 |
PARTsolutions unterstützt mehrere alternative Benutzerdatenbanken. Es kann eine oder alle gleichzeitig aktiv sein. Allerdings ist nur Windows für eine automatische Anmeldung in den Clients tauglich. In allen anderen Fällen ist zwingend die manuelle Eingabe des Passwortes erforderlich.
Damit die Benutzer/Gruppen auf der Registerseite Rechtezuordnung angezeigt werden, setzen Sie auf den entsprechenden Registerseiten ein Häkchen unter Aktiv. Die Reihenfolge der Auswertung entspricht der Reihenfolge der Reiter: Windows, dann ERP, dann die restlichen...
Begrenzung für Abfragen: Maximalwert ist 999999.
Begrenzen kann hilfreich sein, kann andererseits aber auch dazu führen, dass die dargestellten Ergebnisse nicht vollständig sind.
Spätestens ab einer Menge von >9999 Einträgen im AD kommt es definitiv dazu, dass die Suchfunktion unter Rechtezuordnung -> Bekannte Benutzer/Gruppen nicht mehr zuverlässig funktioniert, eventuell aber auch schon früher, was allerdings durch den Button abgefangen werden kann.
Grundsätzlich ist das Verhalten stark abhängig vom konkreten AD-Server.
Konfiguration von SSO über Microsoft Azure
Note: OpenID funktioniert nicht in Batch-Prozessen (daher muss unter Benutzerdatenbanken auch Windows aktiviert sein).
Im Folgenden finden Sie eine detaillierte Beschreibung, die Sie lediglich auf Ihre eigene Umgebung entsprechend anpassen müssen.
Legen Sie im ersten Schritt in Ihrem Unternehmen in Microsoft Azure eine App-Registrierung für CADENAS PARTsolutions/3DFindIt an.
Rufen Sie https://portal.azure.com auf.
Melden Sie sich mit Ihrem Microsoft-Konto bei Microsoft Azure an.
Füllen Sie den Dialog Anwendung registrieren aus und klicken Sie abschließend .
Name: Tragen Sie einen beliebigen Anzeigenamen ein (z.B. "CADENAS PARTsolutions/3DFindIt").
Unterstützte Kontotypen: Wählen Sie die Option Nur Konten in diesem Organisationsverzeichnis (nur "<Ihre Firma>" - einzelner Mandant) (in der beispielhaften Abbildung "CADENAS Technologies AG"),
Umleitungs-URI (optional): Wählen Sie im Listenfeld Öffentlicher Client/nativ (mobil und Desktop) und tragen Sie im Eingabefeld http://localhost/auth/login ein.
Klicken Sie URI hinzufügen und tragen Sie folgende Zeilen ein:
Selektieren Sie den Punkt Tokenkonfiguration und klicken Sie auf Gruppenanspruch hinzufügen.
Füllen Sie die Dialogseite Gruppenanspruch bearbeiten folgendermaßen aus:
Öffnen Sie die Zusammenfassung. Hier können Sie die gewünschten IDs in die Zwischenablage kopieren um sie dann in PARTadmin einzufügen.
Selektieren Sie in PARTadmin unter Kategorie Rechteverwaltung die Registerseite Benutzerdatenbanken und die Unterseite OpenID.
Selektieren Sie unter Basic Type die Option Microsoft Azure AD.
Füllen Sie die einzelnen Felder entsprechend der Daten aus Microsoft Azure aus:
Issuer: Diese Url gibt den Pfad zum OpenID-Provider Realm bzw. des Azure-Tenant an.
https://login.microsoftonline.com/<Tenant-ID>/
Client-ID/App-ID: Die Applikations-Id bzw Client-Id für PARTsolutions im OpenID-Provider (AppId in der Applikations-Registrierung des Azure-Portals)
Client-Secret: Das Client-Secret, das in der App-Registrierung für diesen Client hinterlegt ist. Kann weggelassen werden, wenn kein Auflisten der User/Gruppen über die Graph-Api benötigt wird. Ist nur für Azure relevant.
Die gewünschte Gruppe kann auch manuell zugefügt werden, indem zur Ermittlung des korrekten Gruppennamens zuvor Testen... verwendet wird.
Normalerweise wird die Option nicht unbedingt benötigt, es sei denn, die Option Zusätzliche Attribute über den UserInfo-Endpunkt ermitteln ist gesetzt.
Unter Zertifikate & Geheimnisse können Sie IDs erzeugen und auslesen.
