Integrasjon mot Active Directory i EK 2.37

Like dokumenter
Administrasjon av brukere (EK versjon 2.37)

Brukerveiledning. For administrering av nettressursen BRUKERVEILEDNING ADMINISTRATOR

F A G B O K F O R L A G E T S E - P O R T A L

visma net expense - diverse rutiner Innhold

F A G B O K F O R L A G E T S E - P O R T A L

F A G B O K F O R L A G E T S E - P O R T A L

Oppsett «Visma Contacts»

Brukerveiledning. Legge til brukere... 2

Brukerveiledning. For Naturbase redigeringsapplikasjon. Versjon

I databasen ligger det over 100 tabeller. De henger sammen dels via synlige koder, dels via usynlige interne ID-er. De ser man normalt bare når det

Intentor Helpdesk - Installasjon Step #3: Microsoft Reporting Services

F A G B O K F O R L A G E T S E - POR T A L

Datamann Informasjonssystemer

Elektronisk Kvalitetshåndbok på Web

Slå BRUKERVEILEDNING AMESTO BUSINESS SEARCH DATO:

Brukerveiledning Webline Portal for E-post Bedrift/E-post Basis

Brukerveiledning for Vesuv

uniflow Brukerveiledning uniflow brukerveiledning

Hvordan komme i gang med MUSITs applikasjoner

FTP Info til brukerne

Diskusjon:SportsAdmin Medlemsadministrasjon

infotorg Enkel brukermanual

Tom Bjærum Løsningssalg Software. AD og SharePoint administrasjon

BIM2Share Extended Workspace Brukerveiledning

VEILEDER GI FJERNHJELP

Huldt & Lillevik Lønn 5.0

NO Nytt skoleår - guide til brukere og admin

Hurtigstart guide. Searchdaimon ES (Enterprise Server)

Slik gjør du det. Bizweb i Visma CRM

WinTid. Nyheter versjon

VigoVoksen KARRIEREMODULEN Mai 2017

Brukermanual. System for oversiktslister. Entreprenører

Introduksjon til Vega SMB 2012

Brukermanual. System for oversiktslister. Entreprenører

datax Kjørebok Admin Innhold

BIM2Share Extended Workspace Brukerveiledning

Community Administrator

Administrasjon av FLT-Sunnhordland Web-side

Brukerveiledning for MUSITbasen

Oppsett Visma.net Calendar For deg som bruker Huldt & Lillevik Lønn

Bestilling av nye kurs

Felles verktøy for prosjektstyring

Huldt & Lillevik Lønn 5.0

SuperOffice. Remote Travel

Mottar medusa data fra 3. part system?

E-postguide For Windows Phone 8

Brukerveiledning Visma Bizweb i Visma Global

Du finner oversikt over medlemmer i bransjesamarbeidet PortableCV på nettsiden

Brukermanual. System for oversiktslister. Entreprenører

MinTid web brukerdokumentasjon


Admin: Pressemeldinger: Kandidater: Markedsdiagnose: Alarm:

Kom i gang med Visma AutoInvoice

Huldt & Lillevik Ansattportal Ansattportal. Versjon

Huldt & Lillevik Lønn 5.0 Oppsett av OPG-integrasjon med Visma.net.

Community Administrator

Installasjon og oppgradering av Advisor

Hvis du får problemer eller ønsker mer hjelp til å gjøre dette, er Anders og Helene tilgjengelige for assistanse. Veiledning for Windows

BRUKERVEILEDNING AMESTO DOCARC DATO:

Visma Lønn. Kom i gang med Visma.net Time

VITEC. Veiledning nytt år. EmProf årsavslutning LAST EDITED:

Visma Reconciliation NYHETER OG FORBEDRINGER

Tema: Nytt skoleår Fronter 92

Medlemshåndtering eroom

W i n T i d. Nyheter versjon og Dashboard versjon Logica Norge AS

1. Opprette Innkjøpsområder DFØ

Brukerveiledning Visma Bizweb i Visma Global

Manual - foresatt. Transponder Meldingsbok og Tilstede

Applikasjon for dispensasjoner i produksjonstilskudd

Opprette firma. Innhold

OKOK DataPower Learning AS Administrasjon 1

Labark Oppdatert 9.oktober 2015

EmProf årsavslutning start av nytt år

Brukermanual. System for oversiktslister SVV

Brukerveiledning for MUSITbasen

Visma Mobil Omsorg Dato:

Kom i gang med E-Site - Med E-Site er det enkelt og trygt å redigere dine websider

Administrasjon Nettbutikk: Bruk brukernavn og passord som er sendt på e-post.

ebudbok Elektronisk budbok på PDA Registrering av gangrekkefølge på web

1 INNLEDNING Om Altinn Skjemaer som støttes INSTALLASJON OG OPPSTART Nedlasting Registrering...

Elsmart Brukerveiledning Nettmelding for Installatører

Endringer fra versjon til 5.7. Primus 5.7

Brukerveiledning for vedlikehold og registrering i RESH

Import av klientfiler er kun mulig fra Akelius Årsavslutning, Akelius Skatt og Akelius Revisjon.

DOKUMENTASJON E-post oppsett

Søke opp to bilder for å sammenligne: skriv inn søkeord/studentnummer, trykk på grønn pil

Hurtigveiledning Ditmer edagsorden Oktober 2013

Nasjonalt overvåkingsprogram for rovvilt ( Versjon

Brukerveiledning for Admin i FEBDOK versjon 6.0

VMware Horizon View Client. Brukerveiledning for nedlasting, installasjon og pålogging for fjerntilgang

Innhold. Hanne Bråthen

infotorg Enkel brukermanual

S i d e 1. Brukerveiledning Brevfabrikken

Produktnotat. System 4 versjon

Brukermanual. mega.efeide.no. Rev Rev Rev Rev Rev Rev

FREMGANGSMÅTER FOR 9 ULIKE BRUKSOMRÅDER. Microsoft Outlook

Universell Utforming-App Bruksanvisning. Innhold. Versjon 1.5,

BRUKERMANUAL FOR NETTINTRO CMS Dette dokumentet er skrevet for Nettintro CMS versjon 1.9.0, og kan derfor avvike noe fra nåværende versjon.

Lønnsendring i Excel Integrert med Visma Lønn (VAF) Oppdatert

Beskrivelse av skjermbilder og funksjoner i PayBack SingelUser.

Transkript:

Notat EK har funksjonalitet for å synkronisere brukertabellen sin mot Active Directory eller en annen katalogtjeneste som kan aksesseres via LDAP protokollen. Funksjonaliteten kan brukes til å: - Oppdatere brukerinfo fra AD, dvs. navn og epost-adresse - Opprette nye brukere i EK ved import fra AD (manuelt) - Deaktivere brukere i EK som ikke lenger finnes i AD (manuelt) - Automatisk opprette og deaktivere brukere Tilkobling til AD På EK-menyen Verktøy Alternativer LDAP ligger innstillingene for tilkobling til Active Directory (LDAP): Base-adresse for LDAP-autentisering benyttes dels ved auto-pålogging for å sjekke brukernavn/passord og dels for å hente inn brukerinfo som navn/epostadresse når man oppretter ny bruker manuelt. Brukernavn LDAP og Passord LDAP benyttes som autentisering ved spørring mot LDAP hvis ikke den vanlige EK-brukeren har lesetilgang til AD.

