Uwierzytelnianie w oparciu o AD/LDAP do CDESK z zarządzaniem kontem

Aktywowanie konektora AD/LDAP upraszcza zarządzanie użytkownikami w CDESK. Grupując konta AD, ustawiając atrybuty, można zautomatyzować tworzenie i parametryzację kont w CDESK. Następnie rozwiąże za Ciebie uwierzytelnianie dostępu użytkownika do CDESK.    

Złącze AD/LDAP weryfikuje ważność konta Microsoft Active Directory lub LDAP w momencie logowania się użytkownika do CDESK. Automatyczne tworzenie kont w CDESK odbywa się na podstawie przynależności kont AD do wybranych grup. Na podstawie atrybutów można przypisać konta do firm, określić przełożonego i stanowisko pracy użytkownika.

Efektem połączenia CDESK i AD/LDAP przez to złącze jest logowanie użytkownika przy użyciu danych logowania z baz AD lub LDAP. Zgodnie z ustawieniami będziesz mógł wybrać, czy wyświetlać wybór domeny na początkowym ekranie logowania, czy wyświetlać wybór domeny z loginem w postaci nazwa@domena.

Dodanie złącza AD / LDAP w CDESK

Aby dodać złącze AD/LDAP, przejdź do Ustawienia globalne -> Złącza, API. Po kliknięciu wyświetli się lista dodanych złączy. Dodajesz nowe złącze, klikając przycisk +Dodaj złącze znajdujący się w prawym górnym rogu.

Po kliknięciu pojawi się okno wyboru typu złącza. Wybierz opcję AD / LDAP (Usługa katalogowa) i następnie kliknij przycisk ->Kontynuuj.

Po kliknięciu pojawi się okno konfiguracji parametrów. Okno podzielone jest na kilka zakładek, które zostały opisane w kolejnych akapitach.

Przygotowanie – ładowanie drzewa AD w oprogramowaniu LDAP innej firmy

Aby uprościć procedurę, zalecamy ładowanie danych z AD do oprogramowania LDAP. W następnym kroku użyjemy przeglądarki Softera LDAP Browser, którą można pobrać z tego linku.

Po udanej instalacji możesz dodać nowe połączenie. Aby dodać połączenie, kliknij przycisk New znajdujący się na górnym pasku.

Po kliknięciu pojawi się okno modalne. Najpierw wpisz nazwę, pod którą będzie wyświetlana struktura, a następnie kliknij przycisk Next.

Następnie określ adres i port serwera Active Directory i kliknij przycisk Next.

W kolejnym kroku wybierana jest metoda uwierzytelniania. Wybierz opcję Inne dane uwierzytelniające i wprowadź hasło w polu Password. Po wprowadzeniu danych kliknij przycisk Finish.

Podstawowe ustawienia złącza AD / LDAP

Typ złącza – pole nie jest edytowalne i jest wypełniane automatycznie.

Nazwa – nazwa, pod którą złącze pojawi się na liście złączy.

Właczone – ustawiając przełącznik w pozycji włączonej , można używać złącza.

Nazwa/ adres IP serwera – w pierwszym polu należy wpisać nazwę lub adres IP serwera, a w drugim numer portu. Domyślnym portem dla komunikacji AD jest TCP/UDP 389..

User DN – Użytkownik, który będzie odczytywał dane z AD dla CDESK. Wystarczy, że ma uprawnienia tylko do odczytu do niezbędnych części w AD. Można go określić w formie domena/użytkownik. Ale możliwe jest również użycie ścieżki z AD. Aby uzyskać ścieżkę, wyszukaj użytkownika w programie LDAP, kliknij na nim prawym przyciskiem myszy i wybierz Properties. Po kliknięciu pojawi się okno modalne z parametrami użytkownika. Wymagana ścieżka znajduje się w pierwszym wierszu na karcie Entry.

W polu Hasło wpisz hasło, którego użytkownik używa w AD.

Zabezpieczone połączenie– jeśli masz możliwość bezpiecznego połączenia z serwerem AD, ustaw przełącznik w pozycji włączonej  i zmień port z 389 na 636.

Automatyczne tworzenie kont

User DN ścieżka – ścieżka, w której znajdują się użytkownicy do tworzenia i/lub parowania kont w CDESK. Obok tego pola znajduje się ustawienie, czy pobierane będą wszystkie rekordy mieszczące się w podanej ścieżce, czy tylko obiekty mieszczące się w określonej klasie ObjectClass. ObjectClass reprezentuje atrybut, na podstawie którego użytkownicy są rejestrowani i sortowani w oprogramowaniu LDAP. Po wybraniu opcji Filtruj wg klasy obiektu, obok pola Ścieżka DN użytkownika pojawia się pole wyboru klasy obiektu. Przycisk +Dodaj ścieżkę DN użytkownika służy do dodania dodatkowej ścieżki, z której będą pobierani użytkownicy. Dla każdej nowej ścieżki można ustawić filtrowanie według objectClass.