Scopes: Benötigte Scopes für die Authentifizierung. Getrennt durch Leerzeichen. Standard ist "openid offline_access"
Username-Claims (optional): Kommaseparierte Liste von Claims die als Quelle für die Benutzer-Id betrachtet werden sollen. Voreinstellung ist hier "preferred_username,upn,email,sub"
Gruppen-Claim (optional): Name des Claims, aus dem die Gruppenzugehörigkeit extrahiert werden soll. Standard ist "groups" für Azure und "roles" für alles andere. Kann auf jeden anderen Claim hier umgestellt werden.
Erforderliche Gruppe: Name einer Gruppe, in der der Benutzer sein muss, damit er als gültiger Benutzer angesehen wird. Wenn kein Eintrag angegeben ist, werden alle Benutzer als gültig angesehen.
Zusätzliche Attribute über den UserInfo-Endpunkt ermitteln: Nicht relevant bei Azure.
Öffnen Sie PARTadmin -> Kategorie Rechteverwaltung -> Registerseite Rechtezuordnung.
-> Das Dialogfenster Authentifizierung überprüfen... wird geöffnet.
Wählen Sie die Option OPENID und klicken Sie Anmelden....
-> Das Dialogfenster Benutzer authentifizieren wird geöffnet.
Klicken Sie auf Ihren Account, geben Sie Ihr Passwort ein und klicken Sie .
Merken Sie sich den gewünschten User bzw. die gewünschte Gruppe und schließen Sie den Dialog.
Selektieren Sie den Eintrag User oder Groups und klicken Sie .
Tragen Sie User- bzw. Gruppenname ein und bestätigen Sie mit .
Weisen Sie der selektierten Gruppe bzw. dem User den gewünschten Rollensatz zu.
Starten Sie zum Testen PARTdataManager und klicken Sie auf den Button Benutzer authentifizieren/wechseln.
![[Hinweis]](https://webapi.partcommunity.com/service/help/latest/pages/de/installation_ecatalogsolutions/doc/images/note.png)
Soll ein Login per Windows-User möglich sein (Autologin), muss auf der Registerseite Windows die Option Aktiv aktiviert sein.
Per Default ist die Option Aktiv aktiviert, was in den allermeisten Fällen sinnvoll ist.
Wird sie deaktiviert, kann keine Windows-basierte Benutzerauthentifizierung erfolgen.
Verwende globalen Katalog für Abfragen: Aktivieren Sie die Option bei einem Active Directory Forest (Default ist "aus")
Begrenzung für Abfragen: Achten Sie bitte darauf, dass keine 0 eingetragen ist!
Das passiert dann, wenn man den Haken Aktiv für Windows entfernt, dann PARTadmin beendet und neu startet und dann die Benutzerdatenbank "Windows" wieder aktiviert.
Verschachtelte Gruppenzugehörigkeiten berücksichtigen: Die Auswertung erfolgt rekursiv über hierarchisch übergeordnete Ebenen.
Extrahiere Gruppenzugehörigkeit aus speziellem AD/LDAP Attribut:
![[Tipp]](https://webapi.partcommunity.com/service/help/latest/pages/de/installation_ecatalogsolutions/doc/images/tip.png)
Sollte es Probleme mit dem Autologin im PARTapplicationServer über Windows-Username geben, prüfen Sie bitte folgende Grundeinstellungen:
Im Dialog "Eigenschaften von Internet" -> Registerseite "Erweitert" muss die Option "Integrierte Windows-Authentifizierung aktivieren" aktiviert sein.
Im Dialog "Sicherheitseinstellungen - Internetzone" muss die Option "Automatisches Anmelden nur in der Intranetzone" aktiviert sein.
Die http-Adresse des Appservers muss in die lokale Sicherheitszone mit aufgenommen sein.
Soll im Dialog Benutzerauthentifizierung der Login mit ERP-Benutzern möglich sein, muss die Option Aktiv aktiviert sein (Default).
Legen Sie Benutzer via Button an. Vergeben Sie im Dialog Name und Passwort. Wenn Sie das Passwort später ändern möchten (via ), setzen Sie einfach ein neues (das alte wird nicht angezeigt).
Sind oben genannte Voraussetzungen erfüllt, kann die Benutzerauthentifizierung im Dialog Benutzer authentifizieren mit Benutzer und Passwort Eingabe erfolgen.
Stehen mehrere Rollen zur Verfügung, öffnet sich das Dialogfenster Rolle wählen.
Kann für keinen Benutzer eine Authentifizierung erfolgen, erscheint die Fehlermeldung Ungültiger Username oder Passwort!:
