Anwender
Administratoren
Dienstleister
Partner
Einleitung
optiGov bietet die Möglichkeit Mitarbeiter automatisch nächtlich über LDAP aus einem Active-Directory (oder vergleichbaren System) zu synchronisieren. Wir empfehlen eine eigene Organisationseinheit (OU) als Teil des ADs anzulegen, um darüber alle Einträge, welche von optiGov übernommen werden sollen, zu synchronisieren. Dabei existieren zwei unterschiedliche Möglichkeiten diesen Import vorzunehmen:
- Basierend auf einzelnen Benutzereinträgen Hier wird innerhalb einer OU (über eine Base-DN) nach allen Einträgen gesucht und diese werden als Mitarbeiter angelegt. Ein Beispielhafter Aufbau wäre:
- Basierend auf Gruppen Hier wird innerhalb einer OU (über eine Base-DN) nach allen Gruppen gesucht. Ist in optiGov eine Einrichtung mit einer solchen Gruppe verknüpft (über den CN der Gruppe - für mehr Details s.u.) werden alle “members” (also alle Mitglieder) dieser Gruppe synchronisiert. Der Vorteil ist, dass dabei nicht nur automatisch Zuständigkeiten zu Einrichtungen übernommen werden, sondern ebenfalls Konten erstellt und Rollen zugewiesen werden können, sodass der Zugriff auf optiGov und die Berechtigungen komplett über das AD gesteuert werden können.
Organisationseinheit
|— Max Mustermann
|— Sabine Musterfrau
|— …Organisationseinheit
|— FB_1 (Gruppe)
|——— Max Mustermann (Mitglied)
|——— Sabine Musterfrau (Mitglied)
|— FB_4 (Gruppe)
|——— Hannah Meyer (Mitglied)
|——— Max Mustermann (Mitglied)
|— …Des Weiteren kann in optiGov ein Filter in LDAP-Syntax für die Suche angeben werden. Da die E-Mail-Adresse ein Pflichtfeld darstellt, empfehlen wir standardmäßig den folgenden Filter: (mail=*@*). Dieser schließt alle Einträge ohne eine E-Mail-Adresse aus.
Konfiguration der Attribute
Da sich die zu übernehmenden Attribute von Anwendungsfall zu Anwendungsfall sehr unterscheiden und der Pflegestand oftmals unterschiedlich ist, bietet optiGov die Möglichkeit diese flexibel über eine eigene Syntax zu konfigurieren.
Dabei werden Wertepaare mit einem , voneinander getrennt und durch ein = ergibt sich eine Zuweisung zwischen AD- und optiGov-Attributen.
Wollen wir zum Beispiel die E-Mail-Adresse und den Vornamen eines Mitarbeiters synchronisieren, so wäre die korrekte Syntax:
mail=email,givenname=vorname
In diesem Beispiel haben wir zwei Werte-Paare:
mail=emailzum Synchronisieren der E-Mail-Adressegivenname=vornamezum Synchronisieren des Vornamens
Auf der linken Seite einer Zuweisung steht immer der Name des AD-Attributes und auf der rechten Seite der Name des optiGov-Attributes.
extensionName muss in der Konfiguration folgendermaßen verwendet werden: extensionname=...Unterstütze Attribute
Folgende Attribute werden auf Seiten von optiGov unterstützt:
emailE-Mail-Adresse [Typ: TEXT]vornameVorname [Typ: TEXT]nachnameNachname [Typ: TEXT]telefonTelefonnummer [Typ: TEXT]faxFaxnummer [Typ: TEXT]raumRaum [Typ: TEXT]oeffentlich_anzeigenÖffentlich anzeigen [Typ: BOOLEAN]chat_anzeigenChat anzeigen [Typ: BOOLEAN]vorname_anzeigenVorname anzeigen [Typ: BOOLEAN]email_anzeigenE-Mail-Adresse anzeigen [Typ: BOOLEAN]vorname_kuerzenVornamen auf einen Buchstaben kürzen [Typ: BOOLEAN]dienstleistungen_erbenDienstleistungen über Einrichtung erben [Typ: BOOLEAN]gebaeude.nameGebäude (Verknüpfung zu einem Gebäude-Objekt über den Namen) [Typ: TEXT]einrichtung.nameEinrichtung (Verknüpfung zu einem Einrichtung-Objekt über den Namen) [Typ: TEXT]anrede.nameAnrede (Verknüpfung zu einem Anrede-Objekt über den Namen) [Typ: TEXT]titel.nameTitel (Verknüpfung zu einem Titel-Objekt über den Namen) [Typ: TEXT]
Erläuterung der Typen:
- [Typ: TEXT] kann ein alpha-numerischer Wert sein
- [Typ: BOOLEAN] kann den Wert
0oder1besitzen
Ergänzung von Konstanten
Ist es notwendig Konstanten bei der Übernahme vor oder hinter einen Wert in optiGov zu schreiben, kann die folgende Syntax verwendet werden.
