Ugrás a fő tartalomhoz

Felhasználókezelés

A Sulinform támogatja a föderációs címlistát a Keycloak IDP segítségével. Az összekötés többféleképpen is megvalósulhat, amit alább részletezünk.

Fogalmak

Read only mode: Az Active Directory rendszerből csak olvasni tud a szoftver, adatokat küldeni nem.
Föderáció: Active Directory címlista
Azure AD/Entra ID: A Microsoft által kínált új, felhőalapú címlistakezelési megoldás.
Truststore: Központi tanúsítványtár
DN: Megkülönböztetési név

Offline használat

Amennyiben nem szeretnénk szinkronizálni a Sulinform rendszerét a föderációnkkal, abban az esetben manuálisan kell felvenni a felhasználókat a Keycloak IDP felületen.

Google Cloud

Jelenleg nem támogatott

Föderációs kapcsolat (Entra ID)

Jelenleg nem támogatott.

Föderációs kapcsolat (Active Directory) munkavállalóknak

Windows Server

Az itt említett lépéseket a Windows Server AD szoftverén belül végeztük el, amihez rendszergazdai hozzáférés szükséges!

A beállítások sikerességéhez elengedhetetlen az alábbi portok megnyitása a hálózaton: 389, 696

Tipp

A 696-os port nem szükséges a read only módhoz, csak full sync esetén, ekkor viszont SSL tanúsítványra is szükség van! (Az SSL tanúsítványt a certificate authority service automatikusan kiállítja, ha telepítve van)

Az IDP az alábbi mezőket kéri be a címtárból, győződjünk eg róla, hogy elérhetőek és ki vannak töltve minden felhasználónál, különben a szinkronizálás hibára fog futni: sAMAccountName, displayName, mail

Amire még szükség van a sikeres üzembe helyezéshez:

Kapcsolati DN: Az LDAP adminisztrátor DN-je, amelyet a Keycloak az LDAP-kiszolgáló eléréséhez fog használni (CN=Administrator,CN=Users,DC=example,DC=com)
Jelszó: Az LDAP adminisztrátor jelszava
LDAP url: A kiszongáló elérési útja (ldap(s)://szervercím, full sync esetén FQDN, read only módban publikus ip/domain)

Figyelem

Amennyiben szeretnénk full sync üzembehelyezést, abban az esetben szüksége van az LDAP szerver SSL tanúsítványára is az IDP-nek.

Üzembehelyezés: WRITABLE/READ ONLY
Felhasználói DN: Az LDAP-fa teljes DN-je, ahol a felhasználók vannak. Ez a DN az LDAP-felhasználók szülője. (ou=People,dc=example,dc=com)
Felhasználónév attribútum: Ez alapértelmezetten sAMAccountName
RDN attribútum: Ez alapértelmezetten cn
UUID attribútum: Ez alapértelmezetten objectGUID

Az LDAP-fa vizuális megjelenítése:
LDAP FA

Példa

Kapcsolati DN: CN=Administrator,CN=Users,DC=zenit,DC=local
Jelszó: ******
LDAP url: ldaps://ZENIT-SZERVER.zenit.local
Üzembehelyezés: WRITABLE
Felhasználói DN: ou=Munkatársak,dc=zenit,dc=local
Felhasználónév attribútum: sAMAccountName
RDN attribútum: cn
UUID attribútum: objectGUID

SSL tanúsítvány: *.zenit.local címre kiállítva az AD által

információ

Amennyiben a Keycloak IDP-hez nem fér hozzá, küldje el ezeket az adatokat a megfelelő címre és a beüzemelés ezen szakasza le is zárul.

Keycloak IDP

Jelenleg csak üzemeltetői hozzáféréssel használható

Föderációs kapcsolat (Active Directory) tanulóknak

lsd. föderációs kapcsolat (Active Directory) munkavállalóknak

Kiegészítő információ: A tanulói kapcsolat nem különbözik a munkavállalóitól, kivéve, hogy másik DN-ben lévő felhasználókra kell mutatnia (pl.: ou=Tanulók,dc=zenit,dc=local) és a beosztást 'tanuló'-ra kell állítani.

Keycloak IDP

Jelenleg csak üzemeltetői hozzáféréssel használható

Segítség az egyes adatok beszerzéséhez

Kapcsolati DN:

Kapcsolati DN

Felhasználói DN:

Felhasználói DN

Tanúsítványok:

Tanúsítványok