User Directories | Riedel Online Help Center

Diese Ansicht ermöglicht das Hinzufügen externer Benutzerverzeichnisse wie Microsoft Active Directory zum STAGE-System, um den Benutzerzugriff zu authentifizieren.

Übersicht

Failed to load the diagram preview image.

Authentication Required

Page ID: 895058538

User Management - User Directories

Der Bereich DETAILS auf der rechten Seite kann durch Klicken auf die Pfeilsymbole links oder rechts ein- und ausgeblendet werden.

Verwenden der Ansicht User Directories

Hinzufügen eines Benutzerverzeichnisses

Klicken Sie auf . Siehe Abschnitt #Connected-User-Directories.
Wählen Sie den gewünschten Directory-Schnittstellentyp aus der Dropdown-Liste aus.
Geben Sie im Tab Setup zusätzlich zum Namen für das Benutzerverzeichnis die allgemeinen Verbindungseinstellungen wie Verbindungs-URL, Bind DN (Benutzername) und Bind Credentials (Benutzerkennwort) usw. ein.
Geben Sie im Tab User Search die Benutzerattribute ein, die zum Abrufen der Benutzerdaten aus der Datenbank des Verzeichnisses erforderlich sind.
Optional: Aktivieren Sie auf dem Tab Group Sync bei Bedarf die Gruppensynchronisierung und geben Sie die entsprechenden Konfigurationsparameter ein.
Aktivieren Sie im Tab Extended die Optionen Import Users und Sync Registrations, um eine lokale Kopie der Benutzer im Verzeichnis zu erstellen und diese synchron zu halten.
Klicken Sie auf .
Überprüfen Sie im Tab Setup die Verbindung und Authentifizierung, indem Sie auf die Schaltflächen klicken.
Klicken Sie auf die Schaltfläche , um die Verbindung zum Benutzerverzeichnis zu aktivieren.

Connected User Directories

Die Tabelle listet alle derzeit in STAGE eingerichteten Benutzerverzeichnisse auf.

Wenn Sie auf ein Benutzerverzeichnis klicken, werden die Details im rechten Seitenbereich angezeigt.

	Legen Sie einen Filter fest, um nur Benutzerverzeichnisse anzuzeigen, deren Name den Suchbegriff enthält.
	Klicken, um ein neues Benutzerverzeichnis hinzuzufügen. Siehe Abschnitt #Hinzufügen eines Benutzerverzeichnisses.
	Zeigt an, ob das Benutzerverzeichnis in STAGE aktiviert ( ) oder deaktiviert ( ) ist.
Name	Zeigt den Namen des Benutzerverzeichnisses an.
Provider	Zeigt das von STAGE verwendete Protokoll für die Verbindung mit dem externen Benutzerverzeichnis an.

Ausgewähltes User Directory

Der Bereich Details auf der rechten Seite zeigt alle Informationen zum ausgewählten Benutzerverzeichnis an.

Alle Änderungen in diesem Bereich müssen durch Klicken auf die Schaltfläche bestätigt werden.
Klicken Sie auf die Schaltfläche , um alle Änderungen zu verwerfen.
Die Schaltfläche entfernt das ausgewählte Benutzerverzeichnis nach Bestätigung.

Setup-Tab

Info

Name	Legen Sie den Namen dieses Benutzerverzeichnisses fest.
Type	Zeigt den Benutzerverzeichnis-Typ an, der bei der Erstellung dieser Benutzerverzeichnis-Verbindung ausgewählt wurde. STAGE Version 1.0 unterstützt nur `Active Directory`.
Status	Zeigt an, ob das Benutzerverzeichnis in STAGE aktiviert ( ) oder deaktiviert ( ) ist. Klicken Sie Enable / Disable, um die Verbindung zum Benutzerverzeichnis zu aktivieren/deaktivieren.

Name

Legen Sie den Namen dieses Benutzerverzeichnisses fest.

Type

Zeigt den Benutzerverzeichnis-Typ an, der bei der Erstellung dieser Benutzerverzeichnis-Verbindung ausgewählt wurde.

STAGE Version 1.0 unterstützt nur Active Directory.

Status

Zeigt an, ob das Benutzerverzeichnis in STAGE aktiviert ( ) oder deaktiviert ( ) ist.

Klicken Sie Enable / Disable, um die Verbindung zum Benutzerverzeichnis zu aktivieren/deaktivieren.

Sync

Last Sync	Zeigt das Datum und die Uhrzeit an, zu denen STAGE zuletzt mit diesem Benutzerverzeichnis synchronisiert wurde. Klicken, um sofort eine manuelle Synchronisierung des Benutzerverzeichnisses auszulösen.

Last Sync

Zeigt das Datum und die Uhrzeit an, zu denen STAGE zuletzt mit diesem Benutzerverzeichnis synchronisiert wurde.

Klicken, um sofort eine manuelle Synchronisierung des Benutzerverzeichnisses auszulösen.

