🔌

Anbindung Active Directory

Anwender

Administratoren

📬Einrichtung BundID 👫CSV-Mitarbeiter-Import 🔌Anbindung Active Directory 🗄️Anbindung d.velop documents 📅Anbindung Exchange Server 🎟️Einrichtung Besucherverwaltung 📝Anbindung Formularserver

Dienstleister

🔍Such- und GraphQL-API 📅Einbindung Terminvereinbarung

Partner

📂Anbindung DMS 📝Anbindung Formularserver 🔑OAuth2.0

Einleitung

optiGov bietet die Möglichkeit Mitarbeiter automatisch nächtlich über LDAP aus einem Active-Directory (oder vergleichbaren System) zu synchronisieren. Wir empfehlen eine eigene Organisationseinheit (OU) als Teil des ADs anzulegen, um darüber alle Einträge, welche von optiGov übernommen werden sollen, zu synchronisieren. Dabei existieren zwei unterschiedliche Möglichkeiten diesen Import vorzunehmen:

Basierend auf einzelnen Benutzereinträgen Hier wird innerhalb einer OU (über eine Base-DN) nach allen Einträgen gesucht und diese werden als Mitarbeiter angelegt. Ein Beispielhafter Aufbau wäre:

Organisationseinheit
|— Max Mustermann
|— Sabine Musterfrau
|— …

Basierend auf Gruppen Hier wird innerhalb einer OU (über eine Base-DN) nach allen Gruppen gesucht. Ist in optiGov eine Einrichtung mit einer solchen Gruppe verknüpft (über den CN der Gruppe - für mehr Details s.u.) werden alle “members” (also alle Mitglieder) dieser Gruppe synchronisiert. Der Vorteil ist, dass dabei nicht nur automatisch Zuständigkeiten zu Einrichtungen übernommen werden, sondern ebenfalls Konten erstellt und Rollen zugewiesen werden können, sodass der Zugriff auf optiGov und die Berechtigungen komplett über das AD gesteuert werden können.

Organisationseinheit
|— FB_1 (Gruppe)
|——— Max Mustermann (Mitglied)
|——— Sabine Musterfrau (Mitglied)
|— FB_4 (Gruppe)
|——— Hannah Meyer (Mitglied)
|——— Max Mustermann (Mitglied)
|— …

Des Weiteren kann in optiGov ein Filter in LDAP-Syntax für die Suche angeben werden. Da die E-Mail-Adresse ein Pflichtfeld darstellt, empfehlen wir standardmäßig den folgenden Filter: (mail=*@*). Dieser schließt alle Einträge ohne eine E-Mail-Adresse aus.

Konfiguration der Attribute

Da sich die zu übernehmenden Attribute von Anwendungsfall zu Anwendungsfall sehr unterscheiden und der Pflegestand oftmals unterschiedlich ist, bietet optiGov die Möglichkeit diese flexibel über eine eigene Syntax zu konfigurieren.

Dabei werden Wertepaare mit einem , voneinander getrennt und durch ein = ergibt sich eine Zuweisung zwischen AD- und optiGov-Attributen.

Wollen wir zum Beispiel die E-Mail-Adresse und den Vornamen eines Mitarbeiters synchronisieren, so wäre die korrekte Syntax:

mail=email,givenname=vorname

In diesem Beispiel haben wir zwei Werte-Paare:

mail=email zum Synchronisieren der E-Mail-Adresse
givenname=vorname zum Synchronisieren des Vornamens

Auf der linken Seite einer Zuweisung steht immer der Name des AD-Attributes und auf der rechten Seite der Name des optiGov-Attributes.

💡

Hinweis: Die Attributsnamen auf Seiten der linken Seite eines Paares in der Konfiguration sollten i.d.R. immer klein geschrieben werden, auch wenn Ihnen das Attribut anders angezeigt wird (z.B. im LDAP-Explorer, o.Ä.). Ein Beispiel: Das Attribut extensionName muss in der Konfiguration folgendermaßen verwendet werden: extensionname=...

