Durchsuchbare Dokumentation aufrufen | Zurück zur Dokumentationsübersicht
Navigation: Dokumentationen agorum core > agorum core Module und Plugins > Directory Sync
Gesperrte und bearbeitbare Daten nach Synchronisierung
Hinweis: Diese Dokumentation bezieht sich auf die aktuellste Version des Plugins agorum core directory sync. Aktualisieren Sie das hier beschriebene Plugin, um die Dokumentation verwenden zu können.
Nach der Synchronisierung mit einem Verzeichnisdienst (Active Directory oder LDAP) werden Benutzer und Gruppen automatisch verknüpft. Bestimmte Datenfelder werden dabei vom Directory Sync Plugin verwaltet und können nur noch im Verzeichnisdienst geändert werden. Andere Felder bleiben weiterhin in agorum core pro bearbeitbar.
Diese Dokumentation erklärt im Detail, welche Datenfelder gesperrt sind und welche Sie weiterhin in agorum core pro bearbeiten können.
Übersicht
| Feld | Synchronisierte Objekte | Nicht synchronisierte Objekte |
|---|---|---|
| Stammdaten (Name, E-Mail, usw.) | 🔒 Gesperrt - werden aus AD/LDAP übernommen | ✅ Frei bearbeitbar in agorum core pro |
| ACLs und Berechtigungen | ✅ Frei bearbeitbar in agorum core pro | ✅ Frei bearbeitbar in agorum core pro |
| Gruppenmitgliedschaften | 🔒 Gesperrt - werden aus AD/LDAP übernommen | ✅ Frei bearbeitbar in agorum core pro |
| Ordnerzuordnung | 🔒 Gesperrt - basiert auf OU-Struktur | ✅ Frei bearbeitbar in agorum core pro |
Synchronisierte Benutzer
Benutzer, die über Directory Sync synchronisiert wurden, werden durch das Metadatenfeld agorum_directory_sync_config gekennzeichnet. Dieses Feld enthält die UUID der zugehörigen Synchronisationskonfiguration.
In der Objektinfo in der Detailansicht sehen Sie in der Metadaten-Anzeige eines synchronisierten Benutzers folgenden Eintrag:
Administratoren mit der entsprechenden Berechtigung können die Synchronisierungskonfiguration direkt über den Link neben der UUID öffnen.
Gesperrte Felder
Folgende Felder werden bei jeder Synchronisierung automatisch aus dem Verzeichnisdienst aktualisiert: Die entsprechenden Felder sind daher in agorum core pro für die Bearbeitung in der Bedienoberfläche gesperrt.
| Feld | Quelle im AD/LDAP | Beschreibung |
|---|---|---|
| Benutzername | sAMAccountName, uid, cn (je nach Verfügbarkeit in dieser Reihenfolge) | Der Anmeldename des Benutzers. Wird aus dem Directory Service übernommen. |
| Passwort | (password) | Das Passwort wird nicht von agorum core pro verwaltet, sondern vom Verzeichnisdienst. |
| Beschreibung | description | Beschreibungstext des Benutzers. |
| Vorname | givenName | Der Vorname des Benutzers. |
| Nachname | sn (surname) | Der Nachname des Benutzers. |
| E-Mail-Adresse(n) | Die primäre E-Mail-Adresse aus dem AD/LDAP. Bei Konflikten oder fehlenden E-Mails wird eine Fallback-E-Mail generiert (siehe unten). | |
| Sprache | preferredLanguage, Language | Die bevorzugte Sprache des Benutzers für die agorum core pro Oberfläche. |
| Sperrstatus | userAccountControl, sambaAcctFlags | Wird der Benutzer im AD/LDAP deaktiviert oder gesperrt, wird er automatisch auch in agorum core pro gesperrt. Bei Entsperrung im AD/LDAP wird er auch in agorum core pro entsperrt. |
| Ordnerzuordnung | Organizational Unit (OU) | Die Zuordnung zu Ordnern unterhalb von /agorum/roi/Administration/User basiert auf der OU-Struktur im Directory Service (siehe unten). |
Achtung: Alle Änderungen an den oben genannten Feldern müssen im Verzeichnisdienst (Active Directory oder LDAP) vorgenommen werden. Änderungen in agorum core pro werden bei der nächsten Synchronisierung (spätestens nach einer Minute) automatisch überschrieben.
Bearbeitbare Felder
Folgende Aspekte eines synchronisierten Benutzers können Sie weiterhin in agorum core pro bearbeiten. Diese Daten werden nicht vom Directory Sync Plugin verwaltet:
| Feld/Bereich | Beschreibung |
|---|---|
| Sender-E-Mail-Adressen | Sender-E-Mail-Adressen werden in agorum core pro verwaltet. |
| ACLs und Berechtigungen | Die Zuordnung von Zugriffsberechtigungen (ACLs) auf Objekte, Ordner und Funktionen wird nicht synchronisiert. Sie verwalten Berechtigungen ausschließlich in agorum core pro. |
| Profilbild | Das Profilbild des Benutzers wird nicht aus dem Directory Service übernommen und kann in agorum core pro gepflegt werden. |
| Zertifikate und Signaturen | Digitale Zertifikate und Signaturen für E-Mail-Verschlüsselung oder elektronische Unterschriften werden in agorum core pro verwaltet. |
| Persönliche Einstellungen | Alle persönlichen Einstellungen wie UI-Präferenzen bleiben dem Benutzer zur freien Bearbeitung. |
| Zusätzliche Metadatenfelder | Alle Metadatenfelder, die nicht in der obigen Tabelle der gesperrten Felder aufgeführt sind, können Sie frei in agorum core pro bearbeiten. |
E-Mail-Adressverwaltung bei Konflikten
Das Directory Sync Plugin verfügt über eine intelligente E-Mail-Verwaltung, die Konflikte automatisch auflöst:
- Primäre E-Mail aus AD/LDAP: Wenn das
mail-Attribut im Directory Service gesetzt ist, wird diese E-Mail-Adresse verwendet. - Konfliktprüfung: Ist die E-Mail-Adresse bereits von einem anderen Benutzer in agorum core pro verwendet, wird ein Fallback erzeugt.