Connection

Connection URL	Zeigt die URL des Benutzerverzeichnisses an.
Connection URL	Legen Sie die URL des Benutzerverzeichnisses fest. Informationen zum Firewall-Zugriff finden Sie im Kapitel Standard-Ports #STAGE Cluster <> Active Directory (Interne und Externe Nodes).
Enable Start TLS	Aktivieren Sie die Verschlüsselung der Netzwerkkommunikation mithilfe von Transport Layer Security (TLS).
Use Truststore SPI	Legen Sie die Verwendung von Trustore SPI fest (`Always` oder `Never`).
Connection Timeout	Legen Sie den Zeitraum (in Sekunden) fest, in dem eine Antwort für die Verbindung erwartet wird.
Connection Pooling	Verwenden Sie eine vorhandene Datenbankverbindung, die für Anfragen verwendet wird.
Authentication Type	Legen Sie den Authentifizierungstyp fest (`Simple` oder `None`).
Bind DN	Legen Sie den Distinguished-Name für das Verzeichnis fest, auf das Sie zugreifen möchten.
Bind Credentials	Legen Sie das Passwort für die Verbindung zum Server fest.
Users DN	Legen Sie den Distinguished-Name fest, um einen Eintrag im Benutzerverzeichnis eindeutig zu identifizieren. Beispiel: ou=users, dc=example, dc=com.

Test Connection / Authentication

Test Connection	Klicken, um die Verbindung zum Benutzerverzeichnis zu testen. Das Testergebnis wird links neben der Schaltfläche angezeigt.
Test Authentication	Klicken, um die Authentifizierung zum Benutzerverzeichnis zu testen. Das Status-Ergebnis wird links neben der Schaltfläche angezeigt.

User Search-Tab

Custom User Search Filter	Legen Sie eine Abfrage fest, um nach Benutzern in einem bestimmten Verzeichnisattribut zu suchen.
User Name Attribute	Legen Sie das Feld für das Attribut User Name fest. userPrincipalName — Der Anmeldename für den Benutzer. objectGUID — Die eindeutige Kennung eines Benutzers. sAMAccountName — Ein Anmeldename, der frühere Windows-Versionen unterstützt. objectSid — Sicherheitskennung (SID) des Benutzers. sIDHistory — Die vorherigen SIDs für das Benutzerobjekt.
UUID Attribute	Legen Sie eine Syntax für Attributwerte fest, die Werte enthalten können, die universell eindeutige Identifikatoren (UUIDs) darstellen.
RDN Attribute	Legen Sie den Namen des Objekts relativ zu seinem übergeordneten Objekt fest.
User Object Classes	Legen Sie die obligatorischen und optionalen Attribute fest, die mit einem Eintrag dieser Klasse verknüpft werden können.
Read Timeout	Legen Sie den Zeitraum (in Sekunden) fest, in dem eine Antwort auf einen Lesebefehl erwartet wird. `0` = unbegrenzt / keine Zeitüberschreitung.
Edit Mode	Legen Sie die Bearbeitungsrichtlinie fest, die Sie für das Verzeichnis haben. `ReadOnly`: Die Elemente sind unveränderlich. `Writeable`: Geänderte Elemente in STAGE werden im Verzeichnis aktualisiert. `Unsynced (Default)`: Geänderte Elemente in STAGE werden nicht im Verzeichnis aktualisiert.
SearchScope	Legen Sie die Suchtiefe fest. `One Level:` Die Suche wird nur aus der Ebene abgerufen, die durch den Parameter Bind DN festgelegt ist. `Subtree:` Die Suche wird aus dem vollständigen Baum durchgeführt, der durch den Parameter Bind DN und darunter festgelegt ist.
Use Pagination	Aktivieren Sie diese Option, um das Abrufen des Ergebnisses einer Abfrage auch dann zu ermöglichen, wenn die Anfrage an das Verzeichnis die Standardseitengröße des Servers überschreitet. Die Paginierung sollte aktiviert werden, wenn mehr als 1000 Benutzer synchronisiert werden sollen.

