Active Directory Connector

Optional:
Konfiguration des contentXXL Active Directory Connectors

 

 

contentXXL erfordert standardmäßig keine Integration in die Windows Benutzerverwaltung (NTLM/Active Directory). In diesem Fall kann dieser Abschnitt übersprungen werden.

Benutzer können sich standardmäßig über ein Formular am contentXXL System anmelden (form-based login). Optional ist es möglich, contentXXL mit integrierter Windows Authentifikation zu betreiben. Die bestehende Windows-Anmeldung wird in diesem Fall automatisch an contentXXL durchgereicht und berechtigte Benutzer automatisch angemeldet.

Eine zusätzliche Eingabe ist nicht erforderlich (SSO, Single Sign On).

Der Benutzer muss dazu allerdings vorher in contentXXL angelegt und mit entsprechenden Rechten ausgestattet werden.

Diese Funktionalität ist Bestandteil des Grundsystems und erfordert keine zusätzlichen Lizenzen für contentXXL. Selbstverständlich ist die Lizenzierung der Windows Benutzer zu beachten. Falls eine größere Anzahl von Benutzern so verwaltet werden soll, empfehlen wir zusätzlich den Einsatz des contentXXL Premium-Moduls „Active Directory Connector“.

Der Einsatz bringt eine Reihe von Vorteilen:

  • Importieren und Aktualisieren der Benutzerdaten/Kontaktdaten aus dem Active Directory (AD)/NTLM über LDA
  • Zuweisung/Zuordnung von Attributen aus dem AD zu Benutzern bzw. Kontaktdaten (z.B. Telefonnummer usw.)
  • Zuweisung/Zuordnung von Windows Benutzergruppen zu contentXXL Rollen, z.B. kann die AD Gruppe „Sales“ der contentXXL Rolle „Vertrieb" zugeordnet werden
  • Aktualisierung der Benutzerdaten während der automatischen Anmeldung

Die Verwaltung von Benutzern, Rollen und Rechten kann so vollständig in die Windows Benutzerverwaltung integriert werden. Kundenspezifische Login-Provider können ebenfalls integriert werden, z.B. Novell NDS etc.

Hinweis: Die contentXXL-Zugriffsrechte (z.B. das Recht HTML zu verwenden) verbleiben im CMS und werden nicht im AD verwaltet, d.h. es sind keinerlei Modifikationen am AD Schema erforderlich. Das AD bleibt das führende Verzeichnis, es sind lediglich Leserechte erforderlich. Kennworte verbleiben im AD und werden nicht zum CMS übertragen.

 

Die Konfiguration des AD Connectors erfolgt auf Portalebene über eine XML-Datei.

~/portaldata/x/activedirectory.xml

x steht für die ID des betreffenden Portals.

 

<ADINTEGRATION>
<CONFIG>
<SETTING key="domain" value="contentXXL" />
<SETTING key="realm" value="contentXXL.com" />
<SETTING key="autoAddUsers" value="true" />
<SETTING key="autoAddRoles" value="true" />
<SETTING key="synchronizeEachLogin" value="true" />
</CONFIG>
<USERPROPERTYMAPPING>
<USER AdProperty="mail" contentXXLProperty="email" />
<USER AdProperty="cn" contentXXLProperty="username" />
<USER AdProperty="givenName" contentXXLProperty="firstname" />
<USER AdProperty="sn" contentXXLProperty="lastname" />
<USER AdProperty="description" contentXXLProperty="department" />
<USER AdProperty="company" contentXXLProperty="company" />
<USER AdProperty="streetAddress" contentXXLProperty="b_street" />
<USER AdProperty="l" contentXXLProperty="b_city" />
<USER AdProperty="st" contentXXLProperty="b_region" />
<USER AdProperty="postalCode" contentXXLProperty="b_zipcode" />
<USER AdProperty="mail" contentXXLProperty="b_email" />
<USER AdProperty="telephoneNumber" contentXXLProperty="b_tel" />
</USERPROPERTYMAPPING>
<GROUPROLEMAPPING>
<ROLE contentXXLRole="BU-contentXXL">
<GROUP adGroup="BU-contentXXL" />
</ROLE>
<ROLE contentXXLRole="BU-communication">
<GROUP adGroup="BU- communication" />
</ROLE>
<ROLE contentXXLRole="development">
<GROUP adGroup="Groupdevelopment" />
</ROLE>
<ROLE contentXXLRole="contentXXL" />
</GROUPROLEMAPPING>
</ADINTEGRATION>

Im Bereich <CONFIG> erfolgen Einstellungen für die zu synchronisierende Domain:

  • <SETTING key="domain" value="contentXXL" /> : Name der Domain, Beispiel: contentXXL
  • domaincontroller: Vollständiger Domainname (FQDN), Beispiel: contentXXL.com
  • <SETTING key="autoAddUsers" value="true" />: falls neue Benutzer automatisch hinzugefügt werden sollen, andernfalls werden nur Aktualisierungen unterstützt.
  • <SETTING key="autoAddRoles" value="true" /> : falls neue Gruppen automatisch als Rollen hinzugefügt werden sollen, andernfalls werden nur Aktualisierungen unterstützt.
  • <SETTING key="synchronizeEachLogin" value="true" />: falls die Synchronisation für einen Benutzer automatisch bei der Anmeldung erfolgen soll.

Im Bereich <USERPROPERTYMAPPING> werden Benutzerinformationen im AD Benutzer bzw. Kontaktinformationen in contentXXL zugeordnet. Die Informationen werden aus dem AD nach contentXXL übernommen. Sie können dann in der contentXXL Benutzerverwaltung nicht geändert werden. Feldnamen bei contentXXL entsprechen den Feldern der Tabellenbenutzer bzw. Kontakte, Feldnamen bei AD entnehmen Sie bitte der Dokumentation des Herstellers.

Im Bereich <GROUPROLEMAPPING> werden Gruppeninformationen im AD Rolleninformationen in contentXXL zugeordnet. Die Zuordnung ermöglicht es, in contentXXL und AD unterschiedliche Namen zu verwenden. Üblicherweise wird z.B. die Gruppe der Administratoren im AD nicht der Rolle Administratoren in contentXXL entsprechen. Es ist möglich, nur Rollen zu importieren, die explizit genannt sind. Mehrere Gruppen können einer Rolle zugeordnet werden. Rollen, die keiner Gruppe zugeordnet sind, werden allen Benutzern zugewiesen.

Hinweis: Der häufigste Fehler beim Transfer von Daten eines Benutzers über den AD Connector ist eine im AD fehlende E-Mail-Adresse. Diese ist für contentXXL zwingend erforderlich und muss eindeutig sein.

 

Konfiguration eines Benutzers für den AD Connector:

 

Der AD Connector wird mit den Rechten eines definierten Benutzers betrieben. Der Benutzer wird in der Tabelle PortalSettings konfiguriert, z.B.:

  • Settings key: adusername
  • Settings value: contentXXL\Testuser
  • Settings key: adpassword
  • Settings value: **********

Hinweis: Das Lesen von AD Informationen ist unter Windows kein standardmäßig vergebenes Recht. Dieses Recht muss dem dazu verwendeten Benutzer explizit erteilt werden. Verwenden Sie aus Gründen der Sicherheit keine existierenden Benutzer für diese Funktionalität. Erteilen Sie nur die jeweils notwendigen Rechte.

Weitere Informationen zum AD Connector, z.B. bei der Integration mehrerer Domains, finden Sie im Partner- und Supportportal.

Service Links