Synchronisation der LDAP-Benutzerregistry

Die Synchronisation der Benutzerregistry vereinfacht das Maximo® Application Suite -Benutzermanagement durch die Synchronisation von Benutzern und Gruppen zwischen einem LDAP-Server und Ihrer lokalen Maximo Application Suite -Benutzerregistry. 

Benutzersynchronisation

Die Synchronisation ist eine Möglichkeit vom LDAP-Server zu Maximo Application Suiteund alle Aktualisierungen auf der LDAP-Seite werden zur Synchronisationszeit zusammengeführt.

Wenn Ihre Umgebung für LDAP-Authentifizierung konfiguriert ist, können Sie die vollständige Benutzer- und Gruppenregistry synchronisieren, oder Sie können eine gefilterte Untergruppe der LDAP-Benutzerregistry synchronisieren.

Wenn Ihre Umgebung für die lokale oder die SAML-Authentifizierung konfiguriert ist, können Sie einen externen LDAP-Server angeben, mit dem die Benutzer und Gruppen synchronisiert werden sollen.

Während der Synchronisation werden die zugeordneten LDAP-Benutzer automatisch als Maximo Application Suite -Benutzer hinzugefügt. Wenn der Benutzer aus LDAP synchronisiert wird, wird der Feldname owner in MongoDB auf scim gesetzt, was bedeutet, dass es sich um einen extern verwalteten Benutzer handelt.

Die synchronisierten Benutzer werden zunächst nur mit Anwendungsberechtigung hinzugefügt, können aber bei Bedarf mit Verwaltungsberechtigung zugeordnet werden.Den Benutzern kann während der ersten Synchronisation auch ein bestimmter Zugriff auf Anwendungen gewährt werden.

Im Allgemeinen können synchronisierte personenbezogene Daten in Maximo Application Suitenicht aktualisiert werden. Nur Benutzerberechtigungen und Anwendungszugriff können in Maximo Application Suiteverwaltet werden. Wenn die Benutzerauthentifizierung lokal ist, können Kennwörter auch in Maximo Application Suiteverwaltet werden.

Wichtig: Da die Synchronisation nach einem Zeitplan ausgeführt wird, können Abweichungen zwischen Synchronisationen vorübergehend auftreten. Wenn beispielsweise eine zuvor synchronisierte Benutzer-ID aus LDAP entfernt wird, kann diese Benutzer-ID weiterhin zum Anmelden bei Maximo Application Suite verwendet werden, bis das Entfernen des Benutzers synchronisiert wird. Wenn die synchronisierten LDAP-Benutzer die lokale Authentifizierung verwenden, hat die Benutzer-ID weiterhin Zugriff. Wenn die LDAP- oder SAML-Authentifizierung verwendet wird, schlägt die Anmeldung fehl, weil der Benutzer in LDAP nicht mehr aktiv ist.

Synchronisation von Benutzern und Gruppen mit SCIM 2.0

Ab Maximo Application Suite 9.0können Sie Benutzer und Gruppen von einem externen Identitätsprovider (IdP) synchronisieren, indem Sie das SCIM-Protokoll (System for Cross-domain Identity Management) 2.0 verwenden. Weitere Informationen finden Sie unter Benutzersynchronisation mit SCIM 2.0 .

Synchronisationsoperationen für Benutzer und Gruppen

Die folgenden Synchronisationsoperationen für Benutzer und Gruppen werden unterstützt.

