Felhasználókezelés
A Sulinform támogatja a föderációs címlistát a Keycloak IDP segítségével. Az összekötés többféleképpen is megvalósulhat, amit alább részletezünk.
Fogalmak
Read only mode: Az Active Directory rendszerből csak olvasni tud a szoftver, adatokat küldeni nem.
Föderáció: Active Directory címlista
Azure AD/Entra ID: A Microsoft által kínált új, felhőalapú címlistakezelési megoldás.
Truststore: Központi tanúsítványtár
DN: Megkülönböztetési név
Offline használat
Amennyiben nem szeretnénk szinkronizálni a Sulinform rendszerét a föderációnkkal, abban az esetben manuálisan kell felvenni a felhasználókat a Keycloak IDP felületen.
Google Cloud
Jelenleg nem támogatott
Föderációs kapcsolat (Entra ID)
Jelenleg nem támogatott.
Föderációs kapcsolat (Active Directory) munkavállalóknak
Windows Server
Az itt említett lépéseket a Windows Server AD szoftverén belül végeztük el, amihez rendszergazdai hozzáférés szükséges!
A beállítások sikerességéhez elengedhetetlen az alábbi portok megnyitása a hálózaton: 389, 696
A 696-os port nem szükséges a read only módhoz, csak full sync esetén, ekkor viszont SSL tanúsítványra is szükség van! (Az SSL tanúsítványt a certificate authority service automatikusan kiállítja, ha telepítve van)
Az IDP az alábbi mezőket kéri be a címtárból, győződjünk eg róla, hogy elérhetőek és ki vannak töltve minden felhasználónál, különben a szinkronizálás hibára fog futni: sAMAccountName, displayName, mail
Amire még szükség van a sikeres üzembe helyezéshez:
Kapcsolati DN: Az LDAP adminisztrátor DN-je, amelyet a Keycloak az LDAP-kiszolgáló eléréséhez fog használni (CN=Administrator,CN=Users,DC=example,DC=com)
Jelszó: Az LDAP adminisztrátor jelszava
LDAP url: A kiszongáló elérési útja (ldap(s)://szervercím, full sync esetén FQDN, read only módban publikus ip/domain)
Amennyiben szeretnénk full sync üzembehelyezést, abban az esetben szüksége van az LDAP szerver SSL tanúsítványára is az IDP-nek.
Üzembehelyezés: WRITABLE/READ ONLY
Felhasználói DN: Az LDAP-fa teljes DN-je, ahol a felhasználók vannak. Ez a DN az LDAP-felhasználók szülője. (ou=People,dc=example,dc=com)
Felhasználónév attribútum: Ez alapértelmezetten sAMAccountName
RDN attribútum: Ez alapértelmezetten cn
UUID attribútum: Ez alapértelmezetten objectGUID
Az LDAP-fa vizuális megjelenítése:
Kapcsolati DN: CN=Administrator,CN=Users,DC=zenit,DC=local
Jelszó: ******
LDAP url: ldaps://ZENIT-SZERVER.zenit.local
Üzembehelyezés: WRITABLE
Felhasználói DN: ou=Munkatársak,dc=zenit,dc=local
Felhasználónév attribútum: sAMAccountName
RDN attribútum: cn
UUID attribútum: objectGUID
SSL tanúsítvány: *.zenit.local címre kiállítva az AD által
Amennyiben a Keycloak IDP-hez nem fér hozzá, küldje el ezeket az adatokat a megfelelő címre és a beüzemelés ezen szakasza le is zárul.
Keycloak IDP
Jelenleg csak üzemeltetői hozzáféréssel használható
Föderációs kapcsolat (Active Directory) tanulóknak
lsd. föderációs kapcsolat (Active Directory) munkavállalóknak
Kiegészítő információ: A tanulói kapcsolat nem különbözik a munkavállalóitól, kivéve, hogy másik DN-ben lévő felhasználókra kell mutatnia (pl.: ou=Tanulók,dc=zenit,dc=local) és a beosztást 'tanuló'-ra kell állítani.
Keycloak IDP
Jelenleg csak üzemeltetői hozzáféréssel használható