Aktivování AD / LDAP konektoru zjednodušuje management uživatelů v CDESKu. Podle zařazení AD účtů do skupin, nastavení atributů, umíte automatizovat vytváření a parametrizaci účtů v CDESKu. Následně vám vyřeší autentifikaci přístupu uživatelů do CDESKu.
Konektor AD / LDAP v okamžiku přihlašování uživatele do CDESKu se ověřuje platnost účtu v Microsoft Active Directory nebo LDAP. Automatické vytváření účtů v CDESKu je na základě příslušnosti AD účtu ve vybraných skupinách. Podle atributů je možné účty přiřazovat ke společnostem, určit jim nadřízeného uživatele a pracovní pozici.
Výsledkem propojení CDESKu a AD/LDAP přes tento konektor je přihlašování uživatelů pomocí přihlašovacích údajů z AD nebo LDAP databází. Podle nastavení si budete moci zvolit, zda zobrazovat na úvodní login obrazovce výběr domény, nebo zobrazení výběru domény s loginem ve tvaru jméno@doména.
Pro přidání AD / LDAP konektoru přejděte do Globální nastavení → Konektory, API. Po kliknutí se zobrazí seznam přidaných konektorů. Nový konektor přidáte klepnutím na tlačítko +Přidat konektor, které se nachází v pravém horním rohu.
Po kliknutí se zobrazí okno pro výběr typu konektoru. Vyberte možnost AD / LDAP (Adresátová služba) a následně klikněte na tlačítko → Pokračovat.
Po kliknutí se zobrazí okno pro konfiguraci parametrů. Okno je rozděleno na více záložek, které jsou popsány v dalších odstavcích.
Pro zjednodušení postupu doporučujeme načíst data z AD do LDAP software. V dalším postupu budeme používat Softera LDAP Browser, který si můžete stáhnout na tomto odkazu.
Po úspěšné instalaci můžete přidat nové připojení. Pro přidání připojení klikněte na tlačítko New, které se nachází v horní liště.
Po kliknutí se zobrazí modální okno. Nejdříve zadejte název, pod kterým se bude struktura zobrazovat a následně klepněte na tlačítko Next.
Následně určete adresu, port Active Directory serveru a klepněte na tlačítko Next.
V dalším kroku se vybírá způsob autentifikace. Vyberte možnost Other credential a v poli Password zadejte heslo. Po zadání údajů klikněte na tlačítko Finish.
Typ konektoru – pole není editovatelné a vyplní se automaticky.
Název – název, pod kterým se konektor bude zobrazovat v seznamu konektorů.
Zapnuto – uvedením přepínače do polohy zapnuto , bude možné konektor používat.
Jméno / IP adresa serveru – v prvním poli zadejte jméno, případně IP adresu serveru a ve druhém poli zadejte číslo portu. Standardní port určený pro AD komunikaci je TCP/UDP 389.
User DN – uživatel, který bude vyčítat data z AD pro CDESK. Stačí, aby měl read-only oprávnění k potřebným částem v AD. Lze jej zadat ve tvaru doména / uživatel. Také je možné použít cestu z AD. Pro získání cesty si v LDAP software vyhledejte daného uživatele, klikněte na něj pravým tlačítkem myši a vyberte možnost Properties. Po kliknutí se zobrazí modální okno s parametry uživatele. Potřebná cesta se nachází hned v prvním řádku na záložce Entry.
Do pole Heslo vložte heslo, které uživatel používá v AD.
Zabezpečené připojení – pokud máte možnost zabezpečeného připojení s AD serverem, uveďte přepínač do polohy zapnuto a změňte port z 389 na 636.
User DN cesta – cesta, ve které se nacházejí uživatelé k vytvoření a / nebo spárování účtů v CDESKu. Vedle tohoto pole se nachází nastavení, zda se budou načítat všechny záznamy spadající pod danou cestu, nebo jen objekty spadající pod určitou objectClass. ObjectClass představuje atribut, na jehož základě jsou evidovaní uživatelé tříděni v LDAP software. Při výběru možnosti Filtrovat podle objectClass se vedle pole User DN cesta zobrazí pole s možností výběru objectClass. Tlačítko +Přidat User DN cestu slouží k přidání další cesty, ze které se budou načítat uživatelé. Při každé nové cestě lze nastavit filtraci podle objectClass.