Benutzeroperationen
Tabelle 1. Benutzersynchronisationsoperationen
Operation Beschreibung
Insert Fügt einen Benutzer hinzu, wenn er nicht in der Maximo Application Suite -Benutzerregistry vorhanden ist. Wenn der Benutzer zuvor inaktiviert wurde, weil er vom LDAP-Server entfernt wurde, aber jetzt wieder zum LDAP-Server hinzugefügt wird, werden sie reaktiviert. Der Benutzer wird zunächst mit einem IDP-Aussteller (Identitätsprovider), einer Berechtigung und Anwendungszugriff eingerichtet. Wenn SMTP konfiguriert ist, erhalten neu erstellte Benutzer auch eine Begrüßungs-E-Mail.
Update Aktualisiert einen Benutzer, wenn er in der Maximo Application Suite -Benutzerregistry vorhanden ist Die Benutzerberechtigung und der Anwendungszugriff werden nicht aktualisiert.
Skip Überspringt die Benutzeraktualisierung, wenn seit der letzten Synchronisation keine Änderungen am LDAP-Server vorgenommen wurden. Das geprüfte Feld ist ldap.meta.lastModified.
Delete Inaktiviert den Benutzer in Maximo Application Suite , wenn der Benutzer vom LDAP-Server entfernt wird.
Gruppenoperationen
Tabelle 2. Gruppensynchronisationsoperationen
Operation Beschreibung
Insert Fügt eine Gruppe hinzu, wenn sie nicht in der Benutzerregistry von Maximo Application Suite vorhanden ist
Update Aktualisiert einen Benutzer, wenn er in der Maximo Application Suite -Benutzerregistry vorhanden ist Die Benutzerberechtigung und der Anwendungszugriff werden nicht aktualisiert.

Gruppen werden immer aktualisiert und Maximo Application Suite löscht sie nicht im Rahmen des Synchronisationsprozesses.

LDAP-Konfigurationsattribute

Die LDAP-Filterkonfiguration von Maximo Application Suite basiert auf IBM® Liberty.

Die folgenden Konfigurationsbeispiele basieren auf Microsoft Active Directory. Weitere Typen von Benutzerregistrys finden Sie in IBM Liberty Dokumentation .

Tabelle 3. LDAP-Konfigurationsattribute
Parameter Details Beispiel
URL URL für den LDAP-Server hat folgendes Format: protocol://<hostname>:<port>
Hinweis: Secure LDAP (LDAPS) ist das einzige zulässige Protokoll. Nicht-TLS Verbindungen sind nicht zulässig.
 Example: ldaps://MSAD2021.fyre.ibm.com:636
Base DN Der Pfad in der Objekthierarchie des Verzeichnisservers. Example: OU=FYRE,DC=MSAD2021,DC=fyre,DC=ibm,DC=com
Bind DN Der Bindungs-DN wird verwendet, um die Bindung an einen LDAP-Server herzustellen. Administratoren müssen über ausreichende Berechtigungen verfügen, um Benutzer unter dem DN für die Benutzersuche oder Gruppen unter dem DN für die Gruppensuche zu suchen. Example: CN=wilson,OU=users,OU=FYRE,DC=MSAD2021,DC=fyre,DC=ibm,DC=com
Bind PW Das LDAP-Administratorkennwort.
Certificate Das TLS-Zertifikat für Ihren LDAP-Server. Sie können auch mehrere Zertifikate hinzufügen, wenn Sie eine Zertifikatskette verwenden.
User Base DN Der Pfad auf Benutzerebene in der Objekthierarchie des Verzeichnisservers Wenn der Pfad nicht angegeben ist, wird standardmäßig der Basis-DN verwendet. Example: OU=users,OU=FYRE,DC=MSAD2021,DC=fyre,DC=ibm,DC=com
userFilter Die Abfrage, die verwendet wird, um Benutzer im Verzeichnis zu suchen.

Example 1: (&(sAMAccountName=%v)(objectcategory=user))

Example 2: (&(sAMAccountName=%v)(objectclass=user))
userIdMap Das Feld, das für Benutzer-IDs verwendet wird. Example: user:<sAMAccountName>
Group Base DN Der Pfad auf Gruppenebene in der Objekthierarchie des Verzeichnisservers. Wenn der Pfad nicht angegeben ist, wird standardmäßig der Basis-DN verwendet. Example: OU=groups,OU=FYRE,DC=MSAD2021,DC=fyre,DC=ibm,DC=com
groupFilter Die Abfrage, die verwendet wird, um Gruppen im Verzeichnis zu suchen.