Group DN ścieżka – określa ścieżkę do załadowania grup. To ustawienie jest ważne, aby poszczególne grupy z LDAP były przypisane do grup użytkowników używanych w CDESK. Uszczegółowienie tego pola określa, czy będą pobierane wszystkie rekordy objęte daną ścieżką, czy tylko obiekty objęte danym ObjectClass. Przycisk +Dodaj ścieżkę Group DN służy do dodania kolejnej ścieżki, z której będą ładowane grupy. Dla każdej nowej ścieżki można ustawić filtrowanie według klasy obiektu.

Unikalny identyfikator – dane, które zostaną wczytane z LDAP do CDESK i na podstawie tych danych nastąpi synchronizacja użytkownika. Ten identyfikator pozostaje niezmienny, nawet jeśli login i inne dane osobowe użytkownika zostaną zmienione w oprogramowaniu LDAP.

Jeśli korzystasz z Active Directory, zalecamy pozostawienie zaznaczonej opcji Atrybut GUID. Po pomyślnym utworzeniu kont, atrybut GUID zostanie przekazany nowo utworzonemu użytkownikowi we wpisie Zewnętrzny ID w zakładce Ustawienia ogólne w ustawieniach konta CDESK.

Jeśli dane w programie LDAP są ładowane z innego systemu, wybierz opcję Niestandardowy atrybut. Po wybraniu tej opcji pojawia się okno wprowadzania atrybutów. Zalecamy użycie atrybutu podobnego do atrybutu objectGUID używanego w Active Directory. Dzięki temu użytkownik jest jednoznacznie identyfikowany przez cały okres istnienia konta AD.

Atrybut, w którym jest UID – zalecamy stosowanie wartości sAMAccountName, ale w razie potrzeby można wprowadzić inną wartość, która jednak nie zawiera spacji. Kiedy konto jest tworzone w CDESK, wartość ta jest wstępnie wypełniona jako Nazwa użytkownika.. (Wartość tę można znaleźć na karcie Ustawienia ogólne w sekcji Użytkownicy i grupy->Użytkownicy->konkretny użytkownik).

Parowanie przez e-mail – jeśli przełącznik jest w pozycji włączonej , nowe konta nie będą tworzone dla użytkowników, którzy mają taki sam mail w CDESK jak w Active Directory. Jeśli podczas synchronizacji pozostawisz przełącznik w pozycji wyłączonej , zostaną również utworzone duplikaty kont dla już zarejestrowanych użytkowników. Ponowne włączenie przełącznika podczas kolejnej synchronizacji nie spowoduje usunięcia zduplikowanych kont. Dlatego zalecamy włączenie tego przełącznika podczas pierwszej synchronizacji.

Ocenienie stanu wyłączenia użytkownika – atrybut, na podstawie którego oceniany jest status użytkownika (aktywny/nieaktywny). W AD domyślnie używany jest do tego atrybut userAccountControl. Dlatego jeśli nie używasz ustawień niestandardowych, wybierz tę opcję. Po wybraniu tej opcji nie są wprowadzane żadne inne ustawienia, ponieważ CDESK automatycznie rozpoznaje kod dla aktywnych i nieaktywnych użytkowników. Jeśli używasz niestandardowego parametru do oceny statusu użytkownika, wybierz Atrybut niestandardowy. W tym przypadku zostanie wyświetlone pole do wprowadzenia atrybutu, który zostanie użyty do oceny statusu .

Atrybut, w którym zawarta jest nazwa grupy – Wprowadź atrybut, który będzie używany do wyświetlania nazwy grupy. Zalecamy wybór wartości name lub sAMAccountName. Nazwa ta będzie również wyświetlana poniżej w Warunku Przypisania Grupy.

Warunek przydzielenia grupy – To ustawienie zostanie wyświetlone dopiero po zapisaniu złącza. Aby zapisać ustawienia, należy kliknąć na ikonę zapisu znajdującą się na pasku po prawej stronie, a także na końcu formularza. Po zapisaniu ustawień należy następnie dokonać synchronizacji z oprogramowaniem LDAP. Dokonuje się tego poprzez kliknięcie ikony Synchronizuj, która znajduje się na pasku po prawej stronie, a także na końcu formularza.

