Autentifikace na základě AD / LDAP do CDESKu s managementem účtů

Aktivování AD / LDAP konektoru zjednodušuje management uživatelů v CDESKu. Podle zařazení AD účtů do skupin, nastavení atributů, umíte automatizovat vytváření a parametrizaci účtů v CDESKu. Následně vám vyřeší autentifikaci přístupu uživatelů do CDESKu.

Konektor AD / LDAP v okamžiku přihlašování uživatele do CDESKu se ověřuje platnost účtu v Microsoft Active Directory nebo LDAP. Automatické vytváření účtů v CDESKu je na základě příslušnosti AD účtu ve vybraných skupinách. Podle atributů je možné účty přiřazovat ke společnostem, určit jim nadřízeného uživatele a pracovní pozici.

Výsledkem propojení CDESKu a AD/LDAP přes tento konektor je přihlašování uživatelů pomocí přihlašovacích údajů z AD nebo LDAP databází. Podle nastavení si budete moci zvolit, zda zobrazovat na úvodní login obrazovce výběr domény, nebo zobrazení výběru domény s loginem ve tvaru jméno@doména.

Přidání AD/LDAP konektoru v CDESKu

Pro přidání AD / LDAP konektoru přejděte do Globální nastavení Konektory, API. Po kliknutí se zobrazí seznam přidaných konektorů. Nový konektor přidáte klepnutím na tlačítko +Přidat konektor, které se nachází v pravém horním rohu.

Tlačidlo pre pridanie konektora
Obrázek: Tlačítko pro přidání konektoru

Po kliknutí se zobrazí okno pro výběr typu konektoru. Vyberte možnost AD / LDAP (Adresátová služba) a následně klikněte na tlačítko → Pokračovat.

Pridanie AD / LDAP konektora
Obrázek: Přidání AD / LDAP konektoru

 

Po kliknutí se zobrazí okno pro konfiguraci parametrů. Okno je rozděleno na více záložek, které jsou popsány v dalších odstavcích.

Příprava – načtení stromu AD v LDAP software třetí strany

Pro zjednodušení postupu doporučujeme načíst data z AD do LDAP software. V dalším postupu budeme používat Softera LDAP Browser, který si můžete stáhnout na tomto odkazu.

Po úspěšné instalaci můžete přidat nové připojení. Pro přidání připojení klikněte na tlačítko New, které se nachází v horní liště.

1.krok pri pridaní pripojenia v LDAP softvéri
Obrázek: 1.krok při přidání připojení v LDAP software

 

Po kliknutí se zobrazí modální okno. Nejdříve zadejte název, pod kterým se bude struktura zobrazovat a následně klepněte na tlačítko Next.

2. krok pri pridaní pripojenia v LDAP softvéri – zadanie názvu
Obrázek: 2. krok při přidání připojení v LDAP software – zadání názvu

 

Následně určete adresu, port Active Directory serveru a klepněte na tlačítko Next.

3. krok pri pridaní pripojenia v LDAP softvéri – zadanie adresy servera
Obrázk: 3. krok při přidání připojení v LDAP software – zadání adresy serveru

 

V dalším kroku se vybírá způsob autentifikace. Vyberte možnost Other credential a v poli Password zadejte heslo. Po zadání údajů klikněte na tlačítko Finish.

4. krok pri pridaní pripojenia v LDAP softvéri – spôsob autentifikácie
Obrázek: krok při přidání připojení v LDAP software – způsob autentifikace

Základní nastavení AD / LDAP konektoru

Záložka Základné nastavenia
Obrázek: Záložka Základní nastavení

Typ konektoru – pole není editovatelné a vyplní se automaticky.

Název – název, pod kterým se konektor bude zobrazovat v seznamu konektorů.

Zapnuto – uvedením přepínače do polohy zapnuto , bude možné konektor používat.

Jméno / IP adresa serveru – v prvním poli zadejte jméno, případně IP adresu serveru a ve druhém poli zadejte číslo portu. Standardní port určený pro AD komunikaci je TCP/UDP 389.

