Aktivovanie AD / LDAP konektora zjednodušuje manažment používateľov v CDESKu. Podľa zaradenia AD kont do skupín, nastavenia atribútov, viete automatizovať vytvárania a parametrizáciu účtov v CDESKu. Následne vám vyrieši autentifikáciu prístupu používateľov do CDESKu.
Konektor AD / LDAP v momente prihlasovania používateľa do CDESKu sa overuje platnosť konta v Microsoft Active Directory alebo LDAP. Automatické vytváranie účtov v CDESKu je na základe príslušnosti AD konta vo vybraných skupinách. Podľa atribútov je možné účty priraďovať k spoločnostiam, určiť im nadriadeného používateľa a pracovnú pozíciu.
Výsledkom prepojenia CDESKu a AD / LDAP cez tento konektor je prihlasovanie používateľov pomocou prihlasovacích údajov z AD alebo LDAP databáz. Podľa nastavenia si budete môcť zvoliť, či zobrazovať na úvodnej login obrazovke výber domény, alebo zobrazenia výberu domény s loginom v tvare meno@doména.
Pre pridanie AD / LDAP konektora prejdite do Globálne nastavenia->Konektory, API. Po kliknutí sa zobrazí zoznam pridaných konektorov. Nový konektor pridáte kliknutím na tlačidlo +Pridať konektor, ktoré sa nachádza v pravom hornom rohu.
Po kliknutí sa zobrazí okno pre výber typu konektora. Vyberte možnosť AD / LDAP (Adresátová služba) a následne kliknite na tlačidlo ->Pokračovať.
Po kliknutí sa zobrazí okno na konfiguráciu parametrov. Okno je rozdelené na viacero záložiek, ktoré sú popísané v ďalších odsekoch.
Pre zjednodušenie postupu odporúčame načítať údaje z AD do LDAP softvéru. V ďalšom postupe budeme používať Softera LDAP Browser, ktorý si môžete stiahnuť na tomto odkaze.
Po úspešnej inštalácii môžete pridať nové pripojenie. Pre pridanie pripojenia kliknite na tlačidlo New, ktoré sa nachádza v hornej lište.
Po kliknutí sa zobrazí modálne okno. Najskôr zadajte názov, pod ktorým sa štruktúra bude zobrazovať a následne kliknite na tlačidlo Next.
Následne určite adresu a port Active Directory servera a kliknite na tlačidlo Next.
V ďalšom kroku sa vyberá spôsob autentifikácie. Vyberte možnosť Other credential a v poli Password zadajte heslo. Po zadaní údajov kliknite na tlačidlo Finish.
Typ konektora – pole nie je editovateľné a vyplní sa automaticky.
Názov – názov, pod ktorým sa konektor bude zobrazovať v zozname konektorov.
Zapnuté – uvedením prepínača do polohy zapnutý , bude možné konektor používať.
Meno/IP adresa servera – v prvom poli zadajte meno, prípadne IP adresu servera a v druhom poli zadajte číslo portu. Štandardný port určený pre AD komunikáciu je TCP/UDP 389.
User DN – používateľ, ktorý bude vyčítavať údaje z AD pre CDESK. Postačuje, aby mal read-only oprávnenia k potrebným častiam v AD. Je možné ho zadať v tvare doména/používateľ. Tiež je ale možné použiť cestu z AD. Pre získanie cesty si v LDAP softvéri vyhľadajte daného používateľa, kliknite naň pravým tlačidlom myši a vyberte možnosť Properties. Po kliknutí sa zobrazí modálne okno s parametrami používateľa. Potrebná cesta sa nachádza hneď v prvom riadku na záložke Entry.
Do poľa Heslo vložte heslo, ktoré používateľ používa v AD.
Zabezpečené pripojenie – ak máte možnosť zabezpečeného pripojenia s AD serverom, uveďte prepínač do polohy zapnutý a zmeňte port z 389 na 636.
User DN cesta – cesta, v ktorej sa nachádzajú používatelia na vytvorenie a / alebo spárovanie účtov v CDESKu. Vedľa tohto poľa sa nachádza nastavenie, či sa budú načítavať všetky záznamy spadajúce pod danú cestu, alebo len objekty spadajúce pod určitú objectClass. ObjectClass predstavuje atribút, na základe ktorého sú evidovaný používatelia triedený v LDAP softvéri. Pri výbere možnosti Filtrovať podľa objectClass sa vedľa poľa User DN cesta zobrazí pole s možnosťou výberu objectClass. Tlačidlo +Pridať User DN cestu slúži na pridanie ďalšej cesty, z ktorej sa budú načítavať používatelia. Pri každej novej ceste možno nastaviť filtráciu podľa objectClass.