Po udanej synchronizacji w tej sekcji wyświetlą się grupy należące do ścieżki określonej w polu Ścieżka DN grupy oraz pole przy każdej z nich do ustawienia grupy użytkownika w CDESK. W CDESK tworzone są tylko konta użytkowników należące do grup LDAP, które pojawiają się na tej liście. Na grupę LDAP można wybrać dowolną grupę użytkowników zarejestrowaną w CDESK, a do jednej grupy LDAP można przypisać wiele grup CDESK. W tym przypadku użytkownicy otrzymają uprawnienia związane ze wszystkimi wybranymi grupami CDESK.

Dla ustawienia Warunek przypisania do grupy można wybrać opcje Bez ograniczeń i Tylko przy tworzeniu użytkownika.

• Bez ograniczeń – Po wybraniu tej opcji wybrane grupy będą synchronizowane przy każdej synchronizacji złącza AD/LDAP. Na przykład użytkownik należący do określonej grupy w LDAP ma ustawioną grupę Operatorzy w CDESK. Zostanie on jednak później usunięty z tej grupy CDESK. Przy następnej synchronizacji złącza AD/LDAP ponownie zostanie on automatycznie przypisany do grupy Operators, ponieważ użytkownicy z tej grupy LDAP są przypisani do grupy Operators. Jeśli dla grupy LDAP ustawiona jest inna grupa CDESK, przy następnej synchronizacji użytkownik zostanie przypisany do tej grupy z odpowiednimi uprawnieniami w CDESK.
• Tylko przy tworzeniu użytkownika – jeśli opcja jest zaznaczona, użytkownik zostanie przypisany do grupy CDESK tylko przy jego tworzeniu, a przypisanie do grupy nie będzie już aktualizowane.

Do listy wyświetlanych grup można dodać kolejną grupę LDAP za pomocą przycisku +Dodaj obserwowaną grupę. Po kliknięciu zostanie wyświetlona lista dostępnych grup. Kliknięcie nazwy grupy, a następnie kliknięcie przycisku Dodaj spowoduje dodanie grupy LDAP do listy grup, do których można przypisać grupy CDESK. Grupę można usunąć z listy za pomocą ikony , znajdującej się na końcu każdego wiersza.

Jeśli nie rejestrujesz grup w programie LDAP lub chcesz dodać wszystkich użytkowników niezależnie od przypisania do grupy, wybierz opcję Bez oznaczenia grupy po kliknięciu przycisku +Dodaj obserwowaną grupę.

Przypisanie klienta do użytkownika według atrybutu – Użyj tego ustawienia, jeśli chcesz automatycznie przypisać klientów do nowo utworzonych użytkowników w CDESK. Dzięki temu użytkownicy będą mogli wprowadzać zapytania, np. Po kliknięciu przycisku +Dodaj regułę pojawi się wiersz z następującymi polami:

• Firma CDESK – kliknij na wybór, aby zobaczyć listę firm zarejestrowanych w CDESK. Wybierz klienta, który zostanie przypisany do wybranego użytkownika. Listę firm zarejestrowanych w CDESK można znaleźć w Książce adresowej -> Firmy.
• Atrybut LDAP dowolny atrybut w programie LDAP, który będzie wykorzystywany przez CDESK do oceny czy użytkownicy są przypisani do wybranej firmy. Jeżeli chcesz przypisać firmę do wszystkich nowo utworzonych użytkowników, a użytkownicy nie mają wspólnego atrybutu LDAP, zalecamy wstawienie wartości userAccountControl.
• Uzyskana wartość – Wartość wybranego atrybutu LDAP, którego wypełnienie spowoduje automatyczne przypisanie użytkowników o tej wartości do ustawionej firmy. Przy wyborze atrybutu LDAP userAccountControl zalecamy użycie wartości 66048 i/lub 512. Są to wartości domyślne w AD. 66048 oznacza użytkowników, którzy nie wygaszają hasła, a 512 oznacza użytkowników, którym hasło wygasa.

Aby przypisać firmę na podstawie dwóch lub więcej wartości atrybutów LDAP, należy zdefiniować nową regułę dla każdej wartości. Zdefiniujesz to ponownie za pomocą przycisku +Dodaj regułę. W ten sposób można również zdefiniować przypisanie użytkowników do innej firmy w CDESK na podstawie dowolnego atrybutu LDAP i jego wartości. Jeśli chcesz usunąć regułę, kliknij ikonę na końcu linii reguły.