User DN – uživatel, který bude vyčítat data z AD pro CDESK. Stačí, aby měl read-only oprávnění k potřebným částem v AD. Lze jej zadat ve tvaru doména / uživatel. Také je možné použít cestu z AD. Pro získání cesty si v LDAP software vyhledejte daného uživatele, klikněte na něj pravým tlačítkem myši a vyberte možnost Properties. Po kliknutí se zobrazí modální okno s parametry uživatele. Potřebná cesta se nachází hned v prvním řádku na záložce Entry.

Cesta k používateľovi
Obrázek: Cesta k uživateli

Do pole Heslo vložte heslo, které uživatel používá v AD.

Zabezpečené připojení – pokud máte možnost zabezpečeného připojení s AD serverem, uveďte přepínač do polohy zapnuto a změňte port z 389 na 636.

Automatická tvorba účtů

Záložka Automatická tvorba účtov
Obrázek: Záložka Automatická tvorba účtů

 

User DN cesta – cesta, ve které se nacházejí uživatelé k vytvoření a / nebo spárování účtů v CDESKu. Vedle tohoto pole se nachází nastavení, zda se budou načítat všechny záznamy spadající pod danou cestu, nebo jen objekty spadající pod určitou objectClass. ObjectClass představuje atribut, na jehož základě jsou evidovaní uživatelé tříděni v LDAP software. Při výběru možnosti Filtrovat podle objectClass se vedle pole User DN cesta zobrazí pole s možností výběru objectClass. Tlačítko +Přidat User DN cestu slouží k přidání další cesty, ze které se budou načítat uživatelé. Při každé nové cestě lze nastavit filtraci podle objectClass.

Určenie, ktoré object sa budú v CDESKu načítavať
Obrázek: Určení, které object class se budou v CDESKu načítat

 

Group DN cesta – určuje cestu k načtení skupin. Toto nastavení je důležité proto, aby se jednotlivým skupinám z LDAP přiřadily uživatelské skupiny používané v CDESKu. V upřesnění tohoto pole se nachází nastavení, zda se budou načítat všechny záznamy spadající pod danou cestu, nebo jen objekty spadající pod určitou objectClass. Tlačítko +Přidat Group DN cestu slouží k přidání další cesty, ze které se budou načítat skupiny. Při každé nové cestě lze nastavit filtraci podle objectClass.

Jednoznačný identifikátor – údaj, který se z LDAP načte do CDESKu a na základě tohoto údaje bude probíhat synchronizace uživatele. Tento identifikátor zůstává stejný i při změně loginu a dalších osobních údajů uživatele v LDAP software.

V případě, že používáte Active Directory, doporučujeme ponechat ve výběru možnost Atribut GUID. Po úspěšném vytvoření účtů se Atribut GUID převede do nově vytvořeného uživatele v položce Externí ID na záložce Všeobecná nastavení v nastavení CDESK účtu.

Pokud data v software LDAP jsou načtena z jiného systému, vyberte možnost Vlastní atribut. Při výběru této možnosti se zobrazí pole pro vložení atributu. Doporučujeme používat atribut podobný atributu objectGUID, který se používá v Active Directory. Důvodem je, aby uživatel byl jednoznačně identifikován po celou dobu existence AD účtu.

Atribut, ve kterém je UID – doporučujeme použít hodnotu sAMAccountName, ale v případě potřeby je možné vložit i jinou hodnotu, která ale neobsahuje mezery. Po vytvoření účtu v CDESKu se tato hodnota předvyplní jako Uživatelské jméno. (Tuto hodnotu lze nalézt na záložce Všeobecná nastavení v Uživatelé a skupiny → Uživatelé → konkrétní uživatel).

Párování podle e-mailu – pokud se přepínač nachází v poloze zapnuto , nebudou se vytvářet nové účty pro uživatele, kteří mají v CDESKu stejný e-mail jako v Active Directory. Pokud během synchronizace přepínač ponecháte v poloze vypnuto , dojde k tvorbě duplicitních účtů i pro již registrované uživatele. Zpětné zapnutí přepínače během další synchronizace duplicitní účty neodstraní. Proto doporučujeme tento přepínač zapnout již při první synchronizaci.

