Napojení na LDAP
Napojení na LDAP není běžnou součástí systému 1CLICK. Máte-li o toto rozšíření zájem, kontaktujte svého obchodníka nebo napište na podporu.
Tento návod je určený pro experty, zejména IT správce.
Princip napojení
Napojení způsobí, že 1CLICK přebere vybrané uživatelské účty z externího adresářového systému typu LDAP (například Microsoft Active Directory). Přebraní uživatelé se budou přihlašovat do 1CLICK pomocí svých účtů centrálního adresáře.
Externí uživatelé se zobrazují v 1CLICK dohromady s uživateli lokálními (tj. založenými přímo v 1CLICK) s tím rozdílem, že externí účty v 1CLICK nelze měnit, kromě jejich zařazování do skupin a rolí 1CLICK.
Nastavení
Adresa serveru: IP adresa nebo hostname LDAP serveru.
Kořenové DN: Adresář LDAP serveru, pod kterým bude 1CLICK vyhledávat uživatele k převzetí. Důrazně se doporučuje zadat konkrétní adresář s uživateli a nikoliv kořen celého LDAPu, jehož skenování je typicky časově náročné.
Login (pro načtení): Přihlašovací jméno uživatele, pod kterým bude 1CLICK skenovat LDAP a vyhledávat uživatele k převzetí. Tento uživatelský účet potřebuje mít práva pro běžné čtení LDAP adresáře.
Heslo (pro načtení): Přihlašovací jméno k účtu z předchozího bodu.
Atribut s ID uživatele: LDAP atribut, který obsahuje jednoznačnou a dlouhodobě neměnnou identifikaci uživatele.
Atribut s login jménem uživatele: LDAP atribut, který obsahuje přihlašovací jméno uživatele
Atribut s plným jménem uživatele: LDAP atribut, který obsahuje plné jméno uživatele
Prefix a suffix pro přihlašování: Pokud jsou uvedené, budou se pro účely autentizace vůči LDAP přilepovat před a za všechny přihlašovací jména (viz Login pro načtení a Atribut s login jménem uživatele).
LDAP filtr: Filtrovací podmínka. Objekty v LDAP adresáři, které nevyhovují této podmínce, nebudou přebrané do 1CLICK. Podrobnější návod k zápisu LDAP filtrů naleznete např. zde.
Jakmile začnete v 1CLICK používat LDAP účty, vyvarujte se jakékoliv změny nastavení "Atribut s ID uživatele".
Taktéž věnujte mimořádnou pozornost změnám LDAP filtru tak, aby upravený filtr nepřestal přenášet do 1CLICK uživatele, se kterými jsou v 1CLICK spojené nějaké agendy (úkoly, projekty, ...).
Uživatelské licence
Každý uživatel, který je přenesen z LDAP do 1CLICK (tj. odpovídá nastavenému filtru) a není v LDAP označený jako neaktivní, využívá jednu uživatelskou licenci 1CLICK.
Podrobnosti přenosu uživatelských atributů
Atribut uživatele v 1CLICK |
Jak je naplněn |
Jednoznačné interní ID |
(Dle nastavení Atribut s ID uživatele) |
Přihlašovací jméno |
(Dle nastavení Atribut s login jménem uživatele) |
Plné jméno |
(Dle nastavení Atribut s plným jménem uživatele) |
Položka mail z LDAP |
|
Aktivní |
Nastaveno dle LDAP položek Is-Deleted a Account-Expires |
Doporučené nastavení pro Active Directory
Předpokládejme Active Directory pro doménu firma.cz.
Kořenové DN typicky bude CN=users,DC=firma,DC=cz.
Atribut s ID uživatele je vhodné nastavit na objectGUID, případně na objectSid nebo sAMAccountName. Konzultujte prosím se správcem vaší Active Directory, který identifikátor je ve vašem případě nejvhodnější (tzn. unikátně a dlouhodobě neměnně identifikuje uživatele v AD).
Atribut s login jménem uživatele bude sAMAccountName.
Atribut s plným jménem uživatele bude displayName.
Prefix pro přihlašování bude prázdný.
Sufix pro přihlašování bude @firma.cz.
LDAP filtr bude obsahovat alespoň objectClass=user, přičemž pravděpodobně doplníte další kritéria vybírající jen konkrétní uživatelské účty. Filtr dle členství ve skupině lze realizovat podmínkou na atribut memberOf, například (&(objectClass=user)(memberOf=CN=1CLICK,OU=groups,DC=firma,DC=cz))
Zobrazení uživatele
Uživatele připojené pomocí této služby jednoznačně v seznamu uživatelů odlišíte díky žlutému nápisu LDAP.
Testování
Pro testování přihlašovacích údajů a LDAP filtru lze použít některého LDAP klienta, například Softerra LDAP Browser