Przypisanie przełożonego do pracownika według atrybutu – Użyj tego ustawienia, jeśli chcesz automatycznie przypisać użytkownika nadrzędnego do nowo utworzonych użytkowników w CDESK. Na przykład może to być kierownik firmy. Po kliknięciu przycisku +Dodaj regułę pojawia się pole do wpisania atrybutu LDAP, którego spełnienie przez użytkownika (użytkowników) w programie LDAP spowoduje przypisanie go jako nadzorcy do nowo utworzonego konta (kont). Może to być dowolny atrybut. Można również dodać wiele reguł, aby dodać pracownika nadzorującego. Jeśli chcesz usunąć regułę, kliknij ikonę na końcu wiersza z regułą.

Listę nadrzędnych użytkowników dla danego konta można znaleźć w Użytkownicy i grupy -> Użytkownicy -> konkretny użytkownik -> zakładka Przełożeni i podwładni -> sekcja Przełożeni.

Przypisanie zadania według atrybutu – Użyj tego ustawienia, jeśli chcesz automatycznie przypisać zadania do nowo utworzonych użytkowników w CDESK. Po kliknięciu przycisku +Dodaj regułę pojawi się wiersz z następującymi polami:

• Stanowisko pracy – kliknij na nazwę stanowiska, aby zobaczyć wybór ofert pracy zarejestrowanych w CDESK. Stanowiska pracy można utworzyć w Ustawieniach globalnych -> Stanowiska pracy -> Definiowanie stanowisk pracy.
• Atrybut LDAP – Dowolny atrybut w programie LDAP, który CDESK wykorzysta do oceny czy użytkownicy są przypisani do wybranego stanowiska. Jeśli chcesz przypisać stanowisko pracy wszystkim nowo utworzonym użytkownikom, a dani użytkownicy nie mają wspólnego żadnego atrybutu LDAP, zalecamy wstawienie wartości userAccountControl.
• Uzyskana wartość – Wartość wybranego atrybutu LDAP, którego spełnienie spowoduje automatyczne przypisanie ustawionego zadania użytkownikom o danej wartości. Przy wyborze atrybutu LDAP userAccountControl zaleca się stosowanie wartości 66048 i/lub 512. Są to wartości standardowe w AD. 66048 oznacza użytkowników, którym nie wygasa hasło, a 512 oznacza użytkowników, którym wygasa hasło.

Aby przypisać stanowisko na podstawie dwóch lub więcej wartości atrybutów LDAP, należy zdefiniować nową regułę dla każdej wartości. Definiujesz ją znowu za pomocą przycisku +Dodaj regułę. W ten sposób można również zdefiniować przypisanie użytkowników do innego stanowiska w CDESKU na podstawie dowolnego atrybutu LDAP i jego wartości. Jeśli chcesz usunąć regułę, kliknij ikonę na końcu wiersza dla tej reguły.

Automatyczne dopasowanie atrybutów

Ustawienia na tej zakładce będą dostępne dopiero po zapisaniu złącza. Zakładka umożliwia zdefiniowanie reguł automatycznego wypełniania dodatkowych parametrów użytkownika.

Domyślnie wymienione są właściwości, które są obowiązkowe.

Pełna nazwa – Wprowadź atrybut LDAP do wypełnienia pola Pełna nazwa w formularzu użytkownika. Można wprowadzić dowolny atrybut. Zalecamy jednak używanie atrybutu displayName.

Skrót dla wyrażenia – Wprowadź atrybut LDAP do wypełnienia pola Skrót listy w formularzu użytkownika. W przypadku CDESK zaleca się, aby Skrót wykazu był taki sam jak login użytkownika. Można wprowadzić dowolny atrybut. Zalecamy jednak użycie atrybutu sAMAccountName

Email kontaktowy – Wprowadź atrybut LDAP do wypełnienia pola Mail kontaktowy w formularzu użytkownika. Można wprowadzić dowolny atrybut. Zalecamy jednak korzystanie z atrybutu mail.  

W razie potrzeby można ustawić pola Telefon i Komórka, aby były wypełniane automatycznie. Jeśli masz inne dodatkowe właściwości ustawione dla użytkowników w swoim środowisku CDESK, będzie można je również dodać. Muszą to być jednak właściwości globalne ustawione dla wszystkich użytkowników, które można dodać w sekcji Ustawienia globalne -> Użytkownicy -> Właściwości dodatkowe.

Aby dodać jedną z tych właściwości, kliknij przycisk +Dodaj regułę właściwości pod bieżącą listą właściwości.

Po kliknięciu pojawi się okno wyboru właściwości. Aby wybrać żądaną właściwość, kliknij, a następnie kliknij przycisk Dodaj. Właściwość zostaje wówczas dodana do listy, a obok niej pojawia się pole do określenia odpowiedniego atrybutu LDAP. Aby usunąć z listy dodaną w ten sposób właściwość, należy kliknąć ikonę , która pojawi się na końcu linii właściwości. Możesz usunąć tylko te atrybuty, które nie są wymagane.