- Fallback-E-Mail: Format:
<benutzername>@<default-email-domain> - Numerierter Fallback bei erneutem Konflikt: Falls auch die Fallback-E-Mail bereits existiert:
duplicate1.<benutzername>@<domain>,duplicate2.<benutzername>@<domain>usw.
Hinweis: E-Mail-Konflikte treten typischerweise auf, wenn ein Benutzer manuell in agorum core pro angelegt wurde und später über Directory Sync synchronisiert wird, oder wenn mehrere Directory Sync Konfigurationen auf denselben agorum core pro User-Ordner synchronisieren.
Synchronisierte Gruppen
Gruppen, die über Directory Sync synchronisiert wurden, werden ebenfalls durch das Metadatenfeld agorum_directory_sync_config gekennzeichnet.
In der Objektinfo in der Detailansicht sehen Sie in der Metadaten-Anzeige einer synchronisierten Gruppe folgenden Eintrag:
Administratoren mit der entsprechenden Berechtigung können die Synchronisierungskonfiguration direkt über den Link neben der UUID öffnen.
Gesperrte Felder
Die Gruppeninformationen selbst werden vollständig aus dem Verzeichnisdienst synchronisiert.
| Feld | Quelle im AD/LDAP | Beschreibung |
|---|---|---|
| Gruppenname | cn (common name) | Der Name der Gruppe. |
| Beschreibung | description | Beschreibungstext der Gruppe. |
| Gruppenmitglieder | member, memberOf, groupMembership, memberUid | Die Liste der Mitglieder wird automatisch synchronisiert. Hinzufügen oder Entfernen von Mitgliedern muss im Directory Service erfolgen. |
| Ordnerzuordnung | Organizational Unit (OU) | Die Zuordnung zu Ordnern unterhalb von /agorum/roi/Administration/Group basiert auf der OU-Struktur im Directory Service. |
Bearbeitbare Felder
| Feld/Bereich | Beschreibung |
|---|---|
| ACLs und Berechtigungen | Die Verwendung von Gruppen in ACLs wird nicht synchronisiert. Sie können synchronisierte Gruppen normal in Berechtigungskonzepten verwenden. |
| Zusätzliche Metadatenfelder | Alle Metadatenfelder außer den oben genannten können Sie frei bearbeiten. |
Achtung - Wichtiger Unterschied zu Benutzern: Gruppen, die im Active Directory oder LDAP gelöscht werden, werden bei der nächsten Synchronisierung auch in agorum core pro gelöscht (nicht nur gesperrt wie Benutzer). Stellen Sie sicher, dass Sie Gruppen nicht versehentlich im Directory Service löschen, wenn diese noch in ACLs verwendet werden.
Automatische Ordnerstruktur
Das Directory Sync Plugin erstellt automatisch eine Ordnerstruktur in agorum core pro, die die Organizational Unit (OU) Struktur aus dem Verzeichnisdienst widerspiegelt.
Automatische Verschiebung
Wenn Sie einen Benutzer oder eine Gruppe im Verzeichnisdienst in eine andere OU verschieben, wird das Objekt bei der nächsten Synchronisierung automatisch in den entsprechenden Ordner in agorum core pro verschoben.
Erkennung synchronisierter Objekte
agorum_directory_sync_config
Jedes über Directory Sync synchronisierte Objekt (Benutzer oder Gruppe) wird mit dem Metadatum agorum_directory_sync_config markiert. Dieses Metadatum enthält die UUID der Synchronisationskonfiguration, über die das Objekt synchronisiert wurde.
Verhalten bei gelöschten oder deaktivierten Objekten
Benutzer
| Aktion im AD/LDAP | Auswirkung in agorum core pro |
|---|---|
| Benutzer deaktiviert | Benutzer wird gesperrt (Anmeldung nicht mehr möglich, Objekt bleibt erhalten) |
| Benutzer gelöscht | Benutzer wird gesperrt (nicht gelöscht!) |
| Benutzer reaktiviert | Sperrung wird automatisch aufgehoben |
| Benutzer in andere OU verschoben | Benutzer wird in entsprechenden Ordner verschoben |
Gruppen
| Aktion im AD/LDAP | Auswirkung in agorum core pro |
|---|---|
| Gruppe gelöscht | Gruppe wird gelöscht (nicht nur gesperrt!) |
| Gruppe in andere OU verschoben | Gruppe wird in entsprechenden Ordner verschoben |
| Mitglieder hinzugefügt/entfernt | Mitgliederliste wird automatisch aktualisiert |
Gelöschte oder deaktivierte Synchronisierungskonfiguration
Wenn Sie eine Synchronisierungskonfiguration löschen oder deaktivieren:
- Benutzer: Alle über diese Konfiguration synchronisierten Benutzer werden gesperrt.
- Gruppen: Alle über diese Konfiguration synchronisierten Gruppen werden gelöscht.
- Metadatenfeld: Das Feld
agorum_directory_sync_configzeigt weiterhin auf die (nun gelöschte) Konfiguration.
Achtung: Löschen Sie eine Synchronisationskonfiguration nur, wenn Sie sicher sind, dass die betroffenen Benutzer und Gruppen nicht mehr benötigt werden.