Group DN cesta – určuje cestu na načítanie skupín. Toto nastavenie je dôležité preto, aby sa jednotlivým skupinám z LDAP priradili používateľské skupiny používané v CDESKu. V upresnení tohto poľa sa nachádza nastavenie, či sa budú načítavať všetky záznamy spadajúce pod danú cestu, alebo len objekty spadajúce pod určitú objectClass. Tlačidlo +Pridať Group DN cestu slúži na pridanie ďalšej cesty, z ktorej sa budú načítavať skupiny. Pri každej novej ceste možno nastaviť filtráciu podľa objectClass.
Jednoznačný identifikátor – údaj, ktorý sa z LDAP načíta do CDESKu a na základe tohto údaju bude prebiehať synchronizácia používateľa. Tento identifikátor ostáva rovnaký aj pri zmene loginu a ďalších osobných údajov používateľa v LDAP softvéri.
V prípade, že používate Active Directory, odporúčame ponechať vo výbere možnosť Atribút GUID. Po úspešnom vytvorení účtov, Atribút GUID sa prenesie do novovytvoreného používateľa v položke Externý ID na záložke Všeobecné nastavenia v nastavení CDESK konta.
Ak údaje v LDAP softvéri sa načítavajú z iného systému, vyberte možnosť Vlastný atribút. Pri výbere tejto možnosti sa zobrazí pole pre vloženie atribútu. Odporúčame používať atribút podobný atribútu objectGUID, ktorý sa používa v Active Directory. Dôvodom je, aby používateľ bol jednoznačne identifikovaný počas celej doby existencie AD konta.
Atribút, v ktorom je UID – odporúčame použiť hodnotu sAMAccountName, no v prípade potreby je možné vložiť aj inú hodnotu, ktorá ale neobsahuje medzery. Po vytvorení účtu v CDESKu sa táto hodnota predvyplní ako Používateľské meno. (Túto hodnotu možno nájsť na záložke Všeobecné nastavenia v Používatelia a skupiny->Používatelia->konkrétny používateľ.)
Párovanie podľa emailu – ak sa prepínač nachádza v polohe zapnutý , nebudú sa vytvárať nové kontá pre používateľov, ktorí majú v CDESKu rovnaký mail ako v Active Directory. Ak počas synchronizácie prepínač ponecháte v polohe vypnutý , dôjde k tvorbe duplicitných kont aj pre už registrovaných používateľov. Spätné zapnutie prepínača počas ďalšej synchronizácie duplicitné kontá neodstráni. Preto odporúčame tento prepínač zapnúť už pri prvej synchronizácii.
Vyhodnotenie stavu vypnutia používateľa – atribút, na základe ktorého sa vyhodnocuje stav používateľa (aktívne / neaktívne). V AD sa štandardne na to používa atribút userAccountControl. Preto, ak nepoužívate vlastné nastavenia, vyberte túto možnosť. Ďalšie nastavenia sa pri výbere tejto možnosti nevykonávajú, pretože CDESK automaticky rozpozná kód pre aktívneho a neaktívneho používateľa. Ak používate vlastný parameter na vyhodnocovanie stavu používateľa, vyberte možnosť Vlastný atribúd. V takom prípade sa zobrazí pole pre zadanie atribútu, ktorý bude slúžiť na vyhodnocovanie stavu.
Atribút, v ktorom je názov skupiny – zadajte atribút, na základe ktorého sa bude zobrazovať názov skupiny. Odporúčame zvoliť hodnotu name, prípadne sAMAccountName. Tento názov sa bude zobrazovať aj nižšie v časti Podmienka priradenia do skupiny.
Podmienka priradenia do skupiny – Toto nastavenie sa zobrazí až po uložení konektora. Nastavenia uložíte kliknutím na ikonu uložiť, ktorá sa nachádza na lište vpravo a tiež na konci formulára. Po uložení nastavení je následne potrebné vykonať synchronizáciu s LDAP softvérom. Slúži na to ikona Synchronizovať, ktorá sa nachádza na lište vpravo a tiež na konci formulára.
Po úspešnej synchronizácii sa v tejto časti zobrazia skupiny patriace pod cestu zadanú v poli Group DN cesta a vedľa každej z nich pole pre nastavenie používateľskej skupiny v CDESKu. V CDESKu sa vytvoria kontá iba používateľov patriacich pod LDAP skupiny, ktoré sa zobrazujú v tomto zozname. K LDAP skupine možno vybrať akúkoľvek používateľskú skupinu registrovanú v CDESKu a k jednej LDAP skupine je možné priradiť viacero CDESK skupín. V takom prípade používatelia dostanú oprávnenia prislúchajúce všetkým vybraným CDESK skupinám.