Uwierzytelnianie do CDESK

Zakładka umożliwia ustawienie sposobu uwierzytelniania nowo utworzonych użytkowników podczas logowania do CDESK. Aby uzyskać więcej informacji na temat ustawiania logowania do CDESK, patrz Ustawianie sposobu logowania do CDESK poniżej.

Status – wybór zapewnia następujące opcje:

• Wyłączone – domyślnie wypełniona opcja. W tym przypadku pola dotyczące innych ustawień nie są wyświetlane. Statusu Wyłączony należy użyć w przypadku rejestracji wielu domen w złączu AD, co spowoduje, że poświadczenia logowania nowo utworzonych użytkowników będą zawierały wiele domen.
• Microsoft AD – Użyj, jeśli rejestrujesz wszystkich użytkowników w AD w ramach jednej domeny. Po wybraniu tej opcji udostępniane są dodatkowe pola do konfiguracji serwera dla tej domeny.

Nazwa/ Adres IP serwera – w pierwszym polu wpisz nazwę lub adres IP serwera, a w drugim numer portu.

Bezpieczne połączenie – w celu zabezpieczenia połączenia należy ustawić przełącznik w pozycji włączonej  i w razie potrzeby użyć przycisku Prześlij plik, aby przesłać certyfikat.

Numer rachunku końcowego – Nazwa domeny o postaci @domena.domain. Nazwę tę będziesz mógł wybrać na ekranie logowania do CDESK, jeśli ustawiłeś ręczną metodę wyboru złącza.

Serwer pomocniczy – w przypadku korzystania z wielu serwerów AD ta sekcja umożliwia skonfigurowanie logowania za pośrednictwem serwera wtórnego, który będzie używany w przypadku awarii serwera podstawowego. Domyślnie pole status jest ustawione na Wyłączone. Aby skonfigurować serwer wtórny, należy wybrać Microsoft AD i skonfigurować dane w wyświetlanych polach w taki sam sposób jak dla serwera głównego, ale z danymi serwera dodatkowego.

Przeniesienie struktury organizacyjnej z firmy do CDESK

Na karcie Struktura organizacyjna można skonfigurować dane serwera, z którego pobierana jest struktura organizacyjna firmy. Zgodnie z klasyfikacją konta w strukturze organizacyjnej, możliwe jest filtrowanie zapisów na listach i uwzględnianie ich w eksportach.  

Po utworzeniu użytkowników ta struktura organizacyjna zostanie przedstawiona graficznie na karcie Struktura organizacyjna w formularzu użytkownika. (Grupy i użytkownicy -> Użytkownicy -> konkretny użytkownik -> zakładka Struktura organizacyjna). Ścieżka z uwzględnieniem konkretnego użytkownika w strukturze organizacyjnej jest również wyświetlana na liście wniosków, realizacji i zleceń pracy.

Włączone – przełącznik jest domyślnie w pozycji wyłączonej . Ustaw przełącznik w pozycji włączonej  jeśli struktura organizacyjna firmy jest zarejestrowana na innym serwerze niż ten, który został określony na karcie Ustawienia podstawowe. Ustawienie przełącznika w pozycji Włączonej otworzy pola do ustawienia parametrów serwera. Wprowadzanie parametrów jest takie samo jak na zakładce Ustawienia podstawowe.

Ustawienie sposobu logowania do CDESK

Użytkownicy z automatycznie utworzonymi kontami mogą zalogować się do CDESK na dwa sposoby. Albo z poświadczeniami AD albo z poświadczeniami CDESK.

Metodę logowania można ustawić w Ustawieniach Globalnych -> Loga, Domeny, Pliki -> w sekcji Sposób wyboru złącza AD.

Wybór oferuje następujące możliwości:

• Automatycznie – Użyj, jeśli rejestrujesz wiele domen (numerów kont) w AD. W tym przypadku użytkownik będzie logował się za pomocą loginu o postaci: użytkownik@domain.local. Złącze zostanie wybrane automatycznie na podstawie końcówki domeny w nazwie logowania, więc nie będzie potrzeby wybierania typu złącza AD podczas logowania.

• Ręcznie – Użyj, jeśli podczas konfigurowania złącza AD/LDAP na karcie Uwierzytelnianie do CDESK wybrano status Microsoft AD. W tym przypadku użytkownik wybiera typ złącza podczas logowania.

Aby zapisać ustawienia, należy użyć przycisku Zapisz znajdującego się na końcu formularza oraz na pasku bocznym okna.