Collaboration Hub mit Active Directory-Anbindung konfigurieren

Wenn Sie den Collaboration Hub mit Single-Sign-On verwenden möchten, müssen Sie die Konfiguration zur Anbindung des Signavio Process Managers an Ihr Active-Directory-System angeben.

  • Für eine Verwendung von Kerberos muss der Signavio-Server unter Microsoft Windows 64Bit installiert werden und zu der Domäne gehören, auf dessen Active Directory zugegriffen werden soll.
  • Um die Verbindung an das Active Directory zu testen, können Sie den LDAP Browser der Firma Softerra verwenden. Sie können überprüfen, ob der Nutzername und das Passwort korrekt sind und der Nutzer Zugriff auf die relevanten Bereiche des Active Directory hat. Den Softerra LDAP Browser können Sie über den folgenden Link kostenlos herunterladen: http://www.ldapbrowser.com/download.htm
  • Vor der Aktivierung bzw. Deaktivierung der SSO-Funktionalität empfiehlt es sich, alle bisherigen Freigaben zu entfernen. Andernfalls werden Diagramme eventuell nicht für den korrekten Personenkreis freigegeben.

In der configuration.xml-Vorlage finden Sie eine Beispielkonfiguration für eine Active-Directory-Anbindung:

<ldap>


  <ldapHost>ldap://192.168.0.100/</ldapHost>


  <ldapSearchRoots>


    <ldapSearchRoot>CN=Users,DC=company,DC=com</ldapSearchRoot>


    <ldapSearchRoot>CN=Groups,DC=company,DC=com</ldapSearchRoot>


  </ldapSearchRoots>


  <ldapUser>CN=LdapUser,CN=Users,DC=company,DC=com</ldapUser>


  <ldapPw>password</ldapPw>


  <ldapSsoMode>KERBEROS</ldapSsoMode>


  <ldapModelerSsoSupported>true</ldapModelerSsoSupported>


  <ldapAdminMail>admin@company.com</ldapAdminMail>


</ldap>

Für die Anfragen an das Active-Directory werden LDAP-Schnittstellen verwendet.

  1. Passen Sie hierfür die Datei configuration.xml wie folgt an:

ldapHost: URL für den Zugriff auf das Active Directory mittels LDAP.

ldapSearchRoots: Mehrere Ordnerobjekte, die als Wurzelknoten für die Suche verwendet werden. Die Objekte müssen als Distinguished Names angegeben werden. Als Wurzelknoten können Organisationseinheiten und Container eingetragen werden.

Beachten Sie, dass Nutzergruppen nicht als Container von Nutzern fungieren, sondern diese nur referenzieren.
Nachfolgend sehen Sie ein Beispiel, wie ein Active Directory in der Beispieldomäne adtest.local strukturiert sein könnte:

Falls die Container Users und UserGroups in Ordnern unterhalb des Domain-Wurzelknoten liegen, müssen die rot markierten Ordner als searchRoots gesetzt werden:

Die Distinguished Names sind in diesem Fall:

CN=Users,DC=adtest,DC=local

OU=UserGroups,DC=adtest,DC=local

Wenn das Active Directory in Standort- oder Organisationseinheiten unterteilt ist, müssen die Unterordner mit Gruppen und Nutzern als SearchRoots gekennzeichnet werden:

Die Distinguished Names sind in diesem Beispiel:

OU=Groups,OU=AAA,OU=Organization,DC=adtest,DC=local 

Beispiel: Nutzergruppen auf Organisationsebene im Active Directory

OU=Groups,OU=AAA,OU=Organization,DC=adtest,DC=local


OU=Users,OU=AAA,OU=Organization,DC=adtest,DC=local


OU=Groups,OU=BBB,OU=Organization,DC=adtest,DC=local


OU=Users,OU=BBB,OU=Organization,DC=adtest,DC=local


OU=Groups,OU=CCC,OU=Organization,DC=adtest,DC=local


OU=Users,OU=CCC,OU=Organization,DC=adtest,DC=local

ldapUser:
Nutzerobjekt für den Zugriff auf das Active Directory. Je nach Version und Konfiguration des Active Directory gibt es bis zu drei verschiedene Schreibweisen für den Nutzernamen:

  1. Distinguished Name (z. B.: CN=LdapUser,CN=Users,DC=company,DC=com)
  2. Nutzer-UPN-Anmeldungsname (z. B.: LdapUser@company.com)
  3. SamAccountName (z. B.: company\LdapUser)
Versuchen Sie die verschiedenen Bezeichnungen in dieser Reihenfolge. Falls der Zugriff nicht funktioniert, testen Sie die nächste Schreibweise:

ldapPw :Passwort des Nutzerobjekts.

ldapSsoMode :
Zu verwendender SSO-Mechanismus. Mögliche Werte sind KERBEROS oder LDAPQUERY (Authentifizierung per LDAP-Nutzer und -Passwort). Sollten Sie Kerberos verwenden, muss der Signavio Process Manager unter Microsoft Windows 64-Bit installiert werden. Sollten Sie LDAP-Anfragen verwenden, können Sie zusätzlich ein ldapQueryLoginPattern spezifizieren.

ldapQueryLoginPattern (optional):
Ermöglicht eine Vervollständigung eines eingegebenen Nutzernamens bei der LDAP- Anfragen-basierten Authentifizierung.
Beispiel: Über das Pattern $login$@company.com kann eingerichtet werden, dass anstatt der Nutzereingabe j.doe der folgende Nutzername zur Authentifizierung verwendet wird: j.doe@company\.com.

ldapModelerSsoSupported :
Steuert, ob sich Nutzer aus dem Active-Directory als Modellierer am Signavio Process Manager anmelden können ohne ein separates Signavio-Passwort eingeben zu müssen. Mögliche Werte sind true und false (Standardwert).
Voraussetzung für die Verwendung ist, dass ein Modellierungsnutzer im Signavio Process Manager mit der im Active-Directory hinterlegten E-Mail-Adresse registriert ist.

ldapAdminMail
E-Mail-Adresse des für die LDAP-Konfiguration verantwortlichen Administrators. Diese wird für wichtige Systemmeldungen verwendet und muss daher gesetzt sein.

  1. Kopieren Sie Ihre angepasste configuration.xml in das Verzeichnis $TOMCAT_DIR/conf/ und starten den Tomcat-Server neu.
  2. Vergeben Sie anschließend gemäß dem Signavio Nutzerhandbuch Leseberechtigungen für den BPM Collaboration Hub an Nutzer und Nutzergruppen.

Mit dem Collaboration Hub erwerben Sie ein Kontingent für eine bestimmte Anzahl von Active-Directory Nutzern, die Leseberechtigungen auf Modelle im Signavio Collaboration Hub besitzen dürfen. Bei der Berechnung der Anzahl der aktiven Nutzer berücksichtigt das System alle Nutzer, die Zugriff auf alle veröffentlichten Diagramme haben.

Falls die Anzahl 80% des Nutzer-Kontingentes überschreitet, wird automatisch eine Hinweis-E-Mail an den Administrator des Arbeitsbereiches gesendet.

Bei einer Überschreitung des Kontingentes wird der Lesezugriff auf den Signavio Collaboration Hub vorübergehend deaktiviert. Ein Login der lizensierten Modellierungsnutzer bleibt jedoch möglich.

  • Um die automatische Authentifizierung über den Kerberos Nutzer im Internet Explorer zu aktivieren, fügen Sie den Hostnamen des Signavio Servers zur Sicherheitszone Lokales Intranet hinzu und stellen Sie sicher, dass für die Option Benutzerauthentifizierung - Anmeldung dieser Sicherheitszone der Wert Automatisches Anmelden nur in der Intranetzone ausgewählt ist.
  • Zur Aktivierung einer Kerberos-Authentifizierung im Mozilla Firefox müssen Sie about:config im Adressfeld des Browsers eingeben und aufrufen. In der so geöffneten Ansicht müssen Sie den Wert für network.negotiate-auth.trusted-uris auf den in der configuration.xml gesetzten Server des Signavio-Systems setzen. Wenn die Variable bereits festgelegt ist, erweitern Sie diese mit der Server-URL als durch Kommas getrennte Liste.