Active Directory
Active Directory (AD)
Vazba na AD - Desktopová aplikace
Desktopová aplikace využívá Active Directory pro následující účely:
- ověření uživatele při přihlášení do aplikace (při spuštění aplikace s parametrem /T nebo /TD, ověření nepřímo - tzv. trusted connection, ověření ve skutečnosti provádí SQL server)
- načítání uživatelských účtů z AD pro účely přiřazení aplikační role (pokud je zapnut rozšiřující parametr AD_READ_USERS)
- synchronizace základních údajů zaměstnanců povětšinou směrem KS->AD. Tato funkcionalita vyžaduje programové úpravy, neboť každý zákazník má jiné požadavky na přenos údajů.
- přiřazování práv
Parametry
- Rozšiřující parametry (skupina 13) - parametry začínající "AD_..."
Vazba na AD - Portál
1) Autentizace: Pokud chcete jen ověřovat uživatele AD účtem, tak stačí mít ve web.config nastaveno buď
a) windows SSO přihlašování: authentication mode="Windows" (přebírá se přihlášení uživatele do windows, použitelné pouze uvnitř firmy nebo přes VPN),
b) nebo formulářové přihlašování s ověřováním v AD: authentication mode="Forms", parametr TypOvereni=ad a nastavit parametry s prefixem "ad_" (příklady vyplnění naleznete v souboru web.config.default)
2) Vazba Osobní číslo - Login: Pokud má být z AD zjišťováno i osobní číslo přihlášeného uživatele, pomocí kterého se účet sváže s konkrétním zaměstnancem, je třeba ve web.configu nastavit parametr ZdrojOsCisla na hodnotu "ad" a nastavit parametry s prefixem "ad_", především ad_atr_os_cislo_user, ve kterém je uveden název atributu, ve kterém se nachází osobní číslo (employeeNumber nebo employeeId)
3) Role: Pokud se mají z AD přebírat i role uživatele (group) je třeba ve web.config změnit defaultProvider z KSRoleProvider na ADRoleProvider. Role s odpovídajícím názvem musí existovat i v KS. Role přebírané z AD lze omezit pomocí parametru ad_groups.
Více viz Instalační příručka.
Dotaz: Může se správce, který není zaměstnancem, přihlásit do portálu AD účtem?
Ano, a to přes standardní přihlašovací stránku, ale pouze za předpokladu, že AD login je naveden v agendě "Uživatelé KS portálu" na záložce "Externí uživatelé". Pokud externí uživatel nemá AD účet, může se přihlásit přes stránku "Externí přihlášení" a to KS loginem a heslem navedeným v agendě "Uživatelé KS portálu" na záložce "Externí uživatelé" (na této stránce se ignoruje nastavení parametru TypOvereni a používá se KS ověření).
