Katalog użytkownika LDAP i SSO
Zasada
Zarządzanie uwierzytelnieniami i dostępem do rozwiązań opartych na technologii SAFE X3 opiera się na dwóch uzupełniających się zasadach:
1) Centralizacja danych uwierzytelnienia
W celu zarządzania uwierzytelnieniem użytkowników w oprogramowaniu SAFE X3 w sposób scentralizowany istnieje możliwość przechowywania niektórych informacji w kataloguLDAP ( Lightweight Directory Access Protocol). Centralizacja ta może być realizowana niezależnie od rodzaju połączenia.
2) Pojedynczy napis na (SSO)
Można uznać, że użytkownik logujący się do swojej stacji roboczej z systemem Windows już się zarejestrował (użytkownik wprowadził swoje hasło). W konsekwencji użytkownik nie chce wprowadzać swojego kodu i hasła ponownie, za każdym razem gdy chce się połączyć z SAFE X3.
Jednorazowa rejestracja jest nazywana SSO (Single Sign-On).
Ograniczenia
Obecnie SSO działa w dwóch wypadkach:
- dla połączeń w trybie klient-serwer, gdy tylko konfiguracja zostanie prawidłowo wprowadzona
- W trybie pracy w Internecie, pod warunkiem, że użytkownik jest podłączony do bezpiecznej sieci (prywatnej lub wewnętrznej) oraz że wdrożono protokół NTLM nad http (zdefiniowany na konsoli).
- użycie SSO Sage (jest to możliwe w usłudze sieciowej dla Netvibes; w tym wypadku usługa Sage poświadcza adresy poczty elektronicznej, które będą stosowane jako entry point. Konfiguracje katalogów będą stosowane wyłącznie w celu przeprowadzenia dodatkowej kontroli i aktualizacji pól ERP, przechowywanych w katalogu.
Funkcjonalności te mogą być realizowane dla Sage X3 przez użycie grupy konfiguracji.
Opis
Opisany tutaj proces połączenia odpowiada temu, co dzieje się w trybie klient-serwer, gdy tylko odpowiednie konfiguracje, opisane w poniżej zostaną zdefiniowane.
Poszczególne fazy procesu są następujące:
1 - Użytkownik loguje się (w systemie Windows np. jako 'john_doe'; w trybie internetowym ponieważ warstwa NTLM odzyskuje konto).
2 - Użytkownik otwiera sesję oprogramowania SAFE X' klikając dwa razy na ikonę uruchomienia (lub klikając na hiperlink). W trybie klient-serwer otwiera się okno połączenia (przynajmniej po raz pierwszy! po kliknięciu w polu 'użyj konfiguracji dla następnego połączenia', okno połączenia nie będzie już wyświetlone, z wyjątkiem gdy podczas uruchamiania naciśnięty zostanie klawisz [Shift]).
3 - Przy zastosowaniu takich ustawień w trybie klient-serwer, użytkownik wchodzi do swojego kodu użytkownika, tak określonego w oprogramowaniu. Jako kod można użyć JOHN, DOE, ADMIN lub jakikolwiek inny kod, jeżeli jednak użytkownik chce użyć SSO, to kod użytkownika musi brzmieć JOHN_DOE.
4 - Oprogramowanie sprawdza, czy JOHN_DOE istnieje w tabeli użytkownika (sprawdzane jest pole Login w tabeli użytkownika). Na przykład kod odpowiada kodowi użytkownika JOHND. Kod JOHND (najwyżej 5 znaków) jest przechowywany we wszystkich tabelach, w których stosowane są dane typu AUS.
5 - Po aktywacji SSO i wprowadzeniu kodu JOHN_DOE (odpowiadającego oryginalnemu loginowi) kontrola hasła nie jest już realizowana (jest prowadzona przy blokadzie, jeżeli kod użytkownika nie pasuje do systemu login).
6 - System następnie korzysta z pola Reference Active Directory/Aktywny Katalog Referencyjny użytkownika w celu skierowania zapytania do scentralizowanego katalogu (LDAP, Aktywny Katalog... zgodnie z globalnymi konfiguracjami dostarczonych połączeń) i odzyskuje grupę wartości (wartości pól tabeli użytkownika, wartości konfiguracji na poziomie użytkownika). Aktualizuje następnie wartości w oprogramowaniu, jeżeli zostały zmienione w katalogu (ponieważ katalog stanowi odniesienie).
Wartości ustawień w katalogu
Wartości ustawień w katalogu
W celu wdrożenia katalogu użytkownika należy do katalogu wprowadzić następujące wartości ustawień.
Połączenie SSO
Wartość ustawienia SSOCONNECT służy do aktywacji funkcji SSO/LDAP z X3 (np. połączenie ze scentralizowanym katalogiem).
