= Napojení na LDAP =

{{{#!wiki tip
Napojení na LDAP není běžnou součástí systému 1CLICK. Máte-li o toto rozšíření zájem, kontaktujte svého obchodníka nebo napište na [[../../Kontakty|podporu]].
}}}

{{{#!wiki caution
Tento návod je určený '''pro experty''', zejména IT správce.
}}}

== Princip napojení ==

Napojení způsobí, že 1CLICK přebere vybrané uživatelské účty z externího adresářového systému typu LDAP (například Microsoft Active Directory). Přebraní uživatelé se budou přihlašovat do 1CLICK pomocí svých účtů centrálního adresáře.

Externí uživatelé se zobrazují v 1CLICK dohromady s uživateli lokálními (tj. založenými přímo v 1CLICK) s tím rozdílem, že externí účty v 1CLICK nelze měnit, kromě jejich zařazování do skupin a rolí 1CLICK.

== Nastavení ==

{{attachment:nastaveni_ldap.png}}

 * '''Adresa serveru''': IP adresa nebo hostname LDAP serveru.
 * '''Kořenové DN''': Adresář LDAP serveru, pod kterým bude 1CLICK vyhledávat uživatele k převzetí. Důrazně se doporučuje zadat konkrétní adresář s uživateli a nikoliv kořen celého LDAPu, jehož skenování je typicky časově náročné.
 * '''Login (pro načtení)''': Přihlašovací jméno uživatele, pod kterým bude 1CLICK skenovat LDAP a vyhledávat uživatele k převzetí. Tento uživatelský účet potřebuje mít práva pro běžné čtení LDAP adresáře.
 * '''Heslo (pro načtení)''': Přihlašovací jméno k účtu z předchozího bodu.
 * '''Atribut s ID uživatele''': LDAP atribut, který obsahuje jednoznačnou a dlouhodobě neměnnou identifikaci uživatele.
 * '''Atribut s login jménem uživatele''': LDAP atribut, který obsahuje přihlašovací jméno uživatele
 * '''Atribut s plným jménem uživatele''': LDAP atribut, který obsahuje plné jméno uživatele
 * '''Prefix a suffix pro přihlašování''': Pokud jsou uvedené, budou se pro účely autentizace vůči LDAP přilepovat před a za všechny přihlašovací jména (viz Login pro načtení a Atribut s login jménem uživatele).
 * '''LDAP filtr''': Filtrovací podmínka. Objekty v LDAP adresáři, které nevyhovují této podmínce, nebudou přebrané do 1CLICK. Podrobnější návod k zápisu LDAP filtrů naleznete např. [[http://msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx|zde]].

{{{#!wiki caution
Jakmile začnete v 1CLICK používat LDAP účty, vyvarujte se jakékoliv změny nastavení "Atribut s ID uživatele".

Taktéž věnujte mimořádnou pozornost změnám LDAP filtru tak, aby upravený filtr nepřestal přenášet do 1CLICK uživatele, se kterými jsou v 1CLICK spojené nějaké agendy (úkoly, projekty, ...).
}}}

== Uživatelské licence ==

Každý uživatel, který je přenesen z LDAP do 1CLICK (tj. odpovídá nastavenému filtru) a není v LDAP označený jako neaktivní, využívá jednu uživatelskou licenci 1CLICK.

== Podrobnosti přenosu uživatelských atributů ==

||'''Atribut uživatele v 1CLICK'''||'''Jak je naplněn'''||
||Jednoznačné interní ID||(Dle nastavení ''Atribut s ID uživatele'')||
||Přihlašovací jméno||(Dle nastavení ''Atribut s login jménem uživatele'')||
||Plné jméno||(Dle nastavení ''Atribut s plným jménem uživatele'')||
||E-mail||Položka ''mail'' z LDAP||
||Aktivní||Nastaveno dle LDAP položek ''Is-Deleted'' a ''Account-Expires''||

== Doporučené nastavení pro Active Directory ==

Předpokládejme Active Directory pro doménu {{{firma.cz}}}.

'''Kořenové DN''' typicky bude {{{CN=users,DC=firma,DC=cz}}}.

'''Atribut s ID uživatele''' je vhodné nastavit na {{{objectGUID}}}, případně na {{{objectSid}}} nebo {{{sAMAccountName}}}. Konzultujte prosím se správcem vaší Active Directory, který identifikátor je ve vašem případě nejvhodnější (tzn. unikátně a dlouhodobě neměnně identifikuje uživatele v AD).

'''Atribut s login jménem uživatele''' bude {{{sAMAccountName}}}.

'''Atribut s plným jménem uživatele''' bude {{{displayName}}}.

'''Prefix pro přihlašování''' bude prázdný.

'''Sufix pro přihlašování''' bude {{{@firma.cz}}}.

'''LDAP filtr''' bude obsahovat alespoň {{{objectClass=user}}}, přičemž pravděpodobně doplníte další kritéria vybírající jen konkrétní uživatelské účty. Filtr dle členství ve skupině lze realizovat podmínkou na atribut memberOf, například {{{(&(objectClass=user)(memberOf=CN=1CLICK,OU=groups,DC=firma,DC=cz))}}}

=== Zobrazení uživatele ===

Uživatele připojené pomocí této služby jednoznačně v seznamu uživatelů odlišíte díky žlutému nápisu LDAP.

{{attachment:LDAPuzivatel.png}}

=== Testování ===

Pro testování přihlašovacích údajů a LDAP filtru lze použít některého LDAP klienta, například [[http://www.ldapadministrator.com/download.htm|Softerra LDAP Browser]]