|
Velikost: 2576
Komentář:
|
← Verze 17 ze dne 2014-09-16 13:29:25 ⇥
Velikost: 4939
Komentář:
|
| Smazané věci jsou označeny takto. | Nové věci jsou označeny takto. |
| Řádek 15: | Řádek 15: |
| Externí uživatelé se zobrazují v 1CLICK spolu s uživateli lokálními (tj. založenými přímo v 1CLICK), není ale možné jejich účty v 1CLICK jakkoliv měnit, kromě zařazování do skupin a rolí 1CLICK. | Externí uživatelé se zobrazují v 1CLICK dohromady s uživateli lokálními (tj. založenými přímo v 1CLICK) s tím rozdílem, že externí účty v 1CLICK nelze měnit, kromě jejich zařazování do skupin a rolí 1CLICK. |
| Řádek 18: | Řádek 18: |
{{attachment:nastaveni_ldap.png}} |
|
| Řádek 22: | Řádek 24: |
| * '''Heslo)''': Přihlašovací jméno k účtu z předchozího bodu. | * '''Heslo (pro načtení)''': Přihlašovací jméno k účtu z předchozího bodu. |
| Řádek 25: | Řádek 27: |
| * '''Doména pro přihlašování''': * '''LDAP filtr''': Filtrovací podmínka. Objekty v LDAP adresáři, které nevyhovují této podmínce, nebudou přebráni do 1CLICK. |
* '''Atribut s plným jménem uživatele''': LDAP atribut, který obsahuje plné jméno uživatele * '''Prefix a suffix pro přihlašování''': Pokud jsou uvedené, budou se pro účely autentizace vůči LDAP přilepovat před a za všechny přihlašovací jména (viz Login pro načtení a Atribut s login jménem uživatele). * '''LDAP filtr''': Filtrovací podmínka. Objekty v LDAP adresáři, které nevyhovují této podmínce, nebudou přebrané do 1CLICK. Podrobnější návod k zápisu LDAP filtrů naleznete např. [[http://msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx|zde]]. {{{#!wiki caution Jakmile začnete v 1CLICK používat LDAP účty, vyvarujte se jakékoliv změny nastavení "Atribut s ID uživatele". Taktéž věnujte mimořádnou pozornost změnám LDAP filtru tak, aby upravený filtr nepřestal přenášet do 1CLICK uživatele, se kterými jsou v 1CLICK spojené nějaké agendy (úkoly, projekty, ...). }}} == Uživatelské licence == Každý uživatel, který je přenesen z LDAP do 1CLICK (tj. odpovídá nastavenému filtru) a není v LDAP označený jako neaktivní, využívá jednu uživatelskou licenci 1CLICK. == Podrobnosti přenosu uživatelských atributů == ||'''Atribut uživatele v 1CLICK'''||'''Jak je naplněn'''|| ||Jednoznačné interní ID||(Dle nastavení ''Atribut s ID uživatele'')|| ||Přihlašovací jméno||(Dle nastavení ''Atribut s login jménem uživatele'')|| ||Plné jméno||(Dle nastavení ''Atribut s plným jménem uživatele'')|| ||E-mail||Položka ''mail'' z LDAP|| ||Aktivní||Nastaveno dle LDAP položek ''Is-Deleted'' a ''Account-Expires''|| |
| Řádek 30: | Řádek 52: |
| Předpokládejme Active Directory pro doménu "firma.cz". | Předpokládejme Active Directory pro doménu {{{firma.cz}}}. |
| Řádek 32: | Řádek 54: |
| '''Kořenové DN''' typicky bude CN=users,DC=firma,DC=cz. | '''Kořenové DN''' typicky bude {{{CN=users,DC=firma,DC=cz}}}. |
| Řádek 34: | Řádek 56: |
| '''Atribut s ID uživatele''' je vhodné nastavit na objectSid, objectGUID nebo sAMAccountName. Konzultujte otázku se správcem Active Directory, který identifikátor je ve vašem případě nejtrvalejší. | '''Atribut s ID uživatele''' je vhodné nastavit na {{{objectGUID}}}, případně na {{{objectSid}}} nebo {{{sAMAccountName}}}. Konzultujte prosím se správcem vaší Active Directory, který identifikátor je ve vašem případě nejvhodnější (tzn. unikátně a dlouhodobě neměnně identifikuje uživatele v AD). |
| Řádek 36: | Řádek 58: |
| '''Atribut s login jménem uživatele''' bude sAMAccountName. | '''Atribut s login jménem uživatele''' bude {{{sAMAccountName}}}. |
| Řádek 38: | Řádek 60: |
| '''Doména pro přihlašování''' bude firma.cz. | '''Atribut s plným jménem uživatele''' bude {{{displayName}}}. |
| Řádek 40: | Řádek 62: |
| '''LDAP filtr''' bude obsahovat alespoň "objectClass=user", případně můžete přidat další kritéria, pokud si přejete přebírat do 1CLICK jen vybrané účty. | '''Prefix pro přihlašování''' bude prázdný. '''Sufix pro přihlašování''' bude {{{@firma.cz}}}. '''LDAP filtr''' bude obsahovat alespoň {{{objectClass=user}}}, přičemž pravděpodobně doplníte další kritéria vybírající jen konkrétní uživatelské účty. Filtr dle členství ve skupině lze realizovat podmínkou na atribut memberOf, například {{{(&(objectClass=user)(memberOf=CN=1CLICK,OU=groups,DC=firma,DC=cz))}}} === Zobrazení uživatele === Uživatele připojené pomocí této služby jednoznačně v seznamu uživatelů odlišíte díky žlutému nápisu LDAP. {{attachment:LDAPuzivatel.png}} === Testování === Pro testování přihlašovacích údajů a LDAP filtru lze použít některého LDAP klienta, například [[http://www.ldapadministrator.com/download.htm|Softerra LDAP Browser]] |
Napojení na LDAP
Napojení na LDAP není běžnou součástí systému 1CLICK. Máte-li o toto rozšíření zájem, kontaktujte svého obchodníka nebo napište na podporu.