Dopuszczalne wartości to:
- Nwł.: połączenie SSO/LDAP jest nieaktywne,
- Interaktywne:Połączenie SSO/LDAP jest aktywne wyłącznie w trybie interaktywnym (C/S i Web)
- Interaktywne i usługa internetowa: połączenie SSO/LDAP jest aktywne w trybie interaktywnym i także dla usług internetowych.
Kod katalogu
Wartość ustawień SSODIRECT zawiera kod katalogu, gdy konfiguracja SSOCONNECT jest aktywna. Dotyczy to tabeli, która definiuje katalogi oraz możliwe połączenia.
aktualizacja użytkownika przy połączeniu
Wartość ustawienia SSOMAJ (Tak/Nie) służy do określenia, czy konieczne jest przeprowadzenie aktualizacji rekordu użytkownika oraz wartości konfiguracji użytkownika dla każdego połączenia użytkownika X3.
Jeżeli wartość ta zostanie ustawiona na Nie, i jeżeli inne konfiguracje są aktywne, to system sprawdzi, czy użytkownik istnieje w katalogu bez wyzwalania aktualizacji konfiguracji i wartości użytkownika przy każdym połączeniu. Aktualizacja będzie realizowana w trybie przetwarzania w tle dzięki zadaniu przetwarzania w tle ASSOMAJ musi zostać przerwana.
kontrola hasła SSO
Wartość ustawienia SSOPASSWD (Tak/Nie) służy do wymuszenia kontroli (a więc do narzucenia wprowadzenia) hasła w trybie klient-serwer, nawet jeżeli kod użytkownika wprowadzony w polu połączenia jest taki sam, jak login użytkownika Windows.
W trybie internetowym kontrola jest realizowana w sposób systematyczny.
Odniesienie do aktualizacji użytkownika
Informacja na temat katalogu LDAP zostaje wyświetlona w postaci drzewa graficznego.
każdy węzeł drzewa stanowi abstrakt lub realny obiekt (osobę fizyczną, grupę ludzi, drukarkę, ustawienia, ....)
DN (Wyróżniona Nazwa) obiektu jest sposobem identyfikacji obiektu, który jest unikatowy w hierarchii.
Pierwszy identyfikator jest przechowywany w rekordzie użytkownika. Jest to poleAUTILIS.ADDNAM.
Drugi identyfikator zostaje ustawiony w katalogu i ogólnie rzecz biorąc jest to login.
Poniżej przedstawiono przykład menu LDAP. Należy zwrócić uwagę na fakt, że hierarchie mogą być swobodnie definiowane oraz że takie katalogi mogą odnosić się do użytkowników, grup lub zasobów (takich jak drukarki). Kierowanie zapytań do takiego menu jest realizowane przez wskazanie katalogu głównego przeszukiwania i następnie żądanie przeszukanie samego węzła, jego bezpośrednich zstępnych lub poddrzewa od określonego katalogu głównego. Węzeł początkowy oraz sposób przeszukiwania informacji zostały określone w konfiguracji katalogu.
Zasada połączenia
Przyjmijmy, że tryb SSO jest aktywny, a użytkownik X3 jest połączony po raz pierwszy do aplikacji SAFE X3.
Aplikacja X3 po połączeniu sprawdzi, czy wprowadzony login istnieje w katalogu. Jeżeli tak, to aplikacja odzyska DN (Wyróżniona Nazwa), która zostanie zaktualizowana w polu ADDNAM tabeli użytkownika AUTILIS.
Jeżeli wartość konfiguracji SSOMAJ została ustawiona naTak, to wszystkie 'mapowane' pola zostaną zaktualizowane w rekordzie użytkownika oraz w wartościach ustawień X3.
Funkcja katalogu użytkownika
Dostęp do serwera LDAP
Funkcja 'Katalog' służy do definiowania konfiguracji w celu umożliwienia aplikacji X3 oczytania informacji ujętych w katalogu LDAP.
Mapowanie pól
Pomiędzy polami tabeli użytkownika, tabeli wartości ustawień użytkownika oraz polami katalogu LDAP realizowana jest korespondencja.
Dodatkowe funkcje wsadu
Zadanie ASSOMAJ służy do aktualizacji użytkowników w porównaniu do katalogu LDAP.
Jedynie istniejący użytkownicy tabeli AUTILIS zostaną zaktualizowani; program ten nie tworzy nowych użytkowników przez czytanie danych z katalogu LDAP.
Powiązanie jest realizowane przez DN (Wyróżniona Nazwa) jeżeli już zostało wprowadzone do tabeli użytkownika. W przeciwnym wypadku konfiguracja drugiego użytkownika (z reguły login) zostaje użyta do znalezienia DN.
Wyróżniona Nazwa
Przedstawione poniżej struktury opisują szczegółowo możliwe przypadki połączenia, a także odpowiadające im procedury kontroli.
