Ist es möglich das HQ an unsere Active Directory (LDAP) anzubinden?

Die Anbindung an die Active Directory deines Unternehmens ist möglich. Zur Einrichtung im HQ werden die folgenden Daten benötigt:

Name Beschreibung
   
Adresse des AD Hostadresse des AD (kann auch eine IP sein)
   
Login User Der User der für den Sync verwendet werden kann. Dies kann ein "Full Qualified" User sein, je nach System aber auch ein einfach "domain\user".
   
Passwort Das Passwort für den Sync-User
   
Verschlüsselung per SSL Ja oder Nein
   
Protokoll Standard oder OpenLDAP
   
Authentication Typ "Negotiate" oder "Basic"
   
Filter für die AD-User-Synchronisation Der Filter aus dem alle Benutzer in das HQ importiert werden.
   
Group Filter Statement Der vollständige Filter für die Gruppen, die zu HQ übertragen werden sollen. (Pfad in der AD)
   
Root Distinguished Name Pfad auf dem in der AD zu den zu synchronisierenden Benutzern.
   
User Domain Wenn der Sync-Benutzer in einer Domain ist, kann es sein das die Domain explizit angegeben werden muss, da der Benutzer ansonsten nicht gefunden wird.

 

 

Achtung: Die Synchronisation per LDAP ist erst ab dem Professional Plan möglich.

Kann ich Benutzer nachträglich mit der Active Directory verknüpfen?

Allgemeines

Generell werden AD-User als neue Benutzer in HQ angelegt. Damit werden die Benutzer, die im Vorfeld beispielsweise für Tests angelegt wurden, redundant. 
Wenn bereits produktiv gearbeitet wird, ist das ungünstig, weil relevante Daten (Kunden, Projekte, Aufgaben, Belege) nach dem Import aus AD mit dem "falschen" HQ-Benutzer verknüpft sind.
Es sollte also im Vorfeld geklärt werden, inwieweit vor AD-Anbindung produktive Daten angelegt werden sollen. Eine Korrektur der Daten im Nachhinein ist natürlich möglich, allerdings in der Regel umständlich. Deshalb empfehlen wir, bestehende HQ-Nutzer mit den zu importierenden AD-Nutzern zu verknüpfen. 

Wie können wir die Benutzer verknüpfen?

Die aus AD importieren User erhalten in HQ einen Eintrag zur Identifikation. Dafür kann ein eigens definiertes Datenfeld mit dem Namen "Active Directory Unique Key" am Benutzer an (Admin / Standardwerte / Datenfelder Benutzer) angelegt werden. Das Feld wird in jedem Fall benötigt, auch wenn keine Benutzer verknüpft werden sollen. In dieses Feld kopiert ihr den Wert des Attributs "objectSid" aus AD oder - wenn diese nicht existiert - aus dem Attribut "EntryUUID" aus der entsprechenden "directory". 

Voraussetzungen

  • Im HQ muss das Feld "Active Directory Unique Key" für Benutzer angelegt werden (siehe oben, Admin / Standardwerte / Datenfelder Benutzer). 
  • Die AD-Gruppe, die importiert werden soll, muss das Attribut "displayname" oder "description" enthalten. Dies wird der Klarname, den die HQ-Gruppe enthält. Wenn beide Felder nicht vorhanden sind wird das Feld "cn" verwendet, das häufig aber keinen echten Klarnamen beinhaltet.
  • Die AD-User, die importiert werden sollen, müssen folgende Felder ausgefüllt enthalten: "samaccountname" oder "uid" sowie "mail". Um sinnvolle Daten zu erhalten, genauso bitte "givenName", "sn" und "telephoneNumber" pflegen. "samaccountname" oder "uid" sind der neue Benutzername im HQ.
  • Sollen die Nutzer auch den gesyncten Gruppen zugeordnet werden, so müssen die User eine Property "memberOf" oder "member" besitzen in denen der full-qualified name der Gruppen steht. Die Gruppen müssen auch über das Verzeichnis synchronisiert worden sein, damit eine Zuordnung möglich ist.

Kann ich auch Benutzer zum HQ hinzufügen, die nicht zu unserem Active Directory (LDAP) gehören?

Wenn du für euer HQ die Anbindung zu LDAP eingerichtet hast, kannst du trotzdem weiterhin Mitarbeiter einladen, die nicht zu eurem LDAP gehören.

Dafür kannst du einfach den hier beschriebenen Weg folgen!