Example 1: (&(cn=%v)(objectcategory=group))

Example 2: (&(cn=%v)(objectclass=group))
groupIdMap Das Feld, das für Gruppen-IDs verwendet wird. Example: *:cn
groupMemberIdMap Ein LDAP-Filter, der die Gruppenzugehörigkeit für Benutzer angibt. Example: memberOf:member

Benutzer-und Gruppenregistry-Zuordnung

Das Benutzerdatenmodell von Maximo Application Suite basiert auf der angepassten Zuordnung der Benutzerdaten, die mit dem LDAP-Server synchronisiert werden.

Ab Maximo Application Suite 9.0können Sie die Benutzerregistrysynchronisation konfigurieren, um Daten für Benutzer aus LDAP mit Maximo Application Suite in der Benutzerschnittstelle zuzuordnen.

Zum Zuordnen von Benutzer-oder Gruppendaten wählen Sie auf der Seite Suite-Verwaltung im seitlichen Navigationsmenü Konfigurationen aus und klicken dann auf Synchronisation der Benutzerregistry. Sie können auch einen vom System festgelegten Standardwert verwenden. Wenn Sie keine angepassten Feldwerte angeben, werden Standardwerte verwendet.

Benutzerzuordnung
Sie können die folgenden Benutzereigenschaften für die Zuordnung zwischen Maximo Application Suite und LDAP verwenden, indem Sie das Feld in LDAP angeben, das dem Eigenschaftsfeld in Maximo Application Suitezugeordnet ist.
Standardbenutzereigenschaften
  • id
  • username
  • displayName
  • title
  • familyName
  • givenName
  • email
  • phoneNumber
Erweiterungen
  • employeeNumber
  • costCenter
  • organization
  • division
  • department
  • manager
Erweiterungen unterstützen angepasste Eigenschaftsnamen, die Sie LDAP-Attributen zuordnen können.
Um ab Maximo Application Suite 9.0.2 sicherzustellen, dass bei der Zuordnung von Benutzereigenschaftswerten keine Standardwerte von LDAP-Benutzern verwendet werden, setzen Sie den Parameterwert " forceMappedValue in der Eigenschaft " spec.config der benutzerdefinierten Ressource " ScimCFG Red Hat® OpenShift® auf " True.
---
spec:
  config:
     forceMappedValue: true
     ...
     userSync:
     ...
      mappings:
        standard:
         displayName: myDisplayName 
         phoneNumber: myPhoneNumber
         ...
Wenn der Wert forceMappedValue True
  • Wenn der Wert forceMappedValue True lautet, kann die Benutzersynchronisierung so geändert werden, dass beim Abrufen von Daten von LDAP-Benutzern die benutzerdefinierte Zuordnung verwendet wird. Wenn der Eigenschaftsname im LDAP-Benutzer nicht gefunden wird, wird die Zeichenfolge NOT_PROVIDED als Wert für die entsprechende Maximo Application Suite eigenschaft verwendet.
  • Wenn für die Zuordnungen " email und " phoneNumber die benutzerdefinierten zugeordneten Eigenschaftsnamen im LDAP-Benutzer nicht gefunden werden, werden für die Eigenschaften " emails und " phoneNumbers des Maximo Application Suite leere Arrays festgelegt, anstatt auf die Standardeigenschaften " emails und " phoneNumber von LDAP-Benutzern zurückzugreifen.
Wenn der Wert forceMappedValue False
  • Wenn der Wert forceMappedValue der Standardwert False bleibt, verwendet die Benutzersynchronisierung die benutzerdefinierte Zuordnung, wenn sie Daten von LDAP-Benutzern abruft. Wenn der Eigenschaftsname im LDAP-Benutzer nicht gefunden wird, verwendet die Benutzersynchronisierung die Standardzuordnung, wenn sie Daten von LDAP-Benutzern abruft. Wenn die Eigenschaft im LDAP-Benutzer weder mit benutzerdefinierter Zuordnung noch mit Standardzuordnung gefunden wird, wird die Zeichenfolge NOT_PROVIDED als Wert für die entsprechende Benutzereigenschaft MAS verwendet.
  • Für die Zuordnungen email und phoneNumbers werden leere Felder verwendet, wenn weder benutzerdefinierte noch Standard-Zuordnungen gefunden werden.
Gruppenzuordnung