Unterstütze Attribute

Folgende Attribute werden auf Seiten von optiGov unterstützt:

email E-Mail-Adresse [Typ: TEXT]
vorname Vorname [Typ: TEXT]
nachname Nachname [Typ: TEXT]
telefon Telefonnummer [Typ: TEXT]
fax Faxnummer [Typ: TEXT]
raum Raum [Typ: TEXT]
oeffentlich_anzeigen Öffentlich anzeigen [Typ: BOOLEAN]
chat_anzeigen Chat anzeigen [Typ: BOOLEAN]
vorname_anzeigen Vorname anzeigen [Typ: BOOLEAN]
email_anzeigen E-Mail-Adresse anzeigen [Typ: BOOLEAN]
vorname_kuerzen Vornamen auf einen Buchstaben kürzen [Typ: BOOLEAN]
dienstleistungen_erben Dienstleistungen über Einrichtung erben [Typ: BOOLEAN]
gebaeude.name Gebäude (Verknüpfung zu einem Gebäude-Objekt über den Namen) [Typ: TEXT]
einrichtung.name Einrichtung (Verknüpfung zu einem Einrichtung-Objekt über den Namen) [Typ: TEXT]
anrede.name Anrede (Verknüpfung zu einem Anrede-Objekt über den Namen) [Typ: TEXT]
titel.name Titel (Verknüpfung zu einem Titel-Objekt über den Namen) [Typ: TEXT]

Erläuterung der Typen:

[Typ: TEXT] kann ein alpha-numerischer Wert sein
[Typ: BOOLEAN] kann den Wert 0 oder 1 besitzen

Ergänzung von Konstanten

Ist es notwendig Konstanten bei der Übernahme vor oder hinter einen Wert in optiGov zu schreiben, kann die folgende Syntax verwendet werden.

In diesem Beispiel wurde in dem AD nur die Durchwahl, aber nicht die gesamte Telefonnummer gepflegt, sodass diese in dem AD-Import ergänzt werden muss.

mail=email,{05250/7085}telephonenumber=telefon

Durch den Teil {05250/7085} wird der Wert “05250/7085” vor jede Telefonnummer ergänzt.

Auf diese Weise kann auch eine Einstellung für alle Einträge übernommen werden. Dies kann verwendet werden, wenn z.B. immer der Vorname angezeigt werden soll:

mail=email,{1}=vorname_anzeigen

Verwendung von Funktionen

Die Syntax erlaubt es ebenfalls Funktionen innerhalb von geschwungenen Klammern zu verwenden, um Werte aus dem Active-Directory zu manipulieren.

Dabei stehen folgende Funktionen zur Verfügung:

fn:length(attributname) gibt die Länge des Wertes eines Attributes wieder
fn:value(attributname) gibt den Wert eines Attributes wieder
fn:substring(attributname; start[; laenge]) gibt einen Teil eines Werts eines Attributes wieder. Ein Start muss definiert werden, wobei 0 den Beginn des Wertes definiert. Die Länge ist optional. Ist keine Länge angegeben, wird der Wert bis zum Ende übernommen.
fn:replace(attributname; suche; ersetze) ersetzt einen Teil eines Wertes eines Attributes.
fn:split(attributname; delimiter) splittet einen Wert eines Attributes anhand eines Delimiters. Das Delimiter darf nicht aus folgenden Zeichen bestehen oder diese enthalten: { ; = " ’ ? : < > !
fn:fallback(attributname; fallback-attributname) verwendet den Wert des ersten angegeben Attributes. Ist dieser aber leer wird der Wert des zweiten Attributes verwendet.

Bedingte Konstanten

In seltenen Fällen soll eine Konstante nur ergänzt werden, wenn eine bestimmte Bedingung zutrifft.