Begrens caching av LDAP-brukere For å effektivisere synkronisering mot AD blir hele eller deler av brukermassen hentet inn til en egen tabell i EK-databasen. Dette gjøres automatisk av Monitor en gang i døgnet som standard. Synkroniseringen gjøres da mot den cachede AD-brukertabellen. I en AD som omfatter flere selskaper, et konsern, er det ønskelig å kunne avgrense denne brukertabellen til bare de som EK-databasen gjelder for. I skjermbildet over er det derfor angitt en LDAP-path som gir avgrensning til det aktuelle foretaket. Alternativt kan man angi en slik begrensning i form av navnet på en LDAP-gruppe. Normalt er bare ett av disse feltene fylt ut, ikke begge som i skjermbildet over. I eksempelet over består "Konsern" av flere selskaper som har hvert sitt EK-system, men deler altså et felles AD. Ved å søke/autentisere mot base-adressen <LDAP://konsern> vil man kunne definere EKbrukere som får auto-pålogging i hele konsernet, for eksempel ansatte som hører til i et annet foretak. Men funksjonene for synkronisering mellom EK og AD vil være begrenset til den brukermassen som er hentet inn til cachen, altså de ansatte i Datakvalitet. Benytt EK's cache ved søk etter brukere i LDAP Styrer om oppslag/søk etter brukerinfo ( knapp i Brukervinduet) skal søke i LDAP eller bare i EK sin cache-tabell. Det siste går litt raskere, men søk mot LDAP har fordelene at søket går mot hele AD og at informasjonen er ferskere enn det som ligger i cachen, som normalt oppdateres en gang i døgnet. Automatisk synkronisering av brukere mot LDAP Dette er en global innstilling som aktiverer funksjon for automatisk synkronisering av Ek's brukertabell. Dette kan innebære at EK-brukere blir deaktivert automatisk og er således en kraftig men farlig funksjonalitet, som forutsetter at LDAP inneholder "fasit" til en hver tid, og at tilkoblings-info til LDAP er riktig til en hver tid. Oppdatering av brukerinfo fra AD I Brukerinfo skjermbildet kan man manuelt hente inn info fra AD, f.eks. ved opprettelse av ny bruker eller oppdatering av brukerinfo. Dette gjør man via " "-knappene til høyre for hhv. Kortnavn, Fullt navn og E-post feltene. Hvis man delvis fyller ut et av feltene og klikker på knappen, søker EK i AD etter den infoen man skrev. Hvis det er mer enn ett treff, vises en liste over søkeresultatet, og man kan velge en av disse. Info om navn og e-post blir da kopiert inn til skjermbildet. Side 2 av 8

NB! På en eksisterende bruker blir ikke feltet Pålogging byttet ut, selv om AD har et annet login-navn definert. Pålogging feltet blir bare fylt ut dersom det er tomt når man søker. Merk også at " "-knappen bak E-post søker etter E-post-adresse som tilfredsstiller søkeordet i E-post feltet, mens " "-knappen bak Fullt navn søker etter et navn som tilfredsstiller søkeordet som står i Fullt navn feltet. Merk også at denne funksjonen søker i hele LDAP og ikke i avgrenset cache, slik det er beskrevet tidligere. Synkronisering mot LDAP Skjermbildet System Synkronisering mot LDAP gir en mer omfattende funksjonalitet for synkronisering av info fra AD til EK brukertabell. Merk at denne funksjonaliteten bare forholder seg til den avgrensede delen av AD som er cachet. Venstre side i skjermbildet viser alle aktive brukere i EK sin brukerliste. Side 3 av 8

Høyre side viser de samme brukerne, hentet fra EK sin AD-cache det vil si alle brukere i AD som gjenkjennes via det feltet som er valgt for Synkroniser på oppe til venstre i skjermbildet. Altså, når det synkroniseres på Login, viser høyre skjermbilde alle brukere i AD som har Login-navn lik de som er definert i EK. De hvite radene til venstre er de brukerne hvor det ikke finnes et matchende Login felt i AD. De grønne radene representerer brukere med match mellom EK og AD, mens røde felt indikerer tilleggsinfo som ikke stemmer med det som står i AD. Trykker man på knappen Oppdater, vil alle røde felt bli oppdatert med info fra AD, og de blir grønne. Merk at endring av et brukernavn kan medføre at dokumenter trenger oppdatering. Det er viktig å forstå begrepet Synkroniser på. Det er altså ikke nødvendigvis slik at brukeren "Webber Hansson" ikke finnes i AD selv om han står på en hvit rad. Men hvis han finnes, så har han ikke Login-navnet "wb", derfor blir det ikke match. I en initiell "vaske-prosess" av en eksisterende EK-brukerliste kan man prøve å synkronisere på Navn og Epost også for å se om man får andre treff på brukere som mangler match på Login. Men her må man være varsom. Spesielt Navn trenger ikke være entydig, så her kan man få grønn match på "feil" person. Man kan "inspisere" nærmere brukere som ikke har match mot AD, enten ved å bla seg gjennom hhv "røde" og "hvite" med knappene Neste røde og Neste hvite, eller man kan legge hhv "røde" og "hvite" brukere på plukklisten via knappene Røde til plukk og Hvite til plukk og bla gjennom dem fra plukklisten. Side 4 av 8