Vyhodnocení stavu vypnutí uživatele – atribut, na jehož základě se vyhodnocuje stav uživatele (aktivní / neaktivní). V AD se standardně k tomu používá atribut userAccountControl. Proto, pokud nepoužíváte vlastní nastavení, vyberte tuto možnost. Další nastavení se při výběru této možnosti neprovádějí, protože CDESK automaticky rozpozná kód pro aktivního a neaktivního uživatele. Pokud používáte vlastní parametr k vyhodnocování stavu uživatele, vyberte možnost Vlastní atribut. V takovém případě se zobrazí pole pro zadání atributu, který bude sloužit k vyhodnocování stavu.

Atribút userAccountControl v LDAP softvéri na vyhodnotenie stavu používateľa
Obrázek: Atribut userAccountControl v LDAP software pro vyhodnocení stavu uživatele

 

Atribut, ve kterém je název skupiny – zadejte atribut, na jehož základě se bude zobrazovat název skupiny. Doporučujeme zvolit hodnotu name, případně sAMAccountName. Tento název se bude zobrazovat také níže v části Podmínka přiřazení do skupiny.

Atribút name v LDAP softvéri, ktorý obsahuje názov skupiny
Obrázek: Atribut jméno v LDAP software, který obsahuje název skupiny

 

Podmínka přiřazení do skupiny – Toto nastavení se zobrazí až po uložení konektoru. Nastavení uložíte kliknutím na ikonu uložit, která se nachází na liště vpravo a také na konci formuláře. Po uložení nastavení je následně nutné provést synchronizaci s LDAP software. Slouží k tomu ikona Synchronizovat, která se nachází na liště vpravo a také na konci formuláře.

Po úspěšné synchronizaci se v této části zobrazí skupiny patřící pod cestu zadanou v poli Group DN cesta a vedle každé z nich pole pro nastavení uživatelské skupiny v CDESKu. V CDESKu se vytvoří účty pouze uživatelů patřících pod LDAP skupiny, které se zobrazují v tomto seznamu. K LDAP skupině lze vybrat jakoukoli uživatelskou skupinu registrovanou v CDESKu a k jedné LDAP skupině lze přiřadit více CDESK skupin. V takovém případě uživatelé obdrží oprávnění příslušející všem vybraným CDESK skupinám.

Pro nastavení Podmínka přiřazení do skupiny lze vybrat možnosti: Bez omezení a Pouze při založení uživatele.

  • Bez omezení – při výběru této možnosti se vybrané skupiny budou synchronizovat s každou synchronizaci AD / LDAP konektoru. Například uživatel patřící pod určitou skupinu v LDAP má v CDESKu nastavenou skupinu Operators. Následně bude ale z této CDESK skupiny odstraněn. Při další synchronizaci AD / LDAP konektoru bude opět automaticky přiřazen do skupiny Operators, protože uživatelé z dané LDAP skupiny jsou přiřazováni do skupiny Operators. Pokud bude pro danou LDAP skupinu nastavena jiná CDESK skupina, při další synchronizaci bude uživatel přiřazen do této skupiny i s náležitými oprávněními v CDESKu.
  • Pouze při založení uživatele – při výběru této možnosti se uživatel do CDESK skupiny přiřadí pouze při založení a přiřazenost do skupin se již nebude více aktualizovat.

 

Priradenie skupín z LDAP softvéru k používateľským skupinám v CDESKu
Obrázek: Přiřazení skupin z LDAP software k uživatelským skupinám v CDESKu

 

Do seznamu zobrazených skupin můžete přidat další LDAP skupinu pomocí tlačítka +Přidat sledovanou skupinu. Po kliknutí se zobrazí seznam dostupných skupin. Klepnutím na název skupiny a následně na tlačítko Přidat se LDAP skupina zařadí do seznamu skupin, ke kterým lze přiřazovat CDESK skupiny. Skupinu můžete ze seznamu odstranit pomocí ikony , která se nachází na konci každého řádku.

V případě, že v LDAP software neregistrujete skupiny, nebo chcete přidat všechny uživatele bez ohledu na přiřazenost do skupin, po klepnutí na tlačítko +Přidat sledovanou skupinu vyberte možnost Bez určení skupiny.