Sie können die folgenden Gruppeneigenschaften für die Zuordnung zwischen Maximo Application Suite und LDAP verwenden, indem Sie das Feld in LDAP angeben, das dem Eigenschaftsfeld in Maximo Application Suitezugeordnet wird.

Standardbenutzereigenschaften
  • id
  • displayName
Erweiterungseigenschaften unterstützen angepasste Eigenschaftsnamen, die Sie LDAP-Attributen zuordnen können.

Wenn Sie die folgenden Eigenschaften zuordnen, beachten Sie die folgenden Hinweise:

Hinweis:

Wenn Sie angepasste Zuordnung verwenden, müssen Feldwerte in LDAP eindeutig sein. Zulässige Zeichen für id und username sind Buchstaben und Zahlen -, @, ., _ ohne Leerzeichen.

id

Wenn Sie nach der Erstsynchronisation die Eigenschaftszuordnung für idkonfigurieren, müssen Sie die vorhandenen SCIM-eigenen Benutzer, die den SCIM-Wert in der Eigenschaft owner haben, manuell aus der Maximo Application Suite -Datenbank löschen.

Sie können die vorhandenen SCIM-eigenen Benutzer löschen, indem Sie den folgenden Befehl in MongoDB ausführen.
db.getCollection("User").deleteMany({"owner": "scim"})

Das Löschen vorhandener SCIM-eigener Benutzer ist erforderlich, da Benutzer, die im Cron-Job für die nächste geplante Synchronisation enthalten sind, als neue Benutzer mit unterschiedlichen IDs betrachtet werden. Andernfalls schlägt die Synchronisation dieser Benutzer fehl, weil vorhandene Benutzer in der Datenbank denselben Benutzernamen und dieselbe E-Mail-Adresse verwenden.

username
Die Konfiguration der Eigenschaftszuordnung für username kann sich auf die Authentifizierungsfähigkeit des Benutzers auswirken.
email und phoneNumber

Wenn die Eigenschaften email oder phoneNumber nicht zugeordnet sind, werden eine oder mehrere LDAP-E-Mails und eine oder mehrere LDAP-Telefonnummern in Benutzerdatensätze von Maximo Application Suite kopiert. Diese Synchronisation basiert auf der Definition von Telefonnummern und E-Mails, die für jeden Benutzer auf dem LDAP-Server verfügbar sind.

Wenn Sie die Zuordnung für die Eigenschaft email oder phoneNumber angeben, wird nur eine E-Mail und nur eine Telefonnummer, die durch den zugeordneten Wert angegeben wird, vom LDAP-Benutzer in Maximo Application Suitekopiert.

Wenn Benutzer mehrere E-Mails oder Telefonnummern haben, die dupliziert werden können, kann die Synchronisation fehlschlagen. Um sicherzustellen, dass die Daten ordnungsgemäß synchronisiert werden, verwenden Sie email -und phoneNumber -Informationen, die für jeden Benutzer eindeutig sind.

Informationen und Beispiele zum Zuordnen von Benutzer- und Gruppendaten finden Sie unter Zuordnen von LDAP-Benutzern aus Microsoft Active Directory und Zuordnen von Gruppen aus LDAP zur Anzeige von Gruppenbeschreibungen.