In dem folgenden Beispiel soll die Telefonnummer nur ergänzt werden, wenn die Länge des Wertes kleiner als 4 ist:

{fn:length(phone)<4?05250/7085:}phone=telefon

In dem folgenden Beispiel soll der Vorname ausgeblendet, wenn der Nachname (Feld “sn”) “Privat” lautet:

mail=email,{fn:value(sn)==Privat?0:1}=vorname_anzeigen

Einmalige Übernahme von Attributen

Setzen Sie ein * hinter das Gleichzeichen vor einem optiGov-Attribut mit dem Typen Text oder Boolean, so wird der Wert dieses Attributes nur übernommen, wenn der zugehörige Datensatzes in optiGov erstellt wird.

Dies eignet sich hervorragend, um Attribute z.B. nur zu setzen, wenn der entsprechende Mitarbeiter in optiGov gerade angelegt wird und ein bestimmter Wert wie z.B. die Sichtbarkeits-Einstellung perspektivisch manuell bearbeitet werden soll.

Ein Beispiel für diesen Fall wäre demnach: ldapattribute=*oeffentlich_anzeigen

Setzen Sie ein ? hinter das Gleichzeichen vor einem optiGov-Attribut mit dem Typen Text, so wird der Wert dieses Attributes nur übernommen, wenn der Wert des zugehörigen Datensatzes in optiGov leer ist.

Dies eignet sich hervorragend, um Attribute z.B. nur zu übertragen, wenn in optiGov kein anderer Wert durch einen vorherigen Sync oder manuelle Übertragung bereits hinterlegt wurde.

Ein Beispiel für diesen Fall wäre demnach: ldapattribute=?telefon

Konfiguration der Gruppen

Haben Sie in den Einstellungen die Option “Mitarbeiter über Gruppen synchronisieren” aktiviert, so wird in der Base-DN nur nach Gruppen gesucht und sofern diese mit einer Einrichtung in optiGov verknüpft sind aus diesen alle Mitarbeiter synchronisiert.

Dabei werden ebenfalls alle Untergruppen einer Gruppe berücksichtigt und sofern keine Einrichtung mit dem CN einer Untergruppe vorhanden ist die Mitarbeiter dieser Untergruppe der überliegenden zugehörigen Einrichtung zugewiesen.

Die Verknüpfung zu einer Einrichtung können Sie in der Bearbeitung einer Einrichtung unter dem Punkt “LDAP-Konfiguration vornehmen”. Dabei muss das Feld “Als LDAP-Gruppe verwenden” auf “Ja” gesetzt werden und das Feld “Wert des CN-Feld der Gruppe” mit dem CN der Gruppe befüllt werden.

Automatische Erstellung von Konten

Auf diese Weise kann unter dem Menüpunkt “Administration” bei den Rollen ebenfalls pro Rolle eine Gruppe verknüpft werden, welche dann aber nicht die Mitglieder dieser Gruppe als Mitarbeiter anlegt, sondern ein Konto in optiGov mit den Berechtigungen der jeweiligen Rolle erstellt. Ist ein Mitarbeiter mit der selben E-Mail-Adresse vorhanden, wird dieser automatisch mit dem Konto des Mitarbeiters verknüpft.

Beim Erstellen eines Kontos über diesen Weg wird automatisch eine Informationsmail darüber an die verwendete E-Mailadresse gesendet. Wollen Sie die Berechtigungen des Benutzers ändern, können Sie diesen in eine andere Gruppe verschieben. Scheidet der Mitarbeiter aus Ihrem Active Directory aus, wird das Konto automatisch gelöscht.

Einleitung
Konfiguration der Attribute
Unterstütze Attribute
Ergänzung von Konstanten
Verwendung von Funktionen
Bedingte Konstanten
Einmalige Übernahme von Attributen
Konfiguration der Gruppen
Automatische Erstellung von Konten