Zielsetzung:
Verstehen, wie DocuWare mit AD-Attributen interagiert
Antwort:
Während der Synchronisation lesen wir Active Directory Attribute, um folgende Aufgaben zu erfüllen:
- Details abfragen (Name, Email, Gruppenname...)
- Objekt im AD finden
- Rechte auf Benutzer anwenden (nach Gruppenzugehörigkeit)
- Für SSO (inkl. NTLM)
- Status des AD-Benutzers abfragen (Aktiv, Deaktiv)
- Benutzer abgleichen (manuell angelegte Benutzer mit DocuWare verknüpfen, Details bei Synchronisation ändern)
Details abrufen:
Attribute zum Abrufen von Details für Gruppen:
Beschreibung Klasse Gruppe (externer Link)
Verstehen, wie DocuWare mit AD-Attributen interagiert
Antwort:
Während der Synchronisation lesen wir Active Directory Attribute, um folgende Aufgaben zu erfüllen:
- Details abfragen (Name, Email, Gruppenname...)
- Objekt im AD finden
- Rechte auf Benutzer anwenden (nach Gruppenzugehörigkeit)
- Für SSO (inkl. NTLM)
- Status des AD-Benutzers abfragen (Aktiv, Deaktiv)
- Benutzer abgleichen (manuell angelegte Benutzer mit DocuWare verknüpfen, Details bei Synchronisation ändern)
Details abrufen:
Attribute zum Abrufen von Details für Gruppen:
Beschreibung Klasse Gruppe (externer Link)
| Name | Verwendung | V1 | V2 Lokal | V2 Azure |
| Distinguished name | Externer Gruppenname bei Zuweisung zu bestehender DocuWare-Gruppe | Kontrollkästchen aktiviert | -nein- | Für Azure Gruppen können keine Attribute gewählt werden |
| Name | CN | sAMAccountName | ^ | 3 Punkte drücken | Bietet alle in Node gefundenen Gruppen an Ungewollte Gruppen können in Gruppenzuordnung übersprungen werden | Bietet die ausgewählten Gruppen in der Gruppenzuordnung an |
| Alle verfügbaren Attribute des Objekts | ^ | 3 Punkte drücken | -nein- | n.v. |
Attribute, um Details für Benutzer zu erhalten:
Beschreibungsklasse Benutzer (externer Link)
| Name | Verwendung | V1 | V2 Lokal | V2 Azure |
| userPrincipalNamePrefix | Loginname | -nein- | -ja- | Vollständiges Attribut als E-Mail verwendet (UPNprefix + @...de) |
| EmailPrefix | Loginname | -nein- | -nein- | 7.6 | Vollständiges Attribut als E-Mail verwendet (EmailPrefix+ @...de) |
| sAMAccountName | Loginname | |||
| userPrincipalName | Loginname | -ja- | -ja- | -nein- |
| CN (mehrdeutiges Attribut) | Loginname | -ja- | 7.5 | -nein- |
| DisplayName (mehrdeutiges Attribut) | Loginname | -ja- | 7.5 | -nein- |
| Name (mehrdeutiges Attribut) | Loginname | -ja- | 7.5 | -nein- |
| Alle verfügbaren Attribute des Objekts | Loginname | 3 Punkte drücken | -nein- | -nein- |
| E-Mail Adresse | Administration> Externe Benutzerverzeichnisse: E-Mail-Adress-Attribut | Immer benutzt Muss gefüllt werden: KBA-36843 | UPN oder E-Mail Abhängig vom gewählten Attribut Loginname |
Attribute zum Auffinden des Objekts:
Beschreibung CN (externer Link)
| Klasse | Name | Verwendung | V1 | V2 Lokal | V2 Azure |
| Gruppe | CN | Vollständiger Pfad zur Gruppe | Fügt alle Gruppen in Dropdown ein | Alle im Knoten gefundenen Gruppen sind vorausgewählt. Unerwünschte können übersprungen werden. | Keine Knoten. Gruppen direkt auswählen |
| Benutzer | CN | Vollständiger Pfad zum Benutzer | Alle Benutzer müssen sich innerhalb des ausgewählten Knotens befinden: Benutzer ausserhalb des Knotens werden ignoriert | Alle Benutzer im Knoten werden erstellt Kann durch Checkbox erweitert werden | Aufgrund der flachen Struktur eines Azure AD gibt es keine Knoten. Azure bietet nur Benutzer in Gruppenmitgliedschaften |