Pre nastavenie Podmienka priradenia do skupiny je možné vybrať možnosti: Bez obmedzenia a Iba pri založení používateľa.
Do zoznamu zobrazených skupín môžete pridať ďalšiu LDAP skupinu pomocou tlačidla +Pridať sledovanú skupinu. Po kliknutí sa zobrazí zoznam dostupných skupín. Kliknutím na názov skupiny a následne na tlačidlo Pridať sa LDAP skupina zaradí do zoznamu skupín, ku ktorým je možné priradzovať CDESK skupiny. Skupinu môžete zo zoznamu odstrániť pomocou ikony , ktorá sa nachádza na konci každého riadku.
V prípade, že v LDAP softvéri neregistrujete skupiny, alebo chcete pridať všetkých používateľov bez ohľadu na priradenosť do skupín, po kliknutí na tlačidlo +Pridať sledovanú skupinu vyberte možnosť Bez určenia skupiny.
Priradenie zákazníka k používateľovi podľa atribútu – nastavenie použijete v prípade, že novovytvoreným používateľom v CDESKu chcete automaticky priradiť zákazníka. Vďaka tomu používatelia búdu môcť napríklad zadávať požiadavky. Po kliknutí na tlačidlo +Pridať pravidlo sa zobrazí riadok s nasledujúcimi poľami:
Aby bolo možné priradzovať spoločnosť na základe dvoch a viacerých hodnôt LDAP atribútu, pre každú hodnotu je potrebné definovať nové pravidlo. To opäť definujete pomocou tlačidla +Pridať pravidlo. Takýmto spôsobom môžete tiež definovať priradzovanie používateľov k inej spoločnosti v CDESKU na základe ľubovoľného LDAP atribútu a jeho hodnôt. Ak potrebujete pravidlo odstrániť, kliknite na ikonu na konci riadku daného pravidla.
Priradenie nadriadeného zamestnanca podľa atribútu – nastavenie použijete v prípade, že novovytvoreným používateľom v CDESKu chcete automaticky priradiť nadriadeného používateľa. Môže napríklad ísť o manažéra spoločnosti. Po kliknutí na tlačidlo +Pridať pravidlo sa zobrazí pole pre zadanie LDAP atribútu, ktorý ak používateľ / používatelia v LDAP softvéri budú spĺňať, priradia sa ako nadriadení zamestnanci k novovytvoreným kontám. Môže ísť o ľubovoľný atribút. Taktiež je možné pridať viacero pravidiel pre pridanie nadriadeného zamestnanca. Ak potrebujete pravidlo odstrániť, kliknite na ikonu na konci riadku daného pravidla.
Zoznam nadriadených používateľov k určitému kontu nájdete v Používatelia a skupiny -> Používatelia -> konkrétny používateľ -> záložka Nadriadení a podriadení -> časť Nadriadení.
Priradenie pracovnej pozície podľa atribútu – nastavenie použijete v prípade, že novovytvoreným používateľom v CDESKu chcete automaticky priradiť pracovné pozície. Po kliknutí na tlačidlo +Pridať pravidlo sa zobrazí riadok s nasledujúcimi poľami:
Aby bolo možné priradzovať pracovnú pozíciu na základe dvoch a viacerých hodnôt LDAP atribútu, pre každú hodnotu je potrebné definovať nové pravidlo. To opäť definujete pomocou tlačidla +Pridať pravidlo. Takýmto spôsobom môžete tiež definovať priradzovanie používateľov k inej pracovnej pozícii v CDESKU na základe ľubovoľného LDAP atribútu a jeho hodnôt. Ak potrebujete pravidlo odstrániť, kliknite na ikonu na konci riadku daného pravidla.
Nastavenia na tejto záložke sa sprístupnia až po uložení konektora. Záložka umožňuje definovať pravidlá pre automatické vyplnenie ďalších parametrov používateľa.
Predvolene sa v zozname nachádzajú vlastnosti, ktoré sú povinné.
Celé meno – zadajte LDAP atribút, na základe ktorého sa vo formulári používateľa vyplní pole Celé meno. Je možné vložiť ľubovoľný atribút. Odporúčame ale použiť atribút displayName.