Group DN cesta – určuje cestu k načtení skupin. Toto nastavení je důležité proto, aby se jednotlivým skupinám z LDAP přiřadily uživatelské skupiny používané v CDESKu. V upřesnění tohoto pole se nachází nastavení, zda se budou načítat všechny záznamy spadající pod danou cestu, nebo jen objekty spadající pod určitou objectClass. Tlačítko +Přidat Group DN cestu slouží k přidání další cesty, ze které se budou načítat skupiny. Při každé nové cestě lze nastavit filtraci podle objectClass.
Jednoznačný identifikátor – údaj, který se z LDAP načte do CDESKu a na základě tohoto údaje bude probíhat synchronizace uživatele. Tento identifikátor zůstává stejný i při změně loginu a dalších osobních údajů uživatele v LDAP software.
V případě, že používáte Active Directory, doporučujeme ponechat ve výběru možnost Atribut GUID. Po úspěšném vytvoření účtů se Atribut GUID převede do nově vytvořeného uživatele v položce Externí ID na záložce Všeobecná nastavení v nastavení CDESK účtu.
Pokud data v software LDAP jsou načtena z jiného systému, vyberte možnost Vlastní atribut. Při výběru této možnosti se zobrazí pole pro vložení atributu. Doporučujeme používat atribut podobný atributu objectGUID, který se používá v Active Directory. Důvodem je, aby uživatel byl jednoznačně identifikován po celou dobu existence AD účtu.
Atribut, ve kterém je UID – doporučujeme použít hodnotu sAMAccountName, ale v případě potřeby je možné vložit i jinou hodnotu, která ale neobsahuje mezery. Po vytvoření účtu v CDESKu se tato hodnota předvyplní jako Uživatelské jméno. (Tuto hodnotu lze nalézt na záložce Všeobecná nastavení v Uživatelé a skupiny → Uživatelé → konkrétní uživatel).
Párování podle e-mailu – pokud se přepínač nachází v poloze zapnuto , nebudou se vytvářet nové účty pro uživatele, kteří mají v CDESKu stejný e-mail jako v Active Directory. Pokud během synchronizace přepínač ponecháte v poloze vypnuto , dojde k tvorbě duplicitních účtů i pro již registrované uživatele. Zpětné zapnutí přepínače během další synchronizace duplicitní účty neodstraní. Proto doporučujeme tento přepínač zapnout již při první synchronizaci.
Vyhodnocení stavu vypnutí uživatele – atribut, na jehož základě se vyhodnocuje stav uživatele (aktivní / neaktivní). V AD se standardně k tomu používá atribut userAccountControl. Proto, pokud nepoužíváte vlastní nastavení, vyberte tuto možnost. Další nastavení se při výběru této možnosti neprovádějí, protože CDESK automaticky rozpozná kód pro aktivního a neaktivního uživatele. Pokud používáte vlastní parametr k vyhodnocování stavu uživatele, vyberte možnost Vlastní atribut. V takovém případě se zobrazí pole pro zadání atributu, který bude sloužit k vyhodnocování stavu.
Atribut, ve kterém je název skupiny – zadejte atribut, na jehož základě se bude zobrazovat název skupiny. Doporučujeme zvolit hodnotu name, případně sAMAccountName. Tento název se bude zobrazovat také níže v části Podmínka přiřazení do skupiny.
Podmínka přiřazení do skupiny – Toto nastavení se zobrazí až po uložení konektoru. Nastavení uložíte kliknutím na ikonu uložit, která se nachází na liště vpravo a také na konci formuláře. Po uložení nastavení je následně nutné provést synchronizaci s LDAP software. Slouží k tomu ikona Synchronizovat, která se nachází na liště vpravo a také na konci formuláře.
Po úspěšné synchronizaci se v této části zobrazí skupiny patřící pod cestu zadanou v poli Group DN cesta a vedle každé z nich pole pro nastavení uživatelské skupiny v CDESKu. V CDESKu se vytvoří účty pouze uživatelů patřících pod LDAP skupiny, které se zobrazují v tomto seznamu. K LDAP skupině lze vybrat jakoukoli uživatelskou skupinu registrovanou v CDESKu a k jedné LDAP skupině lze přiřadit více CDESK skupin. V takovém případě uživatelé obdrží oprávnění příslušející všem vybraným CDESK skupinám.