Knappen LDAP-synk på grønne setter et flagg på alle "grønne" brukere, altså brukere som har match mot AD, at disse EK-brukerne er med i et "synkroniserings-regime" mot AD. Dette blir nærmere beskrevet nedenfor. Merk at knappen bare er tilgjengelig når det er valgt Synkroniser på: Login. Knappen Hent fra LDAP gjør en ny import fra LDAP til EK-cachen, altså den operasjonen som Monitor normalt skal gjøre en gang i døgnet. Vær obs på at denne operasjonen kan ta lang tid, avhengig av hvor stor AD-strukturen er. I listen over EK-brukere til venstre kan man velge å bare vise brukere som inngår i en gitt gruppe definert i EK. I listen over AD-brukere til høyre kan man også velge å begrense listen til en definert ADgruppe. Merk at man må selv legge inn navnene på de AD-gruppene som det er aktuelt å forholde seg til i EK. Det gjør man ved å trykke på " " - knappen bak nedtrekkslisten for grupper. Her kan man angi en ny AD-gruppe som EK skal forholde seg til. Man kan knytte en slik ADgruppe opp mot en EK-gruppe og få denne synkronisert mot AD-gruppen. Mer om dette senere. For de AD-gruppene som er definert, holder EK-cachen oversikt over hvilke ADbrukere som er medlemmer av de ulike AD-gruppene. Dette oppdateres samtidig som ADcachen oppdateres. Avkrysningsboksen..som kan importeres til EK som står oppe til høyre i skjermbildet har en viktig funksjon. Når den er aktivert, viser listen til høyre alle AD-brukere (i cachen) som ikke finnes i EK sin brukertabell (synkronisert på Login) og som dermed kan importeres til EK. Når denne listen vises, kan man i tillegg filtrere på epost eller person-navn i søkefeltene over. Side 5 av 8

Her kan man velge en eller flere rader i listen og gjøre en manuell import til EK's brukertabell, ved hjelp av import knappen: Dersom man på forhånd har valgt en bestemt EK-gruppe over listen til venstre, blir de nye brukerne opprettet i EK og får samtidig medlemskap i den valgte EK-gruppen. De "arver" da gruppebrukerens brukernivå og andre egenskaper, og får også gruppens sett med tilgangs-rettigheter gjennom gruppemedlemskapet. De EK-brukerne som opprettes via en slik import, får satt Windows-autentisering og får også satt flagget "LDAP-synk" som gjør at de kommer med i et "synkroniserings-regime" mot AD. Merk at import funksjonen bare er tilgjengelig når det er valgt Synkronisering på: Login. Auto-grupper i EK Man kan lage brukergrupper i EK, som kan brukes enten i forhold til varslings-oppsett for nye dokumenter eller for å forenkle oppsett av rettigheter. Medlemmer av en gruppe arver rettigheter og varslinger som gruppen har. Når man oppretter en ny gruppe, angir man om det er en manuell gruppe eller en autogruppe. Medlemskap i en manuell gruppe må settes opp helt manuelt, dvs. noen må vedlikeholde gruppen ved å koble brukere inn og ut av gruppen når det er nødvendig. En autogruppe har en automatisk vedlikeholdt medlemsliste. Det finnes to typer autogrupper, enten EK-grupper eller LDAP-grupper. En Auto Ek gruppe har som medlemmer alle EK-brukere som enten er på samme brukernivå som gruppen, eller på samme eller høyere nivå som gruppen. Side 6 av 8