Tlačidlo pre pridávanie LDAP skupín
Obrázek: Tlačítko pro přidávání LDAP skupin

 

Přiřazení zákazníka k uživateli podle atributu – nastavení použijete v případě, že nově vytvořeným uživatelům v CDESKu chcete automaticky přiřadit zákazníka. Díky tomu uživatelé boudu moci například zadávat požadavky. Po klepnutí na tlačítko +Přidat pravidlo se zobrazí řádek s následujícími poli:

  • CDESK společnost – po kliknutí se zobrazí výběr se seznamem společností registrovaných v CDESKu. Vyberte zákazníka, který bude vybraným uživatelům přiřazen. Seznam registrovaných společností v CDESK lze nalézt v Adresář -> Společnosti.
  • LDAP atribut – libovolný atribut v LDAP software, na základě, kterého CDESK bude vyhodnocovat, zda se uživatelům přiřadí vybraná společnost. Pokud chcete společnost přiřadit všem nově vytvořeným uživatelům a daný uživatelé nemají společný žádný LDAP atribut, doporučujeme vložit hodnotu userAccountControl.
  • Nabytá hodnota – hodnota vybraného LDAP atributu, která pokud bude splněna, tak uživatelům s danou hodnotou bude automaticky přiřazena nastavená společnost. Při volbě LDAP atributu userAccountControl doporučujeme použít hodnotu 66048 anebo 512. Jedná se o standardní hodnoty v AD. 66048 značí uživatele, kterým neexpiruje heslo a 512 uživatelů, kterým heslo exspiruje.

Aby bylo možné přiřazovat společnost na základě dvou a více hodnot LDAP atributu, pro každou hodnotu je třeba definovat nové pravidlo. To opět definujete pomocí tlačítka +Přidat pravidlo. Tímto způsobem můžete také definovat přiřazování uživatelů k jiné společnosti v CDESKU na základě libovolného LDAP atributu a jeho hodnot. Pokud potřebujete pravidlo odstranit, klikněte na ikonu na konci řádku daného pravidla.

Pravidlo pre priradenie zákazníka k používateľovi podľa atribútu
Obrázek: Pravidlo pro přiřazení zákazníka k uživateli podle atributu

 

Přiřazení nadřízeného zaměstnance podle atributu – nastavení použijete v případě, že nově vytvořeným uživatelům v CDESKu chcete automaticky přiřadit nadřízeného uživatele. Může se například jednat o manažera společnosti. Po klepnutí na tlačítko +Přidat pravidlo se zobrazí pole pro zadání LDAP atributu, který pokud uživatel / uživatelé v LDAP software budou splňovat, přiřadí se jako nadřízení zaměstnanci k nově vytvořeným účtům. Může se jednat o libovolný atribut. Také je možné přidat více pravidel pro přidání nadřízeného zaměstnance. Pokud potřebujete pravidlo odstranit, klikněte na ikonu na konci řádku daného pravidla.

Seznam nadřízených uživatelů k určitému účtu naleznete v Uživatelé a skupiny → Uživatelé → konkrétní uživatel → záložka Nadřízení a podřízení → část Nadřízení.

Podmienka pre priradenie nadriadeného zamestnanca podľa atribútu
Obrázek: Podmínka pro přiřazení nadřízeného zaměstnance podle atributu

 

Přiřazení pracovní pozice podle atributu – nastavení použijete v případě, že nově vytvořeným uživatelům v CDESKu chcete automaticky přiřadit pracovní pozice. Po klepnutí na tlačítko +Přidat pravidlo se zobrazí řádek s následujícími poli:

  • Pracovní pozice – po kliknutí se zobrazí výběr pracovních pozic registrovaných v CDESKu. Pracovní pozice lze vytvářet v Globální nastavení → Pracovní pozice → Definování pracovních pozic.
  • LDAP atribut – libovolný atribut v LDAP software na základě, kterého CDESK bude vyhodnocovat, zda se uživatelům přiřadí vybraná pracovní pozice. Pokud chcete pracovní pozici přiřadit všem nově vytvořeným uživatelům a daní uživatelé nemají společný žádný LDAP atribut, doporučujeme vložit hodnotu userAccountControl.
  • Nabytá hodnota – hodnota vybraného LDAP atributu, která pokud bude splněna, tak uživatelům s danou hodnotou bude automaticky přiřazena nastavená pracovní pozice. Při volbě LDAP atributu userAccountControl doporučujeme použít hodnotu 66048 anebo 512. Jedná se o standardní hodnoty v AD. 66048 značí uživatele, kterým neexpiruje heslo a 512 uživatelů, kterým heslo exspiruje.