Skratka pre výpis – zadajte LDAP atribút, na základe ktorého sa vo formulári používateľa vyplní pole Skratka pre výpis. Pre CDESK sa odporúča, aby Skratka pre výpis bola rovnaká ako login používateľa. Je možné vložiť ľubovoľný atribút. Odporúčame ale použiť atribút sAMAccountName
Kontaktný email – zadajte LDAP atribút, na základe ktorého sa vo formulári používateľa vyplní pole Kontaktný mail. Je možné vložiť ľubovoľný atribút. Odporúčame ale použiť atribút mail.
V prípade potreby je možné nastaviť automatické predvypĺňanie polí Telefón a Mobil. Ak máte vo svojom CDESK prostredí nastavené pre používateľov ďalšie doplnkové vlastnosti, bude možné pridať aj tie. Musí ísť ale o vlastnosti globálne nastavené pre všetkých používateľov, ktoré môžete pridať v Globálne nastavenia -> Používatelia -> časť Doplnkové vlastnosti.
Pre pridanie niektorej z týchto vlastností kliknite na tlačidlo +Pridať pravidlo pre vlastnosť, ktoré sa nachádza pod aktuálnym zoznamom vlastností.
Po kliknutí sa zobrazí pole pre výber vlastnosti. Požadovanú vlastnosť vyberiete kliknutím a následne kliknite na tlačidlo Pridať. Vlastnosť sa potom zaradí do zoznamu a zobrazí sa pri nej pole pre zadanie prislúchajúceho LDAP atribútu. Ak chcete takto pridanú vlastnosť zo zoznamu odobrať, kliknite na ikonu , ktorá sa nachádza na konci riadku danej vlastnosti. Je možné odstrániť iba tie atribúty, ktoré nie sú povinné.
Záložka umožňuje nastaviť, akým spôsobom sa budú novozaložený používatelia autentifikovať pri prihlasovaní sa do CDESKu. Bližšie informácie o nastavovaní prihlasovania do CDESKu nájdete nižšie v odseku Nastavenie spôsobu prihlasovania do CDESKu.
Stav – výber poskytuje nasledovné možnosti:
Meno/IP adresa servera – v prvom poli zadajte meno, prípadne IP adresu servera a v druhom poli zadajte číslo portu.
Zabezpečené pripojenie – aby pripojenie bolo zabezpečené, uveďte prepínač do polohy zapnutý a ak je potrebné, pomocou tlačidla Nahrať súbor nahrajte certifikát.
Koncové číslo účtu – názov domény v tvare @doména.domain. Tento názov bude možné vybrať na prihlasovacej obrazovke CDESKu, ak máte nastavený manuálny spôsob výberu konektora.
Sekundárny server – v prípade, že používate viacej AD serverov, v tejto časti môžete nakonfigurovať prihlasovanie prostredníctvom sekundárneho servera, ktorý bude použitý ak zlyhá primárny. Predvolene je v poli stav nastavená možnosť Vypnuté. Pre nastavenie sekundárneho servera vyberte možnosť Microsoft AD a údaje v zobrazených poliach nakonfigurujte rovnakým spôsobom ako pre primárny server, ale s údajmi sekundárneho servera.
Na záložke Organizačná štruktúra je možné konfigurovať údaje servera, z ktorého sa načíta organizačná štruktúra spoločnosti. Podľa zaradenia konta do organizačnej štruktúry je možné filtrovať záznamy v zoznamoch a zahrnúť do exportov.
Po vytvorení používateľov bude táto organizačná štruktúra graficky znázornená na záložke Organizačná štruktúra vo formulári používateľa. (Skupiny a používatelia -> Používatelia -> konkrétny používateľ -> záložka Organizačná štruktúra). Cesta so začlenením konkrétneho používateľa do organizačnej štruktúry sa zobrazuje aj v zozname požiadaviek, plnení a pracovných príkazov.
Zapnuté – prepínač sa predvolene nachádza v polohe vypnutý . Prepínač uveďte do polohy zapnutý v prípade, že organizačná štruktúra vašej spoločnosti je evidovaná na inom serveri ako ste uviedli na záložke Základné nastavenia. Uvedením prepínača do polohy zapnutý sa sprístupnia polia pre nastavenie parametrov servera. Zadávanie parametrov prebieha rovnako ako na záložke Základné nastavenia.
Používatelia s automaticky vytvorenými kontami sa do CDESKu môžu prihlasovať dvoma spôsobmi. Buď pomocou prihlasovacích údajov z AD alebo pomocou prihlasovacích údajov do CDESKu.
Spôsob prihlasovania je možné nastaviť v Globálne nastavenie -> Logá, doména, súbory -> v časti Spôsob výberu AD konektora.
Výber ponúka nasledovné možnosti:
Nastavenia uložíte pomocou tlačidla Uložiť, ktoré sa nachádza na konci formulára a na bočnej lište okna.