedoch nicht alle gewünschten Berechtigungen für die neuen Benutzerkonten eingerichtet werden:

  • Eine PPP-Benuzergruppe, auf die in der LDAP-Konfiguration Bezug genommen wird, ist in der Datenbank des PPP-Mandanten nicht (mehr) vorhanden.

Tritt beim Authentifizierungsversuch ein Fehler auf (z.B. LDAP-Server vorübergehend nicht erreichbar), wird eine Authentifizierung über die PPP-Datenbank versucht (anhand des in der PPP-Benutzerdatenbank verschlüsselt gespeicherten Fallback-Passworts). Der Betreuer des Mandanten erhält ebenfalls eine E-Mail mit einer Information über diesen Fehler.