Synchronizacja z LDAP

Wprowadzenie

Aplikacja działająca w tle Synchronizuj z LDAP pozwala na synchronizacje danych konfiguracyjnych z serwerem LDAP. Poniżej znajduje się m.in. opis korzystania z aplikacji działającej w tle oraz jej działania i parametry.

Podstawowe definicje związane z obszarem zarządzania systemem dostępne są tutaj.

Opis

Aplikacja działająca w tle Synchronizuj z LDAP służy do automatyzacji procesów administracyjnych, kopiuje wybrane dane z LDAP do bazy konfiguracyjnej. Aplikacja działająca w tle jest konfigurowana w aplikacji Konfiguracja pod kątem funkcji synchronizacji LDAP. Zadanie przetwarzania można anulować w aplikacji Zlecenia przetwarzania, korzystając z narzędzia wrksbmjob lub poprzez widok Sesje w aplikacji Panel System po wybraniu typu System. Aplikacja działająca w tle uruchamiana jest poprzez menu nawigacyjne lub aplikację Zlecenia przetwarzania.

Zsynchronizowane dane

Synchronizacja jest przeznaczona dla usługi Active Directory firmy Microsoft. Jeśli używany jest inny serwer LDAP, może być konieczne dostosowanie transferu danych. Przesyłanie danych odbywa się poprzez klasę Java com.cisag.pgm.base.CisLDAPLogic. Korekty można dokonać w klasie com.cisag.app.general.init.CisLDAPLogicImpl.

Grupy użytkowników

Podczas synchronizacji z serwerem LDAP grupy użytkowników są tworzone lub aktualizowane w Comarch ERP Enterprise, jeśli grupy w LDAP są członkami odpowiednich grup. Grupa, do której muszą należeć grupy LDAP, aby została zaadoptowana, jest określona w aplikacji Konfiguracja w funkcji Synchronizacja LDAP w polu Grupy Comarch ERP Enterprise.
Nazwę grupy Comarch ERP Enterprise określa atrybut LDAP cn (to skrót od nazwy zwyczajowej). Wartość atrybutu LDAP jest zmieniana w Comarch ERP Enterprise przed użyciem. Wszystkie małe litery są konwertowane na wielkie. Wszystkie spacje są zastępowane znakiem podkreślenia. Oprócz nazwy, w opisie grupy użytkowników Comarch ERP Enterprise zawarty jest atrybut LDAP opis.

Użytkownik

Użytkownicy są dziedziczeni z LDAP, jeśli użytkownik LDAP jest członkiem określonych grup. Grupy są zdefiniowane w w aplikacji Konfiguracja w funkcji Synchronizacja LDAP w polu Pracownicy z pełnym dostępem, Partnerzy biznesowi z pełnym dostępem, Pracownik (tylko do odczytu) i Partner biznesowy (tylko do odczytu). Przynależność do grupy jest oceniana w określonej tutaj kolejności. Przynależność do grupy określa przypisanie użytkownika Comarch ERP Enterprise do systemu. Jeśli użytkownik LDAP nie znajduje się w żadnej z grup, użytkownik LDAP nie jest tworzony jako użytkownik Comarch ERP Enterprise. Jeżeli dla tego użytkownika LDAP istnieje już użytkownik Comarch ERP Enterprise, przypisanie do systemu zostanie usunięte. Mapowanie do systemu jest aktualizowane tylko dla systemu, na którym działa aplikacja w tle. Po utworzeniu nowego użytkownika Comarch ERP Enterprise, użytkownik automatycznie staje się członkiem grupy Comarch ERP Enterprise zawierającej użytkowników zarządzanych za pomocą protokołu LDAP. Nazwę grupy Comarch ERP Enterprise określa się w aplikacji Konfiguracja w funkcji Synchronizacja LDAP w polu Użytkownicy administrowaniu przez LDAP.

Jeżeli użytkownik należy do grupy określonej w polu Użytkownicy administrowaniu przez LDAP, dane zostaną przejęte przez LDAP. Nazwa użytkownika Comarch ERP Enterprise jest określona przez atrybut LDAP sAMAccountName. Jeśli atrybut LDAP sAMAccountName nie istnieje, używany jest atrybut LDAP cn (to skrót od nazwy zwyczajowej). Wartość atrybutu LDAP jest zmieniana w systemie przed użyciem. Wszystkie małe litery są konwertowane na wielkie. Wszystkie spacje są zastępowane znakiem podkreślenia. Przyjmowane są również następujące wartości:

Atrybut LDAP Pole w systemie
cn Pełna nazwa
displayName Opis
mail E-mail
sAMAccountName Dziedziczony w identyfikatorze użytkownika typu Nazwa użytkownika systemu Windows.
userCertificate Każdy wpis staje się identyfikatorem użytkownika typu Certyfikat X.509.
userAccountControl Weryfikowany pod kątem aktywacji/dezaktywacji użytkowników w systemie.