Dette betyr for eksempel at hvis man gjør en manuell import av brukere fra AD, slik det er beskrevet over, uten å importere dem til en eksplisitt EK-gruppe samtidig, så vil de likevel kunne havne i en Auto-EK gruppe på laveste brukernivå. En Auto-LDAP gruppe blir enten koblet til en navngitt AD-gruppe som da vil styre medlemskapet i gruppen, eller den kan kobles til "alle", dvs. at alle AD-brukere som finnes i EK-cachen blir medlemmer i gruppen. Synkronisering av Auto-LDAP grupper Ved å trykke på knappen Synk kjøres det en (manuell) synkronisering mellom AD-gruppen og EK-gruppens medlemmer. Synkronisering skjer også automatisk av Monitor hver gang EKcachen blir oppdatert (en gang pr døgn normalt) dersom innstillingen for automatisk synkronisering er aktivert (se side 2). Når autogruppen blir synkronisert mot AD, blir nye brukere i AD-gruppen opprettet i EK hvis de ikke finnes allerede, og blir samtidig medlemmer av autogruppen. Brukere som er blitt borte fra AD-gruppen siden forrige synkronisering, blir koblet ut av autogruppen. Hvis auto-gruppen er knyttet til "Alle" i stedet for en navngitt AD-gruppe, blir en slik bruker også fjernet fra listen over aktive brukere i EK. Det betyr at brukeren ikke lenger kan logge seg på noen steder, han vil ikke få varslinger på e-post, hans lisenser er ikke lenger aktiv. Det er imidlertid ikke sikkert at en bruker kan fjernes i EK uten videre. For eksempel kan brukeren være EK-ansvarlig for noen dokumenter, eller ha en aktiv rolle på en sak i noen av de nye modulene. I så fall kan ikke brukeren fjernes før disse koblingene er ryddet bort. I tillegg kan det jo være slik at "fasit", dvs. brukerlisten i AD inneholder feil. EK-brukeren blir derfor ikke fjernet, men merket som ikke aktiv bruker i EK, han blir deaktivert, og kan inspiseres nærmere fra listen over inaktive brukere i EK sin brukerliste: Side 7 av 8

Autosynk-funksjonen mot LDAP kan altså resultere i at brukere havner i listen over deaktiverte brukere. De har fortsatt alle sine rettigheter og koblinger mot aktive objekter (dokumenter, saker, oppgaver). Hvis en deaktivert bruker virkelig skal fjernes fra systemet, må slike koblinger ryddes vekk, og brukeren kan deretter enten arkiveres eller slettes. Hvis brukeren fortsatt har noen koblinger til gamle data (saker som er lukket, arkiverte dokumenter, utførte oppgaver osv.), så blir han arkivert. Hvis ingen slike koblinger finnes i databasen, blir brukeren slettet fra systemet. En nyopprettet bruker kan altså slettes før han har rukket å bli aktiv i systemet. Deaktiverte brukere som ikke skal fjernes, kan han enkelt re-aktiveres igjen ved å merke dem og trykke på knappen Sett aktiv. Da er de tilbake som aktive brukere med alle sine rettigheter og koblinger intakt. Brukerlisten i EK gir også mulighet til å holde en oversikt over EK-brukere i forhold til LDAP, selv om man ikke har aktivert noen auto-synk funksjoner. Nedtrekkslisten LDAP-synk har alternativene <ikke angitt>, Synket mot LDAP og Ikke synket mot LDAP. Den viser hvilke brukere som har eller ikke har satt merket LDAPsynk. Dette kombinert med valget under, Finnes i LDAP, gir ønsket oversikt: Kombinasjonen Synket mot LDAP og Finnes ikke i LDAP gir liste over alle brukere som har vært koblet mot LDAP men som ikke lenger fins i LDAP. Disse må ryddes og arkiveres manuelt. Kombinasjonen Ikke synket mot LDAP og Finnes i LDAP gir liste over EK-brukere som finnes i AD men som likevel ikke er i et "synkroniserings-regime" mot AD. Det kan være brukere som er opprettet manuelt og ikke i forbindelse med en import fra AD, eller det kan være brukere hvor LDAP-synk flagget manuelt er fjernet fordi man ikke ønsker noen synkfunksjonalitet på disse. Kombinasjonen Ikke synket mot LDAP og Finnes ikke i LDAP gir en oversikt over alle EKbrukere som ikke er i AD. Det vil være "spesielle" brukere som ADM, Ansatt og eventuelle eksterne. Her vil man også kunne finne brukere som av historiske årsaker fortsatt ligger i EK men som er fjernet fra AD og som således burde vært forsøkt ryddet bort. Dette vil være en normalsituasjon i et "gammelt" EK-system med mange brukere, og blir en del av den ryddejobben som man må gjøre initielt for å få en brukerliste som er "strømlinjeformet" i forhold til AD. Side 8 av 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding