|
Velikost: 4026
Komentář:
|
Velikost: 4872
Komentář:
|
| Smazané věci jsou označeny takto. | Nové věci jsou označeny takto. |
| Řádek 24: | Řádek 24: |
| * '''Heslo''': Přihlašovací jméno k účtu z předchozího bodu. | * '''Heslo (pro načtení)''': Přihlašovací jméno k účtu z předchozího bodu. |
| Řádek 27: | Řádek 27: |
| * '''Doména pro přihlašování''': Pokud je uvedená, za všechny přihlašovací jména (viz Login pro načtení a Atribut s login jménem uživatele) se pro účely autentizace vůči LDAP serveru bude přilepovat znak "@" a zde zadaná doména. * '''LDAP filtr''': Filtrovací podmínka. Objekty v LDAP adresáři, které nevyhovují této podmínce, nebudou přebráni do 1CLICK. Podrobnější návod k zápisu LDAP filtrů naleznete např. [[http://msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx|zde]]. |
* '''Atribut s plným jménem uživatele''': LDAP atribut, který obsahuje plné jméno uživatele * '''Prefix a suffix pro přihlašování''': Pokud jsou uvedené, budou se pro účely autentizace vůči LDAP přilepovat před a za všechny přihlašovací jména (viz Login pro načtení a Atribut s login jménem uživatele). * '''LDAP filtr''': Filtrovací podmínka. Objekty v LDAP adresáři, které nevyhovují této podmínce, nebudou přebrané do 1CLICK. Podrobnější návod k zápisu LDAP filtrů naleznete např. [[http://msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx|zde]]. |
| Řádek 45: | Řádek 46: |
| ||Plné jméno||Položka ''displayName'' z LDAP|| | ||Plné jméno||(Dle nastavení ''Atribut s plným jménem uživatele'')|| |
| Řádek 51: | Řádek 52: |
| Předpokládejme Active Directory pro doménu "firma.cz". | Předpokládejme Active Directory pro doménu {{{firma.cz}}}. |
| Řádek 53: | Řádek 54: |
| '''Kořenové DN''' typicky bude CN=users,DC=firma,DC=cz. | '''Kořenové DN''' typicky bude {{{CN=users,DC=firma,DC=cz}}}. |
| Řádek 55: | Řádek 56: |
| '''Atribut s ID uživatele''' je vhodné nastavit na objectGUID, případně na objectSid nebo sAMAccountName. Konzultujte prosím se správcem Active Directory, který identifikátor je ve vašem případě nejvhodnější. | '''Atribut s ID uživatele''' je vhodné nastavit na {{{objectGUID}}}, případně na {{{objectSid}}} nebo {{{sAMAccountName}}}. Konzultujte prosím se správcem vaší Active Directory, který identifikátor je ve vašem případě nejvhodnější (tzn. unikátně a dlouhodobě neměnně identifikuje uživatele v AD). |
| Řádek 57: | Řádek 58: |
| '''Atribut s login jménem uživatele''' bude sAMAccountName. | '''Atribut s login jménem uživatele''' bude {{{sAMAccountName}}}. |
| Řádek 59: | Řádek 60: |
| '''Doména pro přihlašování''' bude firma.cz. | '''Prefix pro přihlašování''' bude prázdný. |
| Řádek 61: | Řádek 62: |
| '''LDAP filtr''' bude obsahovat alespoň "objectClass=user", případně můžete přidat další kritéria, pokud si přejete přebírat do 1CLICK jen vybrané uživatelské účty. | '''Sufix pro přihlašování''' bude {{{@firma.cz}}}. '''LDAP filtr''' bude obsahovat alespoň {{{objectClass=user}}}, přičemž pravděpodobně doplníte další kritéria vybírající jen konkrétní uživatelské účty. Filtr dle členství ve skupině lze realizovat podmínkou na atribut memberOf, například {{{(&(objectClass=user)(memberOf='cn=1CLICK,ou=groups,DC=firma,DC=cz'))}}} === Zobrazení uživatele === Uživatele připojené pomocí této služby jednoznačně v seznamu uživatelů odlišíte díky žlutému nápisu LDAP. {{attachment:LDAPuzivatel.png}} === Testování === Pro testování přihlašovacích údajů a LDAP filtru lze použít některého LDAP klienta, například [[Softerra LDAP Browser|http://www.ldapadministrator.com/download.htm]] |
Napojení na LDAP
Napojení na LDAP není běžnou součástí systému 1CLICK. Máte-li o toto rozšíření zájem, kontaktujte svého obchodníka nebo napište na podporu.