Group Sync-Tab

Sync Groups	Legt fest, dass lokale Gruppen mit dem Benutzerverzeichnis synchronisiert werden.
Groups DN	Legen Sie den Distinguished Name fest, um einen Eintrag im Gruppenverzeichnis eindeutig zu identifizieren, z. B. ou=groups, dc=example, dc=com.
Group Name Attribute	Legen Sie das Attribut für den Gruppennamen für Ihr Verzeichnis fest. Verwenden Sie beispielsweise für Active Directory `sAMAccountName`.
Group Object Classes	Legen Sie die Attribute fest, die zur Definition eines Eintrags verwendet werden können.
Ignore Missing	Legen Sie fest, dass fehlende Gruppen in der Gruppenhierarchie ignoriert werden. Aktivieren Sie diese Option, um sicherzustellen, dass Gruppen erfolgreich gefunden werden.
Membership Attribute	Wenn Membership Attribute Type `UID` ist, wird dieser Wert in der Regel als `memberUid` festgelegt. In allen anderen Fällen lautet der Wert `member`.
Membership Attribute Type	Legen Sie die Art der Mitgliedschaft fest. DN: Die Mitglieder dieser LDAP-Gruppe werden in Form ihres vollständigen DN angegeben. UID: Diese LDAP-Gruppe hat Mitglieder, die in Form von reinen Benutzer-UIDs deklariert sind.
Membership User Attribute	Legen Sie den Namen des LDAP-Attributs für den Benutzer fest. Dies wird für die Zuordnung von Mitgliedschaften verwendet und nur dann, wennMembership Attribute Type `UID` ist. Wenn beispielsweise der Wert Membership User Attribute `UID` ist und die LDAP-Gruppe `memberUid: john` hat, wird erwartet, dass dieser bestimmte LDAP-Benutzer das Attribut `uid: john` hat.
Custom Group Filter	Legen Sie eine Abfrage fest, um die gesamte Abfrage zu filtern und bestimmte Gruppen abzurufen. Jeder Filter muss in Klammern gesetzt werden. Um alle Gruppen abzurufen, lassen Sie dieses Feld leer.
Mode	Legen Sie fest, wie Benutzergruppen abgerufen werden sollen. `Load Groups by Member Attribute` : Die Benutzerrollen werden abgerufen, indem eine Abfrage gesendet wird, um alle Gruppen abzurufen, in denen ‘member’ unser Benutzer ist. `Get Groups from User Memberof Attribute` : Die Benutzergruppen werden aus dem Attribut ‘memberOf’ unseres Benutzers abgerufen. Oder aus dem anderen Attribut, das durch Member Of Attribute angegeben ist. `Load Groups by Member Attribute Recursively` : Diese Option gilt nur für Active Directory: Benutzergruppen werden rekursiv unter Verwendung der LDAP-Erweiterung LDAP_MATCHING_RULE_IN_CHAIN abgerufen.
Member Of Attribute	Wenn der Mode auf `Get Groups from User Memberof Attribute` eingestellt ist, legen Sie den Namen des LDAP-Attributs für den LDAP-Benutzer fest, das die Gruppen enthält, denen der Benutzer angehört. In der Regel ist dies `memberOf`, der Standardwert.
Drop non-existing Groups	Löschen Sie Gruppen in der Keycloak-Datenbank, die bei einer LDAP-Synchronisierung nicht mehr gefunden werden.

Extended-Tab

Import Users	Legt fest, dass eine lokale Kopie der Benutzer im Benutzerverzeichnis erstellt wird.
Sync Registrations	Stellt sicher, dass lokale Benutzer mit dem Benutzerverzeichnis synchronisiert bleiben. Benutzer, die nicht mehr gefunden werden, werden aus dem Benutzerverzeichnis entfernt.
Sync Batch Size	Beschreibt, wie viele Benutzer pro Block abgerufen werden. Bei bis zu 1000 Benutzern werden alle Benutzer auf einmal mit dem Wert „-1“ abgerufen. Bei mehr Benutzern ist „25“ ein guter Wert.
Changed Sync Period	Legt fest, ob die regelmäßige Synchronisierung geänderter oder neu erstellter LDAP-Benutzer mit Keycloak aktiviert werden soll. „-1“ bedeutet deaktiviert, ein Wert „>1“ definiert den Zeitraum in Sekunden, in dem STAGE alle Benutzer neu synchronisiert. Dies wird nur empfohlen, wenn geänderte oder hinzugefügte Benutzer automatisch synchronisiert werden sollen und dies häufig vorkommt.
Full Sync Period	Legt fest, ob die regelmäßige vollständige Synchronisierung von LDAP-Benutzern mit Keycloak aktiviert werden soll. „-1“ bedeutet deaktiviert, ein Wert „>1“ definiert den Zeitraum in Sekunden, in dem STAGE alle Benutzer neu synchronisiert. Dies stellt eine erhebliche Belastung für das System dar und wird nicht empfohlen.
Kerberos Integration	Allow Authentication with Kerberos: Aktivieren Sie diese Option, um die Authentifizierung mit Kerberos zuzulassen.
Kerberos Integration	Use Kerberos for Password Authentication: Kerberos für die Passwortauthentifizierung verwenden.
Extended Configuration	LDAPv3 password modify extended operation: Stellen Sie ein, dass Passwörter beim Speichern auf dem LDAP-Server gehasht werden. Bestimmte LDAP-Server hashen Passwörter standardmäßig. Andere LDAP-Server speichern Passwörter im Klartext, sofern Sie diese Option nicht aktivieren.
	Validate Password Policy: Einstellung zur Überprüfung der Stärke von Benutzerkennwörtern, um die Sicherheit weiter zu erhöhen.
	Trust Email: Benutzern eine Bestätigungs-E-Mail senden, um ihre Existenz zu bestätigen.