Pro nastavení Podmínka přiřazení do skupiny lze vybrat možnosti: Bez omezení a Pouze při založení uživatele.
Do seznamu zobrazených skupin můžete přidat další LDAP skupinu pomocí tlačítka +Přidat sledovanou skupinu. Po kliknutí se zobrazí seznam dostupných skupin. Klepnutím na název skupiny a následně na tlačítko Přidat se LDAP skupina zařadí do seznamu skupin, ke kterým lze přiřazovat CDESK skupiny. Skupinu můžete ze seznamu odstranit pomocí ikony , která se nachází na konci každého řádku.
V případě, že v LDAP software neregistrujete skupiny, nebo chcete přidat všechny uživatele bez ohledu na přiřazenost do skupin, po klepnutí na tlačítko +Přidat sledovanou skupinu vyberte možnost Bez určení skupiny.
Přiřazení zákazníka k uživateli podle atributu – nastavení použijete v případě, že nově vytvořeným uživatelům v CDESKu chcete automaticky přiřadit zákazníka. Díky tomu uživatelé boudu moci například zadávat požadavky. Po klepnutí na tlačítko +Přidat pravidlo se zobrazí řádek s následujícími poli:
Aby bylo možné přiřazovat společnost na základě dvou a více hodnot LDAP atributu, pro každou hodnotu je třeba definovat nové pravidlo. To opět definujete pomocí tlačítka +Přidat pravidlo. Tímto způsobem můžete také definovat přiřazování uživatelů k jiné společnosti v CDESKU na základě libovolného LDAP atributu a jeho hodnot. Pokud potřebujete pravidlo odstranit, klikněte na ikonu na konci řádku daného pravidla.
Přiřazení nadřízeného zaměstnance podle atributu – nastavení použijete v případě, že nově vytvořeným uživatelům v CDESKu chcete automaticky přiřadit nadřízeného uživatele. Může se například jednat o manažera společnosti. Po klepnutí na tlačítko +Přidat pravidlo se zobrazí pole pro zadání LDAP atributu, který pokud uživatel / uživatelé v LDAP software budou splňovat, přiřadí se jako nadřízení zaměstnanci k nově vytvořeným účtům. Může se jednat o libovolný atribut. Také je možné přidat více pravidel pro přidání nadřízeného zaměstnance. Pokud potřebujete pravidlo odstranit, klikněte na ikonu na konci řádku daného pravidla.
Seznam nadřízených uživatelů k určitému účtu naleznete v Uživatelé a skupiny → Uživatelé → konkrétní uživatel → záložka Nadřízení a podřízení → část Nadřízení.
Přiřazení pracovní pozice podle atributu – nastavení použijete v případě, že nově vytvořeným uživatelům v CDESKu chcete automaticky přiřadit pracovní pozice. Po klepnutí na tlačítko +Přidat pravidlo se zobrazí řádek s následujícími poli:
Aby bylo možné přiřazovat pracovní pozici na základě dvou a více hodnot LDAP atributu, pro každou hodnotu je nutné definovat nové pravidlo. To opět definujete pomocí tlačítka +Přidat pravidlo. Tímto způsobem můžete také definovat přiřazování uživatelů k jiné pracovní pozici v CDESKU na základě libovolného LDAP atributu a jeho hodnot. Pokud potřebujete pravidlo odstranit, klikněte na ikonu na konci řádku daného pravidla.
Nastavení na této záložce se zpřístupní až po uložení konektoru. Záložka umožňuje definovat pravidla pro automatické vyplnění dalších parametrů uživatele.
Ve výchozím nastavení se v seznamu nacházejí vlastnosti, které jsou povinné.
Celé jméno – zadejte LDAP atribut, na jehož základě se ve formuláři uživatele vyplní pole Celé jméno. Lze vložit libovolný atribut. Doporučujeme ale použít atribut displayName.
Zkratka pro výpis – zadejte LDAP atribut, na jehož základě se ve formuláři uživatele vyplní pole Zkratka pro výpis. Pro CDESK se doporučuje, aby Zkratka pro výpis byla stejná jako login uživatele. Lze vložit libovolný atribut. Doporučujeme ale použít atribut sAMAccountName.
Kontaktní e-mail – zadejte LDAP atribut, na jehož základě se ve formuláři uživatele vyplní pole Kontaktní e-mail. Lze vložit libovolný atribut. Doporučujeme ale použít atribut mail.
V případě potřeby je možné nastavit automatické předvyplňování polí Telefon a Mobil. Máte-li ve svém CDESK prostředí nastaveno pro uživatele další doplňkové vlastnosti, bude možné přidat i ty. Musí se ale jednat o vlastnosti globálně nastavené pro všechny uživatele, které můžete přidat v Globální nastavení → Uživatelé → část Doplňkové vlastnosti.
Pro přidání některé z těchto vlastností klikněte na tlačítko +Přidat pravidlo pro vlastnost, které se nachází pod aktuálním seznamem vlastností.
Po kliknutí se zobrazí pole pro výběr vlastnosti. Požadovanou vlastnost vyberete kliknutím a následně klepněte na tlačítko Přidat . Vlastnost se pak zařadí do seznamu a zobrazí se u ní pole pro zadání příslušejícího LDAP atributu. Chcete-li takto přidanou vlastnost ze seznamu odebrat, klikněte na ikonu , která se nachází na konci řádku dané vlastnosti. Je možné odstranit pouze ty atributy, které nejsou povinné.
Záložka umožňuje nastavit, jakým způsobem se budou nově založení uživatelé autentifikovat při přihlašování do CDESKu. Bližší informace o nastavování přihlašování do CDESKu naleznete níže v odstavci Nastavení způsobu přihlašování do CDESKu.
Stav – výběr poskytuje následující možnosti:
Jméno / IP adresa serveru – v prvním poli zadejte jméno, případně IP adresu serveru a ve druhém poli zadejte číslo portu.
Zabezpečené připojení – aby připojení bylo zabezpečeno, uveďte přepínač do polohy zapnuto a je-li třeba, pomocí tlačítka Nahrát soubor importujte certifikát.
Koncové číslo účtu – název domény ve tvaru @doména.domain. Tento název bude možné vybrat na přihlašovací obrazovce CDESKu, pokud máte nastaven manuální způsob výběru konektoru.
Sekundární server – v případě, že používáte více AD serverů, v této části můžete nakonfigurovat přihlašování prostřednictvím sekundárního serveru, který bude použit, pokud selže primární. Ve výchozím nastavení je v poli stav nastavena možnost Vypnuto. Pro nastavení sekundárního serveru vyberte možnost Microsoft AD a údaje v zobrazených polích nakonfigurujte stejným způsobem jako pro primární server, ale s údaji sekundárního serveru.
Na záložce Organizační struktura lze konfigurovat data serveru, ze kterého se načte organizační struktura společnosti. Podle zařazení účtu do organizační struktury lze filtrovat záznamy v seznamech a zahrnout do exportů.
Po vytvoření uživatelů bude tato organizační struktura graficky znázorněna na záložce Organizační struktura ve formuláři uživatele. (Skupiny a uživatelé → Uživatelé → konkrétní uživatel → záložka Organizační struktura). Cesta se začleněním konkrétního uživatele do organizační struktury se zobrazuje také v seznamu požadavků, plnění a pracovních příkazů.
Zapnuto – přepínač se ve výchozím nastavení nachází v poloze vypnuto . Přepínač uveďte do polohy zapnuto v případě, že organizační struktura vaší společnosti je evidována na jiném serveru, než jste uvedli na záložce Základní nastavení. Uvedením přepínače do polohy zapnuto se zpřístupní pole pro nastavení parametrů serveru. Zadávání parametrů probíhá stejně jako na záložce Základní nastavení.
Uživatelé s automaticky vytvořenými účty se do CDESKu mohou přihlašovat dvěma způsoby. Buď pomocí přihlašovacích údajů z AD nebo pomocí přihlašovacích údajů do CDESKu.
Způsob přihlašování lze nastavit v Globální nastavení → Loga, doména, soubory → v části Způsob výběru AD konektoru.
Výběr nabízí následující možnosti:
Nastavení uložíte pomocí tlačítka Uložit, které se nachází na konci formuláře a na boční liště okna.