 

Aby bylo možné přiřazovat pracovní pozici na základě dvou a více hodnot LDAP atributu, pro každou hodnotu je nutné definovat nové pravidlo. To opět definujete pomocí tlačítka +Přidat pravidlo. Tímto způsobem můžete také definovat přiřazování uživatelů k jiné pracovní pozici v CDESKU na základě libovolného LDAP atributu a jeho hodnot. Pokud potřebujete pravidlo odstranit, klikněte na ikonu na konci řádku daného pravidla.

Pravidlo pre priradenie pracovnej pozície podľa atribútu
Obrázek: Pravidlo pro přiřazení pracovní pozice podle atributu

Automatické párování atributů

Nastavení na této záložce se zpřístupní až po uložení konektoru. Záložka umožňuje definovat pravidla pro automatické vyplnění dalších parametrů uživatele.

Záložka Automatické párovanie atribútov
Obrázek: Záložka Automatické párování atributů

 

Ve výchozím nastavení se v seznamu nacházejí vlastnosti, které jsou povinné.

Celé jméno – zadejte LDAP atribut, na jehož základě se ve formuláři uživatele vyplní pole Celé jméno. Lze vložit libovolný atribut. Doporučujeme ale použít atribut displayName.

Zkratka pro výpis – zadejte LDAP atribut, na jehož základě se ve formuláři uživatele vyplní pole Zkratka pro výpis. Pro CDESK se doporučuje, aby Zkratka pro výpis byla stejná jako login uživatele. Lze vložit libovolný atribut. Doporučujeme ale použít atribut sAMAccountName.

Kontaktní e-mail – zadejte LDAP atribut, na jehož základě se ve formuláři uživatele vyplní pole Kontaktní e-mail. Lze vložit libovolný atribut. Doporučujeme ale použít atribut mail.

V případě potřeby je možné nastavit automatické předvyplňování polí Telefon a Mobil. Máte-li ve svém CDESK prostředí nastaveno pro uživatele další doplňkové vlastnosti, bude možné přidat i ty. Musí se ale jednat o vlastnosti globálně nastavené pro všechny uživatele, které můžete přidat v Globální nastavení → Uživatelé → část Doplňkové vlastnosti.

Pro přidání některé z těchto vlastností klikněte na tlačítko +Přidat pravidlo pro vlastnost, které se nachází pod aktuálním seznamem vlastností.

Po kliknutí se zobrazí pole pro výběr vlastnosti. Požadovanou vlastnost vyberete kliknutím a následně klepněte na tlačítko Přidat . Vlastnost se pak zařadí do seznamu a zobrazí se u ní pole pro zadání příslušejícího LDAP atributu. Chcete-li takto přidanou vlastnost ze seznamu odebrat, klikněte na ikonu , která se nachází na konci řádku dané vlastnosti. Je možné odstranit pouze ty atributy, které nejsou povinné.

Tlačidlo pre pridanie vlastností a výber vlastností
Obrázek: Tlačítko pro přidání vlastností a výběr vlastností

Autentifikace do CDESK

Záložka umožňuje nastavit, jakým způsobem se budou nově založení uživatelé autentifikovat při přihlašování do CDESKu. Bližší informace o nastavování přihlašování do CDESKu naleznete níže v odstavci Nastavení způsobu přihlašování do CDESKu.