Erweiterungen

In Maximo Application Suite 8.11 und früheren Versionen sind die in der folgenden Tabelle aufgelisteten Erweiterungsfelder nicht in der Benutzerschnittstelle von Maximo Application Suite enthalten. Sie sind Teil des Benutzerobjekts Maximo Application Suite und können von Anwendungen verwendet werden.

Die folgende Tabelle zeigt, wie die LDAP-Felder dem Benutzerobjekt Maximo Application Suite zugeordnet werden.

Tabelle 4. LDAP-Erweiterungsfelder
LDAP-Feld Details
employeeNumber Eine Zeichenfolge-ID, gewöhnlich numerisch oder alphanumerisch, die einer Person in der Regel nach Einstellung bei oder Zuordnung zu einer Organisation zugewiesen wird.
costCenter Gibt den Namen einer Kostenstelle an.
organization Gibt den Namen einer Organisation an.
division Gibt den Namen eines Geschäftsbereichs an.
department Gibt den Namen einer Abteilung an.
manager Der Manager des Benutzers. Ein komplexer Typ, mit dem Service-Provider optional eine Organisationshierarchie darstellen können, indem sie auf das Attribut "ID" eines anderen Benutzers verweisen.

Anpassungen in der angepassten Ressource ScimCfg

Ab Maximo Application Suite 8.9können Sie einige Konfigurationen in der angepassten Ressource ScimCfg ändern, da die Konfigurationen in der Benutzerschnittstelle von Maximo Application Suite nicht verfügbar sind.

Fügen Sie die folgenden Eigenschaften in spec.config der angepassten ScimCfg -Ressourcen hinzu:
customMaxSearchResults
Verwenden Sie customMaxSearchResults , um die maximale Anzahl der Einträge zu konfigurieren, die bei einer Suche zurückgegeben werden können.
ldapType
Verwenden Sie die Eigenschaft " ldapType, um die Standardeinstellung " Custom für " ldapType in der <ldapRegistry> des Servers zu überschreiben. Die folgenden LDAP-Server werden unterstützt:
  • Angepasst. Dies ist der Standardwert.
  • IBM Lotus Domino
  • IBM SecureWay Verzeichnis-Server
  • IBM Tivoli® Directory Server
  • Microsoft Active Directory
  • Netscape-Verzeichnisserver
  • Novell eDirectory
  • Sun Java™ System Directory-Server
customLdapRegistryExtensions
Verwenden Sie die Eigenschaft " customLdapRegistryExtensions, um die Standardeinstellungen für die <ldapRegistry> außer Kraft zu setzen.

Weitere Informationen zu den unterstützten Einstellungen finden Sie unter LDAP-Benutzerregistrierung.

Die Ausnahmen sind ldapType , da diese Eigenschaft in einer separaten eigenständigen Eigenschaft konfigurierbar ist, die Eigenschaften, die über die Scim Sync -CRUD-APIs bereitgestellt werden, Benutzerschnittstelleneigenschaften wie host, port, bindDN, bindPassword, baseDNund einige Eigenschaften, die nicht geändert werden können, wie z. B. id und realm.

Die übrigen Eigenschaften können unter customLdapRegistryExtensionshinzugefügt werden. Weitere Informationen zum Hinzufügen von Eigenschaften finden Sie in dem von Websphere Liberty angegebenen Format.

Hinweis: Die Eigenschaften werden über die LDAP-Synchronisation oder die Benutzerschnittstelle nicht verfügbar gemacht. Durch die Aktualisierung der LDAP-Synchronisationskonfiguration über die API oder Benutzerschnittstelle werden diese Einstellungen jedoch nicht überschrieben.

Beschränkungen

  • In Maximo Application Suite 9.0 und früheren Versionen wird die Benutzersynchronisierung für einen einzelnen LDAP-Server unterstützt.
  • Die Benutzersynchronisation und die Gruppensynchronisation werden in demselben Job durchgeführt.
  • Die Synchronisation mithilfe externer SCIM-APIs wird nicht unterstützt.