Atrybut LDAP userAccountControl jest atrybutem specyficznym dla usługi Active Directory. Oprócz tego atrybutu sprawdzane jest, czy użytkownik LDAP jest członkiem grupy LDAP zawierającej wyłączonych użytkowników. Nazwę grupy określa się w aplikacji Konfiguracja w funkcji Synchronizacja LDAP w polu Nieaktywni użytkownicy.

Jeśli użytkownik należy do grupy Użytkownicy administrowaniu przez LDAP i nie zostanie znaleziony w LDAP, użytkownik zostanie dezaktywowany i ustawiony zostaje znacznik usunięcia. Znacznik usunięcia można usunąć jedynie poprzez ponowne utworzenie użytkownika LDAP.

Działania

Aplikacja działająca w tle umożliwia następujące działanie:

Synchronizuj z akcją LDAP

Aplikacja działająca w tle kopiuje dane LDAP do bazy konfiguracyjnej. Przechodzą przez różne etapy:

  • Tworzenie grup użytkowników w systemie – wszystkie grupy LDAP będące członkami określonej grupy są tworzone jako grupy w systemie. Jeżeli opis został zmieniony w LDAP, zostanie on zaktualizowany w odpowiedniej grupie w systemie. Nazwę grupy LDAP, która określa, które grupy są przekazywane do systemu, określa się w aplikacji Konfiguracja w funkcji Synchronizacja LDAP w polu Grupy Comarch ERP Enterprise.
  • Tworzenie użytkowników – użytkownicy będący członkami grupy w LDAP reprezentującej przypisania użytkowników systemie są tworzeni i aktualizowani. Grupy LDAP są przechowywane w aplikacji Konfiguracja. Są to grupy zapisane w polach Pracownicy z pełnym dostępem, Partnerzy biznesowi z pełnym dostępem, Pracownik (tylko do odczytu) i Partner biznesowy (tylko do odczytu). Wszelkie istniejące znaczniki usunięcia zostaną usunięte. Wszyscy nowo utworzeni użytkownicy automatycznie stają się członkami grupy Comarch ERP Enterprise, która jest przechowywana w polu Użytkownicy administrowani przez LDAP w aplikacji Konfiguracja.
  • Przypisanie użytkowników do systemu – przypisanie użytkowników jest dostosowywane w zależności od grup LDAP. Grupy oceniane są w następującej kolejności: Pracownicy z pełnym dostępem, Partnerzy biznesowi z pełnym dostępem, Pracownik (tylko do odczytu), Partner biznesowy (tylko do odczytu)
  • Dezaktywacja użytkowników – jeśli serwer LDAP jest serwerem Windows Active Directory, flaga może zostać oceniona przez system Windows. W przypadku wszystkich pozostałych systemów LDAP istnieje możliwość dezaktywacji użytkowników, jeśli są członkami określonej grupy. Nazwa grupy jest przechowywana w polu Nieaktywni użytkownicy w aplikacji Konfiguracja.
  • Oznacz użytkowników do usunięcia – wszyscy członkowie grupy zawierającej użytkowników zarządzanych za pomocą protokołu LDAP zostaną oznaczeni do usunięcia, jeśli użytkownicy nie zostali przetworzeni w poprzednich krokach.

Parametry aplikacji Synchronizuj z LDAP

Aplikacja działająca w tle Synchronizuj z LDAP wyświetla wybrane pola funkcji dostosowywania synchronizacji LDAP . Parametry można zmienić w dowolnym momencie w obszarze Dostosowywanie. Zmienione wartości zostaną uwzględnione przy następnym wykonaniu, bez konieczności przerywania i ponownego tworzenia zadania przetwarzania.

Akcja ma następujące parametry:

Parametr Opis
Nazwa hosta Nazwa lub adres IP, pod którym można uzyskać dostęp do serwera LDAP.
Rejestrowanie Ustawianie poziomu rejestrowania podczas synchronizacji.

  • Brak rejestrowania
  • Wykonanie i sumy – zapisywana jest informacja o wykonanej synchronizacji. Widoczna jest liczba utworzonych i zmienionych użytkowników lub grup użytkowników.
  • Zmienione instancje – rejestrowane jest dodatkowo, który użytkownik lub grupa użytkowników została zmieniona.
  • Zmienione wartości – rejestrowane jest dodatkowo, który atrybut uległ zmianie. Zapisywane są stare i nowe wartości.

Czy ten artykuł był pomocny?

Wyślij opnie