In diesem Beispiel wurde in dem AD nur die Durchwahl, aber nicht die gesamte Telefonnummer gepflegt, sodass diese in dem AD-Import ergänzt werden muss.
mail=email,{05250/7085}telephonenumber=telefon
Durch den Teil {05250/7085} wird der Wert “05250/7085” vor jede Telefonnummer ergänzt.
Auf diese Weise kann auch eine Einstellung für alle Einträge übernommen werden. Dies kann verwendet werden, wenn z.B. immer der Vorname angezeigt werden soll:
mail=email,{1}=vorname_anzeigen
Verwendung von Funktionen
Die Syntax erlaubt es ebenfalls Funktionen innerhalb von geschwungenen Klammern zu verwenden, um Werte aus dem Active-Directory zu manipulieren.
Dabei stehen folgende Funktionen zur Verfügung:
fn:length(attributname)gibt die Länge des Wertes eines Attributes wiederfn:value(attributname)gibt den Wert eines Attributes wiederfn:substring(attributname; start[; laenge])gibt einen Teil eines Werts eines Attributes wieder. Ein Start muss definiert werden, wobei 0 den Beginn des Wertes definiert. Die Länge ist optional. Ist keine Länge angegeben, wird der Wert bis zum Ende übernommen.fn:replace(attributname; suche; ersetze)ersetzt einen Teil eines Wertes eines Attributes.fn:split(attributname; delimiter)splittet einen Wert eines Attributes anhand eines Delimiters. Das Delimiter darf nicht aus folgenden Zeichen bestehen oder diese enthalten:{;="’?:<>!fn:fallback(attributname; fallback-attributname)verwendet den Wert des ersten angegeben Attributes. Ist dieser aber leer wird der Wert des zweiten Attributes verwendet.
Bedingte Konstanten
In seltenen Fällen soll eine Konstante nur ergänzt werden, wenn eine bestimmte Bedingung zutrifft.
In dem folgenden Beispiel soll die Telefonnummer nur ergänzt werden, wenn die Länge des Wertes kleiner als 4 ist:
{fn:length(phone)<4?05250/7085:}phone=telefon
In dem folgenden Beispiel soll der Vorname ausgeblendet, wenn der Nachname (Feld “sn”) “Privat” lautet:
mail=email,{fn:value(sn)==Privat?0:1}=vorname_anzeigen
Einmalige Übernahme von Attributen
Setzen Sie ein * hinter das Gleichzeichen vor einem optiGov-Attribut mit dem Typen Text oder Boolean, so wird der Wert dieses Attributes nur übernommen, wenn der zugehörige Datensatzes in optiGov erstellt wird.
Dies eignet sich hervorragend, um Attribute z.B. nur zu setzen, wenn der entsprechende Mitarbeiter in optiGov gerade angelegt wird und ein bestimmter Wert wie z.B. die Sichtbarkeits-Einstellung perspektivisch manuell bearbeitet werden soll.
Ein Beispiel für diesen Fall wäre demnach: ldapattribute=*oeffentlich_anzeigen
Setzen Sie ein ? hinter das Gleichzeichen vor einem optiGov-Attribut mit dem Typen Text, so wird der Wert dieses Attributes nur übernommen, wenn der Wert des zugehörigen Datensatzes in optiGov leer ist.
Dies eignet sich hervorragend, um Attribute z.B. nur zu übertragen, wenn in optiGov kein anderer Wert durch einen vorherigen Sync oder manuelle Übertragung bereits hinterlegt wurde.
Ein Beispiel für diesen Fall wäre demnach: ldapattribute=?telefon
Konfiguration der Gruppen
Haben Sie in den Einstellungen die Option “Mitarbeiter über Gruppen synchronisieren” aktiviert, so wird in der Base-DN nur nach Gruppen gesucht und sofern diese mit einer Einrichtung in optiGov verknüpft sind aus diesen alle Mitarbeiter synchronisiert.
Dabei werden ebenfalls alle Untergruppen einer Gruppe berücksichtigt und sofern keine Einrichtung mit dem CN einer Untergruppe vorhanden ist die Mitarbeiter dieser Untergruppe der überliegenden zugehörigen Einrichtung zugewiesen.
Die Verknüpfung zu einer Einrichtung können Sie in der Bearbeitung einer Einrichtung unter dem Punkt “LDAP-Konfiguration vornehmen”. Dabei muss das Feld “Als LDAP-Gruppe verwenden” auf “Ja” gesetzt werden und das Feld “Wert des CN-Feld der Gruppe” mit dem CN der Gruppe befüllt werden.
Auf diese Weise kann unter dem Menüpunkt “Administration” bei den Rollen ebenfalls pro Rolle eine Gruppe verknüpft werden, welche dann aber nicht die Mitglieder dieser Gruppe als Mitarbeiter anlegt, sondern als Benutzerkonto mit den Berechtigungen der jeweiligen Rolle erstellt. Ist ein Mitarbeiter mit der selben E-Mail-Adresse vorhanden, wird dieser automatisch mit dem Konto des Mitarbeiters verknüpft.