Zum Hauptinhalt gehen
Deutsch' English

LDAP-Konfiguration 4: Rollen und Gruppen in Microsoft Active Directory

Petra Schöneberg
  • Aktualisiert

Die zuvor angelegten Anwendungsrollen werden nun im Microsoft Active Directory als Gruppen ergänzt.

  • In unseren Beispielen verwenden wir das Microsoft Active Directory und dessen Verwaltungskonsole.

Gruppen anlegen

  1. Starten Sie die Verwaltungskonsole in Ihrem Microsoft Active Directory.
  2. Wählen Sie unter Gruppen „XNSG_Groups“.
    LDAP_XNSG_Groups_w_hlen.png
  3. Erstellen Sie im bereits konfigurierten DN-Suchpfad Gruppen mit gleichem Namen wie die angelegten Rollen, siehe LDAP-Konfiguration 3: Gruppen- und Rolleneinstellungen.
  4. Aktivieren Sie für die jeweilige Gruppe bei Group scope „Global“ und bei Group type „Security“.
XNSG Rolle AD Gruppe
XNSG_LOGIN LDAP_XNSG_LOGIN.png
XNSG_READONLY LDAP_XNSG_READONLY.png
XNSG_ADMINS LDAP_XNSG_ADMINS.png


User in Gruppen aufnehmen

Wenn Sie bereits User im Microsoft Active Directory angelegt haben, können Sie diese den angelegten Gruppen zuordnen. Um einem Microsoft Active Directory-User die Anmeldung an der Anwendung zu ermöglichen, müssen Sie diesen grundsätzlich zunächst in die LOGIN-Gruppe aufnehmen. Danach können Sie ihm je nach Bedarf Gruppen mit spezifischen Berechtigungen hinzufügen.
LDAP_user_in_gruppe_aufnehmen.png
In diesem Beispiel werden wir einen Test-User der READONLY-Gruppe zuweisen, den Login prüfen und das Ganze mit Wahl der ADMIN-Gruppe wiederholen.

Gehen Sie wie folgt vor, um dem User READONLY-Rechte zuzuweisen:

  1. Wählen Sie im Microsoft Active Directory über die Gruppe „XNSG_LOGIN“ – XNSG_LOGIN PropertiesMember.
  2. Fügen Sie den User „LDAP_Test_User“ hinzu.
  3. Wählen Sie im Microsoft Active Directory über die Gruppe „XNSG_READONLY“ – XNSG_READONLY PropertiesMember.
  4. Fügen Sie den User „LDAP_Test_User“ hinzu. Sie können sich nun mit dem „LDAP_Test_User“ an der AEB-Anwendung anmelden, welcher die in der Rolle „XNSG_READONLY“ enthaltene Leseberechtigung hat.
  • Der vollständige UserPrincipalName (LDAP_TEST_User@aebtech.local) muss nicht angegeben werden, da das Suffix @aebtech.local bereits in den LDAP-Einstellungen hinterlegt wurde.
    LDAP_Test_User_Anmelden.png

Der LDAP-User wurde erfolgreich angemeldet und hat nur die von der Rolle „XNSG_READONLY“ enthaltene Leseberechtigungen:
LDAP_Test_User_Leseberechtigung.png

Gehen Sie wie folgt vor, um dem User ADMIN-Rechte zuzuweisen:

  1. Wählen Sie im Microsoft Active Directory über die Gruppe „XNSG_LOGIN“ – XNSG_LOGIN PropertiesMember.
  2. Fügen Sie den User „LDAP_Test_User“ hinzu.
  3. Wählen Sie im Microsoft Active Directory über die Gruppe „XNSG_ADMINs“ – XNSG_ADMINS PropertiesMember.
  4. Fügen Sie den User „LDAP_Test_User“ hinzu.

Sie können sich nun mit dem „LDAP_Test_User“ an der AEB-Anwendung anmelden, welcher die in der Rolle „XNSG_ADMINS“ enthaltenen Administratorrechte hat.

  • Der vollständige UserPrincipalName (LDAP_TEST_User@aebtech.local) muss nicht angegeben werden, da das Suffix @aebtech.local bereits in den LDAP-Einstellungen hinterlegt wurde.

LDAP_Test_User_Anmelden.png

Der LDAP-User wurde erfolgreich angemeldet und hat jetzt die von der Rolle „XNSG_ADMINS“ enthaltenen administrativen Berechtigungen:

LDAP_Test_User_Adminberechtigung.png

Verwandte Beiträge

Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.