Záložka Autentifikácia do CDESK
Obrázek: Záložka Autentifikace do CDESK

Stav – výběr poskytuje následující možnosti:

  • Vypnuto – ve výchozím nastavení vyplněna tato možnost. V takovém případě se nezobrazují pole pro další nastavení. Stav Vypnuto použijte v případě, že v AD konektoru evidujete více domén, důsledkem čehož i přihlašovací údaje nově vytvořených uživatelů budou obsahovat více domén.
  • Microsoft AD – použijte v případě, že všechny uživatele v AD evidujete pod jednou doménou. Při výběru této možnosti se zpřístupní další pole pro nastavení serveru této domény.

Jméno / IP adresa serveru – v prvním poli zadejte jméno, případně IP adresu serveru a ve druhém poli zadejte číslo portu.

Zabezpečené připojení – aby připojení bylo zabezpečeno, uveďte přepínač do polohy zapnuto  a je-li třeba, pomocí tlačítka Nahrát soubor importujte certifikát.

Koncové číslo účtu – název domény ve tvaru @doména.domain. Tento název bude možné vybrat na přihlašovací obrazovce CDESKu, pokud máte nastaven manuální způsob výběru konektoru.

Sekundární server – v případě, že používáte více AD serverů, v této části můžete nakonfigurovat přihlašování prostřednictvím sekundárního serveru, který bude použit, pokud selže primární. Ve výchozím nastavení je v poli stav nastavena možnost Vypnuto. Pro nastavení sekundárního serveru vyberte možnost Microsoft AD a údaje v zobrazených polích nakonfigurujte stejným způsobem jako pro primární server, ale s údaji sekundárního serveru.

Přenos organizační struktury ze společnosti do CDESKu

Na záložce Organizační struktura lze konfigurovat data serveru, ze kterého se načte organizační struktura společnosti. Podle zařazení účtu do organizační struktury lze filtrovat záznamy v seznamech a zahrnout do exportů.

Po vytvoření uživatelů bude tato organizační struktura graficky znázorněna na záložce Organizační struktura ve formuláři uživatele. (Skupiny a uživatelé → Uživatelé → konkrétní uživatel → záložka Organizační struktura). Cesta se začleněním konkrétního uživatele do organizační struktury se zobrazuje také v seznamu požadavků, plnění a pracovních příkazů.

Záložka Organizačná štruktúra
Obrázek: Záložka Organizační struktura

Zapnuto – přepínač se ve výchozím nastavení nachází v poloze vypnuto . Přepínač uveďte do polohy zapnuto v případě, že organizační struktura vaší společnosti je evidována na jiném serveru, než jste uvedli na záložce Základní nastavení. Uvedením přepínače do polohy zapnuto se zpřístupní pole pro nastavení parametrů serveru. Zadávání parametrů probíhá stejně jako na záložce Základní nastavení.

Nastavení způsobu přihlašování do CDESKu

Uživatelé s automaticky vytvořenými účty se do CDESKu mohou přihlašovat dvěma způsoby. Buď pomocí přihlašovacích údajů z AD nebo pomocí přihlašovacích údajů do CDESKu.

Způsob přihlašování lze nastavit v Globální nastavení → Loga, doména, soubory → v části Způsob výběru AD konektoru.

Nastavenie spôsobu prihlasovania
Obrázek: Nastavení způsobu přihlašování

 

Výběr nabízí následující možnosti:

  • Automaticky – použijte, pokud v AD evidujete více domén (koncových čísel účtu). Uživatel se v takovém případě bude přihlašovat pomocí loginu ve tvaru: uzivatel@domain.local. Konektor se vybere automaticky podle doménového sufixu v přihlašovacím jménu, díky čemuž při přihlašování nebude nutné vybírat typ AD konektoru.
Prihlasovanie bez výberu AD konektora
Obrázek: Přihlašování bez výběru AD konektoru

 

  • Manuální – použijte, pokud jste při nastavování AD / LDAP konektoru na záložce Autentifikace do CDESKu vybrali stav Microsoft AD. V takovém případě si uživatel při přihlašování vybírá typ konektoru.
Prihlasovanie s výberom AD konektora
Obrázek: Přihlašování s výběrem AD konektoru

Nastavení uložíte pomocí tlačítka Uložit, které se nachází na konci formuláře a na boční liště okna.