In Haiilo können verschiedene Benutzerverzeichnisse durch LDAP verbunden werden. Ihr könnt zwischen Active Directory und LDAP wählen, beide benutzen das LDAP-Protokoll. Der Unterschied liegt nur in den Werten, welche für die Attribute vorgeschlagen werden und dem Feld "AD Domäne". Für die Anbindung eurer Benutzerverzeichnisse über die Google Workspace API oder die MS Graph API gibt es nur marginale Abweichungen zum LDAP-Protokoll. Diese Abweichungen findet ihr in den verlinkten Artikeln.
Wir durchlaufen mit euch anhand eines Beispiels den Prozess zur Erstellung und Verbindung von Benutzerverzeichnissen. Für diese Anleitung verwenden wir ein Microsoft Active Directory, da es der bekannteste Verzeichnisdienst ist.
Ein Benutzerverzeichnis erstellen
Loggt euch als Administrator in Haiilo ein und öffnet die Administration. Klickt auf den Punkt "Benutzerverzeichnisse". Dort werdet ihr, wie im Bildausschnitt zu erkennen, das Benutzerverzeichnis "Applikations-Datenbank" sehen. Das Verzeichnis beinhaltet alle lokalen Nutzer, die in Haiilo erstellt werden.
Klickt auf "Verzeichnis anlegen", um ein neues Benutzerverzeichnis hinzuzufügen.
Wählt anschließend einen Namen, den Typ "Active Directory" und aktiviert das Verzeichnis, in dem ihr einen Haken in der Checkbox setzt.
Verbindung
Als Nächstes geht es darum die Details in den einzelnen Reitern zu füllen. Wir beginnen mit der Verbindung: Hostname, Port, Basis DN, Benutzername und Passwort sind Pflichtfelder, die ausgefüllt werden müssen.
Als Hostname tragt ihr den Server ein, der euer Benutzerverzeichnis verwaltet.
Der Standard LDAP Port is 389. Der Standard Port für die verschlüsselte SSL Kommunikation ist Port 636. Wenn ihr SSL aktiviert, benötigt euer AD-Server ein offiziell signiertes Zertifikat.
Hinweis:
Es ist nicht möglich, in unserer Haiilo Cloud ein selbst signiertes Zertifikat zu verwenden. Für On-Premises Installationen allerdings, lässt sich ein selbst-signiertes Zertifikat im JVM des Backend Containers eintragen.
Es ist nicht möglich, in unserer Haiilo Cloud ein selbst signiertes Zertifikat zu verwenden. Für On-Premises Installationen allerdings, lässt sich ein selbst-signiertes Zertifikat im JVM des Backend Containers eintragen.
Ein Eintrag für AD Domäne ist nur notwendig, wenn den Zugriff auf Haiilo für eine Domäne beschränken möchtet.
Beispiel:
Falls Ihr unterschiedliche Suffixe für die Anmeldenamen eurer Benutzer habt, z. B. @coyo.com und @coyo.local, und Ihr definiert in diesem Feld "coyo.local", können sich Benutzer mit @coyo.com mehr anmelden.
Falls Ihr unterschiedliche Suffixe für die Anmeldenamen eurer Benutzer habt, z. B. @coyo.com und @coyo.local, und Ihr definiert in diesem Feld "coyo.local", können sich Benutzer mit @coyo.com mehr anmelden.
Für jede Verbindung muss der Base Distinguished Name ("Basis DN") eingetragen werden. Dieser gibt an, welchen Bereich eures Forest oder Trees ihr mit der Konfiguration abdecken wollt.
Optional können in den folgenden Einstellungen unter "Benutzer" und "Gruppen" zusätzliche DNs angegeben werden, um genauer zu definieren, welche Benutzerkonten oder Gruppenkonten beachtet werden sollen.
Unter Benutzernamen benötigt LDAP einen Nutzer, welcher ausreichend Leseberechtigung für die Objekte hat, die synchronisiert werden (Bind DN). Haiilo wird nichts in eurem Benutzerverzeichnis verändern und benötigt daher kein Schreibrecht. Das Passwort dieses Nutzers ist notwendig.
Mit einem Klick auf "Verbindung testen", wird geprüft, ob euer Verzeichnis mit diesen Einstellungen erreichbar ist.
Benutzer
In diesem Reiter wird definiert, welche Nutzer synchronisiert werden. Ohne Einstellungen wird alles durchsucht. Also definiert "Klasse des Benutzer-Objekts", damit nur nach der Klasse "person" gesucht wird.
Für die genauere Selektion von Nutzern, definiert ihr "Zusätzliche Benutzer DN" ("additional user dn"). Dieser wird an den eben konfigurierten Base DN hinzugefügt. In unserem Beispiel wäre das nun "CN=Users,DC=coyoapp,DC=com".
Zusätzlich zu dieser Auswahl kann über "Filter des Benutzer-Objekts" mit einem LDAP-Filter-Syntax gearbeitet werden. Das ermöglicht nur Nutzer für Haiilo zu berücksichtigen, welche z. B. Mitglied der Gruppe "HAIILO-GROUPS-ALL" sind. Ein Beispiel dazu findet Ihr in diesem Artikel.
Hinweis:
Aufgrund der Einschränkungen des LDAP-Protokolls, können Wildcards für DN-Attribute nicht verwendet werden.
Außerdem werden Nutzer, die dieser Gruppe nicht mehr angehören als verwaiste Nutzer behandelt. Mehr dazu erfahrt ihr weiter unten im Artikel. Komplexere Filter sind auch möglich.
Wir empfehlen euch, als Benutzer-ID ausschließlich "objectGUID" zu verwenden, da dieses Attribut einzigartig ist und sich nicht verändert.
Die restlichen Attribute und Profilfelder sind optional wählbar. Wir empfehlen euch, die vorgegebenen Attribute zu verwenden, um Probleme zu vermeiden.
Gruppen
Um Gruppen aus dem Benutzerverzeichnis zu synchronisieren, müsst ihr zuerst die Checkbox "Gruppen synchronisieren" aktivieren.
In diesem Beispiel verwenden wir die vorgeschlagenen Werte und einen zusätzlichen Gruppen DN, welcher den Ort der Gruppen definiert.
Im Feld "Filter für Gruppen-Objekte" geben wir einen LDAP Filter Syntax an, um nur bestimmte Gruppen zu synchronisieren.
Haiilo prüft "Benutzer Attribut für Gruppen-Mitgliedschaften" und "Gruppen-ID". Wenn beide Werte gleich sind, wird der Nutzer dieser Gruppe zugeordnet. Im Fall unseres Beispiels werden alle Gruppen gefiltert, die mit "HAIILO-GROUPS-" anfangen.
Hinweis:
Verschachtelte Gruppen werden nicht berücksichtigt.
Verschachtelte Gruppen werden nicht berücksichtigt.
Die restlichen Attribute sind optional wählbar. Wir empfehlen euch die vorgegebenen Werte zu verwenden. Falls ihr OpenLDAP verwendet, muss "Benutzer Attribut für Gruppen-Mitgliedschaften" angegeben werden.
Synchronisation
In diesem Reiter könnt ihr Einstellungen zur Synchronisation vornehmen.
Ein Wert von 100 in "Page Size" definiert, dass Haiilo pro Abfrage 100 Elemente synchronisiert. Das Limit des LDAP-Protokolls liegt bei 1000. Ihr solltet also keinen höheren Wert wählen.
Nutzer können im Verzeichnis als Verweis zu einer anderen Domäne oder einem Verzeichnis gespeichert werden, mit der Einstellung "Verweisen folgen", werden die Verweise berücksichtigt.
Hinweis:
Wenn euer Sync mit einer Zeitüberschreitung beendet wird ("timeout error"), kann es möglicherweise daran liegen, dass versucht wird, einem Verweis zu folgen, welcher nicht erreichbar ist oder nicht genügend Berechtigungen vorhanden sind.
Wenn euer Sync mit einer Zeitüberschreitung beendet wird ("timeout error"), kann es möglicherweise daran liegen, dass versucht wird, einem Verweis zu folgen, welcher nicht erreichbar ist oder nicht genügend Berechtigungen vorhanden sind.
Die Checkbox "Aktivierung" ermöglicht, dass neue und wiederhergestellte Nutzer bei der Synchronisierung aktiviert werden. Anderenfalls müsstet ihr den Status der Nutzer in der Benutzerverwaltung manuell auf "Aktiv" setzen. Wenn ihr Nutzungsbedingungen in der Administration aktiviert habt, bleiben die neuen und wiederhergestellten Nutzer auf "Versteckt" bis sie diese akzeptiert haben.
Bei "Just-in-time-Synchronisation" werden die Nutzer erst erstellt und die Nutzerdaten synchronisiert, wenn diese sich anmelden. Diese Einstellung ergibt Sinn, wenn nur Benutzer importiert werden sollen, die sich Anmelden. Dafür sollte die automatische Synchronisation deaktiviert werden, damit nicht alle Benutzer bereits in Haiilo existieren.
"Verwaiste Benutzer" sind Nutzer, welche derzeit in Haiilo als aktiver Nutzer existieren, aber im LDAP Verzeichnis nicht mehr vorhanden sind. Es besteht die Möglichkeit, die Nutzer zu ignorieren, deaktivieren oder zu löschen.
Der Punkt "Benutzer wiederherstellen" ermöglicht es, deaktivierte oder gelöschte Nutzer wieder zu reaktivieren, wenn diese im Benutzerverzeichnis wieder vorhanden sind.
Hinweis:
Es ist nicht möglich anonymisierte Nutzer wiederherzustellen. Der vorher anonymisierte Nutzer kann dann lediglich als neuer Nutzer erstellt werden. Die Anonymisierung ist standardmäßig deaktiviert und kann in den "Allgemeinen Einstellungen" der Administration aktiviert werden.
Es ist nicht möglich anonymisierte Nutzer wiederherzustellen. Der vorher anonymisierte Nutzer kann dann lediglich als neuer Nutzer erstellt werden. Die Anonymisierung ist standardmäßig deaktiviert und kann in den "Allgemeinen Einstellungen" der Administration aktiviert werden.
Sync-Ausführung
Hier könnt ihr die Regelmäßigkeit der Synchronisierung konfigurieren. Ihr habt die Optionen einmal pro Tag (nachts), mehrmals täglich (alle vier Stunden) und einmal pro Stunde.