Tento návod je určený pro experty, zejména IT správce.
Princip napojení
Napojení způsobí, že 1CLICK přebere vybrané uživatelské účty z externího adresářového systému typu LDAP (například Microsoft Active Directory). Přebraní uživatelé se budou přihlašovat do 1CLICK pomocí svých účtů centrálního adresáře.
Externí uživatelé se zobrazují v 1CLICK dohromady s uživateli lokálními (tj. založenými přímo v 1CLICK) s tím rozdílem, že externí účty v 1CLICK nelze měnit, kromě jejich zařazování do skupin a rolí 1CLICK.
Nastavení
Adresa serveru: IP adresa nebo hostname LDAP serveru.
Kořenové DN: Adresář LDAP serveru, pod kterým bude 1CLICK vyhledávat uživatele k převzetí. Důrazně se doporučuje zadat konkrétní adresář s uživateli a nikoliv kořen celého LDAPu, jehož skenování je typicky časově náročné.
Login (pro načtení): Přihlašovací jméno uživatele, pod kterým bude 1CLICK skenovat LDAP a vyhledávat uživatele k převzetí. Tento uživatelský účet potřebuje mít práva pro běžné čtení LDAP adresáře.
Heslo (pro načtení): Přihlašovací jméno k účtu z předchozího bodu.
Atribut s ID uživatele: LDAP atribut, který obsahuje jednoznačnou a dlouhodobě neměnnou identifikaci uživatele.
Atribut s login jménem uživatele: LDAP atribut, který obsahuje přihlašovací jméno uživatele
Atribut s plným jménem uživatele: LDAP atribut, který obsahuje plné jméno uživatele
Prefix a suffix pro přihlašování: Pokud jsou uvedené, budou se pro účely autentizace vůči LDAP přilepovat před a za všechny přihlašovací jména (viz Login pro načtení a Atribut s login jménem uživatele).
LDAP filtr: Filtrovací podmínka. Objekty v LDAP adresáři, které nevyhovují této podmínce, nebudou přebrané do 1CLICK. Podrobnější návod k zápisu LDAP filtrů naleznete např. zde.
Jakmile začnete v 1CLICK používat LDAP účty, vyvarujte se jakékoliv změny nastavení "Atribut s ID uživatele".
Taktéž věnujte mimořádnou pozornost změnám LDAP filtru tak, aby upravený filtr nepřestal přenášet do 1CLICK uživatele, se kterými jsou v 1CLICK spojené nějaké agendy (úkoly, projekty, ...).
Uživatelské licence
Každý uživatel, který je přenesen z LDAP do 1CLICK (tj. odpovídá nastavenému filtru) a není v LDAP označený jako neaktivní, využívá jednu uživatelskou licenci 1CLICK.
Podrobnosti přenosu uživatelských atributů
Atribut uživatele v 1CLICK |
Jak je naplněn |
Jednoznačné interní ID |
(Dle nastavení Atribut s ID uživatele) |
Přihlašovací jméno |
(Dle nastavení Atribut s login jménem uživatele) |
Plné jméno |
(Dle nastavení Atribut s plným jménem uživatele) |
Položka mail z LDAP |
|
Aktivní |
Nastaveno dle LDAP položek Is-Deleted a Account-Expires |
Doporučené nastavení pro Active Directory
Předpokládejme Active Directory pro doménu firma.cz.
Kořenové DN typicky bude CN=users,DC=firma,DC=cz.
Atribut s ID uživatele je vhodné nastavit na objectGUID, případně na objectSid nebo sAMAccountName. Konzultujte prosím se správcem vaší Active Directory, který identifikátor je ve vašem případě nejvhodnější (tzn. unikátně a dlouhodobě neměnně identifikuje uživatele v AD).
Atribut s login jménem uživatele bude sAMAccountName.
Atribut s plným jménem uživatele bude displayName.
Prefix pro přihlašování bude prázdný.
Sufix pro přihlašování bude @firma.cz.
LDAP filtr bude obsahovat alespoň objectClass=user, přičemž pravděpodobně doplníte další kritéria vybírající jen konkrétní uživatelské účty. Filtr dle členství ve skupině lze realizovat podmínkou na atribut memberOf, například (&(objectClass=user)(memberOf=CN=1CLICK,OU=groups,DC=firma,DC=cz))
Zobrazení uživatele
Uživatele připojené pomocí této služby jednoznačně v seznamu uživatelů odlišíte díky žlutému nápisu LDAP.
Testování
Pro testování přihlašovacích údajů a LDAP filtru lze použít některého LDAP klienta, například Softerra LDAP Browser