Jeder Benutzer einer Instanz der Anwendung benötigt innerhalb der Anwendung ein Benutzerprofil mit einem aktiven Benutzerzugang. Um diese Informationen nicht mehrfach pflegen zu müssen, kann ein externer Verzeichnisdienst (LDAP oder Active Directory) verwendet werden. Ob und wenn ja welcher externe Verzeichnisdienst verwendet wird, kann in den Anwendungseinstellungen konfiguriert werden.

Für den Einsatz eines externen Verzeichnisdienstes gibt es mehrere aufeinander aufbauende Szenarien. Werden alle Szenarien verwendet, kann die komplette Verwaltung von Benutzern zentral über den externen Verzeichnisdienst erfolgen.

Benutzer manuell aus Verzeichnisdienst importieren

Wenn in den Anwendungseinstellungen ein externer Verzeichnisdienst konfiguriert ist, steht in der Ansicht Benutzerverwaltung eine Aktion zur Verfügung, um manuell für einzelne Benutzer des externen Verzeichnisdienstes Benutzerprofile und Benutzerzugänge in der Anwendung anzulegen. Dabei werden alle relevanten Informationen aus dem externen Verzeichnisdienst einmalig in die Anwendung übernommen. Das Passwort muss jedoch in der Anwendung manuell gesetzt und gepflegt werden, es sei denn, die Authentifizierung gegen einen externen Verzeichnisdienst ist in den Anwendungseinstellungen aktiviert und wird für den neuen Benutzer in dessen Benutzerzugang erlaubt.

Der Import wird aus der Benutzerverwaltung aufgerufen und öffnet einen Dialog, um den entsprechenden Benutzer in dem externen Verzeichnisdienst auszuwählen.

Feld Beschreibung
Benutzer Suchen Sie im externen Verzeichnisdienst nach einem Benutzer.
Authentifizierung gegen externes Verzeichnis Wählen Sie, ob der neu angelegte Benutzer sich am externen Verzeichnisdienst authentifizieren soll oder ob Sie sein Passwort in der Anwendung vergeben wollen.
Rollenaktualisierung Wählen Sie, ob bei der automatischen Erstellung eines neuen Benutzers automatisch die Option ‘Rollen aus externem Verzeichnisdienst’ aktiviert sein soll.
Stammdaten-Synchronisierung Wählen Sie, ob bei der automatischen Erstellung eines neuen Benutzers automatisch die Option ‘Stammdaten synchronisieren’ aktiviert sein soll.

Authentifizierung an Verzeichnisdienst

Zusätzlich kann in den Anwendungseinstellungen aktiviert werden, dass sich die Benutzer der Anwendung gegen den externen Verzeichnisdienst authentifizieren können sollen. Das bedeutet, dass die Passwörter dieser Benutzer nicht mehr in der Anwendung gepflegt werden können, sondern dass Sie immer das Passwort des externen Verzeichnisdienstes verwenden müssen, um sich an der Anwendung zu authentifizieren. Für jeden Benutzerzugang wird nach Aktivierung dieser zentralen Einstellung eine Option angezeigt, um die Funktion benutzerindividuell zu steuern. Eine weitere Option im Benutzerzugang erlaubt, einige Stammdaten (siehe nächstes Kapitel bis auf den Benutzername) des Benutzers bei jeder Anmeldung aus dem externen Verzeichnisdienst zu aktualisieren.

Automatisch Benutzer anlegen

Diese Option der Anwendungseinstellungen erlaubt es, bei der ersten Anmeldung eines neuen Benutzers an der Anwendung ein Benutzerprofil und Benutzerzugang automatisch auf Basis der Daten des externen Verzeichnisdienstes erzeugt werden. Eine grundsätzliche Authentifizierung an dem externen Verzeichnisdienst ist hierfür Voraussetzung. Der neue Benutzerzugang hat die Option hierfür dann automatisch gesetzt.
Hierbei werden einige grundlegende Daten des Benutzers aus dem externen Verzeichnisdienst übernommen: Vorname, Nachname, (primäre) E-Mail-Adresse, Abteilung und Benutzername.

Gruppen des externen Verzeichnisdienstes synchronisieren mit Anwendungsrollen

Benutzern, die an einem externen Verzeichnisdienst authentifiziert werden, können Berechtigungen aus Verzeichnisdienstrollen erhalten. Das sind Rollen, die der Benutzer erhält, weil er im externen Verzeichnisdienst in bestimmten Gruppen eingetragen ist. Andere Rollen können ihre Berechtigungen an Verzeichnisdienstrollen weitergeben.
Die Verzeichnisdienstrollen, welche aus dem externen Verzeichnisdienst übernommen werden sollen, müssen zuvor in der Ansicht Anwendungsrollen aus dem externen Verzeichnisdienst importiert werden. Bei jeder Anmeldung eines Benutzers werden alle seine Verzeichnisdienstrollen verworfen und durch die aktuell ermittelten ersetzt.
Pro Benutzer muss diese Funktion im Benutzerzugang aktiviert werden.

Verzeichnisgruppen für externe Authentifizierung

Damit sich nicht alle Benutzer des externen Verzeichnisdienstes an der Anwendung anmelden und damit als Benutzer registrieren können, dürfen sich grundsätzlich nur Benutzer authentifizieren oder neu angelegt werden, welche im externen Verzeichnisdienst in einer der in den Anwendungseinstellungen hierfür freigegebenen Gruppen stehen.

Fehlersuche

Zur Fehlersuche können detaillierte Informationen zum Zugriff auf die externen Verzeichnisse im serverseitigen Protokoll per nlog im Level Trace protokolliert werden. Das Tracing kann über <rules> speziell hierfür eingeschränkt werden:

<logger name="BA.API.ExtDirectory.*" minlevel="Trace" writeTo="file"/>