Fejlesztői kézikönyv 6.4

XML Referencia 6.4

Effector Studio 6.4 összefoglaló

Effector Studio 6.4 kézikönyv

Effector WebAPI 6.4 kézikönyv

Fejlesztői kézikönyv 6.3

XML Referencia 6.3

Effector Studio 6.3 összefoglaló

Effector Studio 6.3 kézikönyv

Fejlesztői kézikönyv 6.2

XML Referencia 6.2

Effector Studio 3.2 összefoglaló

Effector Studio 3.2 kézikönyv

AD sync

Komponensek

Az LDAP szinkronizálást egy EffectorServerToolService szolgáltatással valósítja meg a rendszer, melynek az LHS adatbázisához való kapcsolatát biztosítania kell a rendszer(ek) adminisztrátorának. A felhasználók, csoportok és csoport tagságok a bejelentkezés során, illetve nyomógomb hatására átkerülnek az LHS-ről az LHC-re.

Telepítés

  1. Telepítsd fel az EffectorServerToolService-t.
  2. Állítsd be a szinkronizáláshoz szükséges paramétereket (Licence kezelő képernyő (szerver))
  3. Tedd elérhetetlenné az egyes alkalmazás példányokat (amelyek érintettek a szinkronizációban)
  4. Indítsd el a szinkronizációt
  5. A szinkronizálás befejeztével - ha egy meglévő rendszerhez kapcsoltad be a funkciót - pontozd össze az alkalmazás példány adatbázisában található csoportot (People tábla IsGroup = 1) a licence kezelő szerveren található csoporttal (FSYS_LHS_Groups tábla). A People.LHS_Group_ID = FSYS_LHS_Groups.ID és People.LHS_Group_Name = FSYS_LHS_Groups.Name)
  6. Legalább egy, legfeljebb kettő felhasználót alkalmazáspéldányonként, be kell tenni a SuperAdmin csoportba, mielőtt az Admin felhasználóból kilépnénk, ha ez nem sikerül idejében (pl. kiléptet a rendszer bármi miatt), akkor FSYS_LHS_UserGroups táblába kell felvenni a felhasználó-csoport tagságot (User_ID = FSYS_LHS_Users.ID és Group_ID = FSYS_LHS_Groups.ID)
  7. Tedd elérhetővé az egyes alkalmazás példányokat (amelyek érintettek a szinkronizációban)

LHC-nként megadható paraméterek

LDAP_IsSyncEnabled: LDAPról való szinkronizálás engedélyezve van az adott alkalmazáspéldányon, default értéke false LDAP_Path%: LDAP elérése, pl.: LDAP://ip-cím LDAP_UserName: LDAP eléréséhez használt szerviz felhasználó neve (opcionális) LDAP_Password: LDAP eléréséhez használt szerviz felhasználó jelszava titkosítva (opcionális) LDAP_UserNameFormat: a felhasználónév formátuma, például a felhasználó az domian\vezeteknev.keresztnev felhasználónévvel tud belépni, de meg akarjuk könnyíteni a bejelentkezést akkor ebben a beállításban megadjuk, hogy “domain{0}” értéket és akkor ebben az esetben a felhasználónak a mezőbe csak a vezeteknev.keresztnev értéket kell megadni a felhasználónév beviteli mezőbe

Például: ornqmad{0}

LDAP_Containers: opcionális paraméter, LDAP-on belüli fastruktúra egy node-jai, pontosvesszővel elválasztva. Az itt megadott értékek a LDAP_UserNameFormat beállításban a {1} hivatkozást cseréli le bejelentkezéskor az egyes értékekkel.

pl: ilyen felépítés esetén,

AD fa

ha servers nodeon belüli felhasználókat akarjuk elérni, akkor az LDAP_Containers-ben megadandó szöveg: ou=servers,dc=mun,dc=edu

LDAP_UniqueIdentifier: LDAP-ban használt tulajdonság, mely az egyedi “kulcs”, tehát ez alapján lehet meghatározni, hogy egy adott felhasználón CRUD operáció hajtódott-e végre (opcionális, alapértelmezett értéke: objectGUID). LDAP_AdditionalProperties: további, az üzleti logikához szükséges, LDAP-ban használt tulajdonságok listája, vesszővel elválasztva (opcionális) LDAP_SyncLicenceName: Az újonnan jött felhasználók, illetve az újra aktiválandó felhasználók licencének a neve. Ha ez a paraméter nincs beállítva, automatikusan nem osztódik ki licenc az LDAP-ról érkezett felhasználóknak LDAP_AuthType: None LDAP_GroupsContainer: opcionális paraméter, LDAP-on belüli fastruktúra egy node-ja, innen olvassa fel a szükséges csoportokat LDAP_OnlyGroupMembers: opcionális paraméter, amennyiben értéke true, a felolvasott felhasználók csak akkor jönnek át az LHS-re, ha van csoporttagságuk. Kombinálva az LDAP_GroupsContainer-rel elérhető, hogy csak azok az emberek szinkronizálódjanak, melyek előre meghatározott csoportokban vannak. LDAP_UserNameProperty: opcionális paraméter, alapértelmezett értéke sAMAccountName, a felolvasott felhasználó UserName tulajdonsága ebből a mezőből alakul ki, az LDAP_UserNameFormat beállítástól függően.

Folyamat lefutása

Az LDAPból való adatlekérés az EffectorServerToolService az LHS adatbázisában található ServerTool_Job táblában megadott időközönként fut le.

Egy futás alatt inicializálásra kerül egy GUID, mely a futás egyedi azonosítója lesz. Végigmegy az összes olyan LHSre csatlakoztatott alkalmazáspéldányon, melyen definiálva van bármilyen LDAP autentikáció és engedélyezve van rajta az LDAP szinkronizálás.

Egy alkalmazáspéldányon megvizsgálja, hogy az LDAP_PATH kezdetű paraméterek bármelyikében elérhető-e az összes LDAP_Containers-ben felsorolt konténer, amennyiben bármelyik konténerhez nem fér hozzá a megadott felhasználónév-jelszó párossal, azt hibás kapcsolódásnak értelmezi és a következő LDAP_PATH eléréssel próbálkozik. Tehát amennyiben az éppen vizsgált LDAP_Path-ra csatlakozás sikerült, nem megy a következő LDAP_Path beállításra tovább.

A megadott konténerekből, amennyiben nincs megadva konténer, úgy az elérés gyökéreleméből, minden felhasználó típusú objektumot kigyűjt. Ezeket az FSYS_LHS_LandingZone_LDAPUser táblába menti el a megadott GUID-dal. A hozzájuk tartozó tulajdonságokat az FSYS_LHS_LandingZone_LDAPUserProperty táblába, valamint a csoportokat (amelyekbe tartoznak az AD-n belül) az FSYS_LHS_LandingZone_LDAPUserGroup táblába menti az LDAPUser-be szúrt egyedi azonosítójával mint idegen kulcs.

Újonnan jött felhasználó felhasználónevét a sAMAccountName-ből állítja elő.

Korlátok

Egy felhasználó két külön alkalmazáspéldányon akkor értelmezett azonos felhasználóként, ha a két alkalmazásban az LDAP_Path, az LDAP_UniqueIdentifier és az LDAP_UserNameFormat azonosak.

  • Legutóbb frissítve: 49 hét 5 napja
  • Effector