Attribute zur Anwendung von Rechten (Hinzufügen eines Benutzers zu einer Gruppe)
Beschreibung Mitglied (externer Link)
| Klasse | Name | Verwendung | V1 | V2 Lokal | V2 Azure |
| Gruppe | Mitglied | Definiert die Zugehörigkeit zu einer Gruppe | Nur Mitglieder werden zur Gruppe hinzugefügt, Nicht-Mitglieder werden ignoriert. | Benutzer im Knoten ohne Mitgliedschaft werden nur der öffentlichen Gruppe hinzugefügt. Nichtmitglieder werden erstellt | Nur Mitglieder der ausgewählten Gruppe werden erstellt. Gruppen im Benutzerbereich auswählen (auch Untergruppen müssen selektiert werden wegen der flachen Struktur eines Azure AD) |
Attribute für SSO
| Klasse | Name | Verwendung | On-Premises | Cloud | |
| Benutzer | sAMAccountName | Teil von NTLM Gespeichert in DWUser.winuser in Kombination mit DWUser.windomain wird die NetworkID definiert | Teil von NetworkID Für NTLM | Kein NTLM = Keine Netzwerk-ID | |
| UPN | Microsoft-Konto | ADFS UPN = Microsoft-Konto | AAD UPN = Microsoft-Konto |
Attribute für den Abgleich
- Abgleich: Suche nach einem bestehenden DocuWare User basierend auf der ausgelesenen Liste des (Azure) Active Directory
- Zweck des Abgleichs: Synchronisierung der Details, Rechte und des Benutzerstatus (exkl. NetworkID die nur vom Benutzer geändert werden darf)
- Die automatische Verknüpfung bestehender Benutzer bei der Anmeldung hat den Zweck, den manuell angelegten DocuWare Benutzer mit der ObjectGUID des AD zu aktualisieren um Benutzer künftig über ObjectGUID zu finden.
- Benutzer, die mit der Benutzersynchronisation erstellt wurden, sind immer mit dem AD verbunden.
| Klasse | Name | Verwendung | V1 | V2 | Systemtyp |
| Benutzer | Loginname + E-Mail | Nicht synchronisierte Benutzer haben keine ObjectGUID, suche Benutzer mit diesen beiden Attributen, wenn externalid nicht gesetzt ist | Matchmodus bis 7.5 | Match-Attribute für manuell angelegte Benutzer | On-Premises |
| ObjectGuid | Wurde der Benutzer Einmal über Loginname + E-Mail gefunden, wird der Benutzer fortan über die ObjectGUID identifziert. Die ObjectGUID wird in DWUser.externalid gespeichert | Seit 7.5 Technische Release Notes DocuWare Version 7.5 | Match-Attribut für synchronisierte Benutzer | Beide | |
| UPNPrefix | UPNPrefix = Benutzername UPN = E-Mail Adresse | -nein- | Abgleich von Attributen für manuell erstellte Benutzer für SSO mit AAD und ADFS | Beide | |
| E-Mail-Präfix | EmailPrefix = Benutzername Email = E-Mail Adresse | Kann nicht verwendet werden, um manuell erstellte Benutzer zu verknüpfen, da Azure nur den UPN liefert. ObjectGUID ist bei manuell erstellten Benutzer noch nicht bekannt und kann nicht durchsucht werden. | Beide |
Unterschied zwischen V1 und V2
| Thema | Version 1 | Version 2 Lokale AD | Version 2 Azure AD |
| Passwort | Zufällig oder fest | Nur zufällig (A) | Nur zufällig (A) |
| Nutzerknoten | Liest das Mitgliederattribut einer Gruppe, um den zu erstellenden Benutzer zu bestimmen | Durchsucht den konfigurierten Benutzerknoten nach Objekten des Typs User | Indirekt: Es muss die Gruppenmitgliedschaft ausgewählt werden, in welcher der Benutzer Mitglied ist. Wenn der Benutzer Mitglied einer Untergruppe ist, muss auch die Untergruppe ausgewählt werden (B) |
| A | Wenn sich Benutzer über Ihren Loginname und Passwort einloggen sollen, ist ein Passwort Reset immer erforderlich. | ||
| B | Ein Azure AD bietet nur eine Flache Struktur. Hier gibt es keine Knotenstruktur wie in einem On-Premises AD. |
