Self

Napojení na LDAP

Napojení na LDAP není běžnou součástí systému 1CLICK. Máte-li o toto rozšíření zájem, kontaktujte svého obchodníka nebo napište na podporu.

Tento návod je určený pro experty, zejména IT správce.

Princip napojení

Napojení způsobí, že 1CLICK přebere vybrané uživatelské účty z externího adresářového systému typu LDAP (například Microsoft Active Directory). Přebraní uživatelé se budou přihlašovat do 1CLICK pomocí svých účtů centrálního adresáře.

Externí uživatelé se zobrazují v 1CLICK dohromady s uživateli lokálními (tj. založenými přímo v 1CLICK) s tím rozdílem, že externí účty v 1CLICK nelze měnit, kromě jejich zařazování do skupin a rolí 1CLICK.

Nastavení

nastaveni_ldap.png

Jakmile začnete v 1CLICK používat LDAP účty, vyvarujte se jakékoliv změny nastavení "Atribut s ID uživatele".

Taktéž věnujte mimořádnou pozornost změnám LDAP filtru tak, aby upravený filtr nepřestal přenášet do 1CLICK uživatele, se kterými jsou v 1CLICK spojené nějaké agendy (úkoly, projekty, ...).

Uživatelské licence

Každý uživatel, který je přenesen z LDAP do 1CLICK (tj. odpovídá nastavenému filtru) a není v LDAP označený jako neaktivní, využívá jednu uživatelskou licenci 1CLICK.

Podrobnosti přenosu uživatelských atributů

Atribut uživatele v 1CLICK

Jak je naplněn

Jednoznačné interní ID

(Dle nastavení Atribut s ID uživatele)

Přihlašovací jméno

(Dle nastavení Atribut s login jménem uživatele)

Plné jméno

(Dle nastavení Atribut s plným jménem uživatele)

E-mail

Položka mail z LDAP

Aktivní

Nastaveno dle LDAP položek Is-Deleted a Account-Expires

Doporučené nastavení pro Active Directory

Předpokládejme Active Directory pro doménu firma.cz.

Kořenové DN typicky bude CN=users,DC=firma,DC=cz.

Atribut s ID uživatele je vhodné nastavit na objectGUID, případně na objectSid nebo sAMAccountName. Konzultujte prosím se správcem vaší Active Directory, který identifikátor je ve vašem případě nejvhodnější (tzn. unikátně a dlouhodobě neměnně identifikuje uživatele v AD).

Atribut s login jménem uživatele bude sAMAccountName.

Atribut s plným jménem uživatele bude displayName.

Prefix pro přihlašování bude prázdný.

Sufix pro přihlašování bude @firma.cz.

LDAP filtr bude obsahovat alespoň objectClass=user, přičemž pravděpodobně doplníte další kritéria vybírající jen konkrétní uživatelské účty. Filtr dle členství ve skupině lze realizovat podmínkou na atribut memberOf, například (&(objectClass=user)(memberOf=CN=1CLICK,OU=groups,DC=firma,DC=cz))

Zobrazení uživatele

Uživatele připojené pomocí této služby jednoznačně v seznamu uživatelů odlišíte díky žlutému nápisu LDAP.

LDAPuzivatel.png

Testování

Pro testování přihlašovacích údajů a LDAP filtru lze použít některého LDAP klienta, například Softerra LDAP Browser

naposledy editoval LukasVlk dne 2014-09-16 13:29:25