Tento návod je určený pro experty, zejména IT správce.
Princip napojení
Napojení způsobí, že 1CLICK přebere vybrané uživatelské účty z externího adresářového systému typu LDAP (například Microsoft Active Directory). Přebraní uživatelé se budou přihlašovat do 1CLICK pomocí svých účtů centrálního adresáře.
Externí uživatelé se zobrazují v 1CLICK dohromady s uživateli lokálními (tj. založenými přímo v 1CLICK) s tím rozdílem, že externí účty v 1CLICK nelze měnit, kromě jejich zařazování do skupin a rolí 1CLICK.
Nastavení
Adresa serveru: IP adresa nebo hostname LDAP serveru.
Kořenové DN: Adresář LDAP serveru, pod kterým bude 1CLICK vyhledávat uživatele k převzetí. Důrazně se doporučuje zadat konkrétní adresář s uživateli a nikoliv kořen celého LDAPu, jehož skenování je typicky časově náročné.
Login (pro načtení): Přihlašovací jméno uživatele, pod kterým bude 1CLICK skenovat LDAP a vyhledávat uživatele k převzetí. Tento uživatelský účet potřebuje mít práva pro běžné čtení LDAP adresáře.
Heslo (pro načtení): Přihlašovací jméno k účtu z předchozího bodu.
Atribut s ID uživatele: LDAP atribut, který obsahuje jednoznačnou a dlouhodobě neměnnou identifikaci uživatele.
Atribut s login jménem uživatele: LDAP atribut, který obsahuje přihlašovací jméno uživatele
Atribut s plným jménem uživatele: LDAP atribut, který obsahuje plné jméno uživatele
Prefix a suffix pro přihlašování: Pokud jsou uvedené, budou se pro účely autentizace vůči LDAP přilepovat před a za všechny přihlašovací jména (viz Login pro načtení a Atribut s login jménem uživatele).
LDAP filtr: Filtrovací podmínka. Objekty v LDAP adresáři, které nevyhovují této podmínce, nebudou přebrané do 1CLICK. Podrobnější návod k zápisu LDAP filtrů naleznete např. zde.
Jakmile začnete v 1CLICK používat LDAP účty, vyvarujte se jakékoliv změny nastavení "Atribut s ID uživatele".
Taktéž věnujte mimořádnou pozornost změnám LDAP filtru tak, aby upravený filtr nepřestal přenášet do 1CLICK uživatele, se kterými jsou v 1CLICK spojené nějaké agendy (úkoly, projekty, ...).
Uživatelské licence
Každý uživatel, který je přenesen z LDAP do 1CLICK (tj. odpovídá nastavenému filtru) a není v LDAP označený jako neaktivní, využívá jednu uživatelskou licenci 1CLICK.
Podrobnosti přenosu uživatelských atributů
Atribut uživatele v 1CLICK |
Jak je naplněn |
Jednoznačné interní ID |
(Dle nastavení Atribut s ID uživatele) |
Přihlašovací jméno |
(Dle nastavení Atribut s login jménem uživatele) |
Plné jméno |
(Dle nastavení Atribut s plným jménem uživatele) |
Položka mail z LDAP |
|
Aktivní |
Nastaveno dle LDAP položek Is-Deleted a Account-Expires |
Doporučené nastavení pro Active Directory
Předpokládejme Active Directory pro doménu firma.cz.
Kořenové DN typicky bude CN=users,DC=firma,DC=cz.
Atribut s ID uživatele je vhodné nastavit na objectGUID, případně na objectSid nebo sAMAccountName. Konzultujte prosím se správcem vaší Active Directory, který identifikátor je ve vašem případě nejvhodnější (tzn. unikátně a dlouhodobě neměnně identifikuje uživatele v AD).
Atribut s login jménem uživatele bude sAMAccountName.
Prefix pro přihlašování bude prázdný.
Sufix pro přihlašování bude @firma.cz.
LDAP filtr bude obsahovat alespoň objectClass=user, přičemž pravděpodobně doplníte další kritéria vybírající jen konkrétní uživatelské účty. Filtr dle členství ve skupině lze realizovat podmínkou na atribut memberOf, například (&(objectClass=user)(memberOf='cn=1CLICK,ou=groups,DC=firma,DC=cz'))
Zobrazení uživatele
Uživatele připojené pomocí této služby jednoznačně v seznamu uživatelů odlišíte díky žlutému nápisu LDAP.
Testování
Pro testování přihlašovacích údajů a LDAP filtru lze použít některého LDAP klienta, například http://www.ldapadministrator.com/download.htm