- Voraussetzung: LDAP-Konfiguration 2: Zertifikate hinterlegen und LDAP-Konfiguration 3: Gruppen- und Rolleneinstellungen
Die zuvor angelegten Anwendungsrollen werden nun im Microsoft Active Directory als Gruppen ergänzt.
- Wichtig ist, dass die neuen Gruppen auch in Ihrem DN-Suchpfad enthalten sind, den Sie in den LDAP-Verbindungseinstellungen festgelegt haben, siehe LDAP-Konfiguration 1: Server und Parameter.
- In unseren Beispielen verwenden wir das Microsoft Active Directory und dessen Verwaltungskonsole.
Gruppen anlegen
- Starten Sie die Verwaltungskonsole in Ihrem Microsoft Active Directory.
- Wählen Sie unter Gruppen „XNSG_Groups“.
- Erstellen Sie im bereits konfigurierten DN-Suchpfad Gruppen mit gleichem Namen wie die angelegten Rollen, siehe LDAP-Konfiguration 3: Gruppen- und Rolleneinstellungen.
- Aktivieren Sie für die jeweilige Gruppe bei Group scope „Global“ und bei Group type „Security“.
XNSG Rolle | AD Gruppe |
XNSG_LOGIN | ![]() |
XNSG_READONLY | ![]() |
XNSG_ADMINS | ![]() |
User in Gruppen aufnehmen
Wenn Sie bereits User im Microsoft Active Directory angelegt haben, können Sie diese den angelegten Gruppen zuordnen. Um einem Microsoft Active Directory-User die Anmeldung an der Anwendung zu ermöglichen, müssen Sie diesen grundsätzlich zunächst in die LOGIN-Gruppe aufnehmen. Danach können Sie ihm je nach Bedarf Gruppen mit spezifischen Berechtigungen hinzufügen.
In diesem Beispiel werden wir einen Test-User der READONLY-Gruppe zuweisen, den Login prüfen und das Ganze mit Wahl der ADMIN-Gruppe wiederholen.
Gehen Sie wie folgt vor, um dem User READONLY-Rechte zuzuweisen:
- Wählen Sie im Microsoft Active Directory über die Gruppe „XNSG_LOGIN“ – XNSG_LOGIN Properties – Member.
- Fügen Sie den User „LDAP_Test_User“ hinzu.
- Wählen Sie im Microsoft Active Directory über die Gruppe „XNSG_READONLY“ – XNSG_READONLY Properties – Member.
- Fügen Sie den User „LDAP_Test_User“ hinzu. Sie können sich nun mit dem „LDAP_Test_User“ an der AEB-Anwendung anmelden, welcher die in der Rolle „XNSG_READONLY“ enthaltene Leseberechtigung hat.
- Der vollständige UserPrincipalName (LDAP_TEST_User@aebtech.local) muss nicht angegeben werden, da das Suffix @aebtech.local bereits in den LDAP-Einstellungen hinterlegt wurde.
Der LDAP-User wurde erfolgreich angemeldet und hat nur die von der Rolle „XNSG_READONLY“ enthaltene Leseberechtigungen:
Gehen Sie wie folgt vor, um dem User ADMIN-Rechte zuzuweisen:
- Wählen Sie im Microsoft Active Directory über die Gruppe „XNSG_LOGIN“ – XNSG_LOGIN Properties – Member.
- Fügen Sie den User „LDAP_Test_User“ hinzu.
- Wählen Sie im Microsoft Active Directory über die Gruppe „XNSG_ADMINs“ – XNSG_ADMINS Properties – Member.
- Fügen Sie den User „LDAP_Test_User“ hinzu.
Sie können sich nun mit dem „LDAP_Test_User“ an der AEB-Anwendung anmelden, welcher die in der Rolle „XNSG_ADMINS“ enthaltenen Administratorrechte hat.
- Der vollständige UserPrincipalName (LDAP_TEST_User@aebtech.local) muss nicht angegeben werden, da das Suffix @aebtech.local bereits in den LDAP-Einstellungen hinterlegt wurde.
Der LDAP-User wurde erfolgreich angemeldet und hat jetzt die von der Rolle „XNSG_ADMINS“ enthaltenen administrativen Berechtigungen:
Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.