Active Directory: Porovnání verzí
| Řádek 1: | Řádek 1: | ||
'''Active Directory (AD)''' | '''Active Directory (AD)''' | ||
== Vazba na AD == | == Vazba na AD - Desktopová aplikace == | ||
Desktopová aplikace využívá Active Directory pro následující účely: | Desktopová aplikace využívá Active Directory pro následující účely: | ||
* '''ověření uživatele při přihlášení do aplikace''' (nepřímo | * '''ověření uživatele při přihlášení do aplikace''' (při spuštění aplikace s parametrem /T nebo /TD, ověření nepřímo - tzv. trusted connection, ověření ve skutečnosti provádí SQL server) | ||
* '''načítání uživatelských účtů z AD''' pro účely přiřazení aplikační role (pokud je zapnut rozšiřující parametr AD_READ_USERS) | * '''načítání uživatelských účtů z AD''' pro účely přiřazení aplikační role (pokud je zapnut rozšiřující parametr AD_READ_USERS) | ||
| Řádek 18: | Řádek 18: | ||
== Parametry == | == Parametry == | ||
* [[Rozšiřující parametry (skupina 13)]] - parametry začínající "AD_..." | * [[Rozšiřující parametry (skupina 13)]] - parametry začínající "AD_..." | ||
== Vazba na AD - Portál == | |||
1) '''Autentizace''': Pokud chcete jen ověřovat uživatele AD účtem, tak stačí mít ve web.config nastaveno buď | |||
a) windows SSO přihlašování: authentication mode="Windows" (přebírá se přihlášení uživatele do windows, použitelné pouze uvnitř firmy nebo přes VPN), | |||
b) nebo formulářové přihlašování s ověřováním v AD: authentication mode="Forms", parametr TypOvereni=ad a nastavit parametry s prefixem "ad_" (příklady vyplnění naleznete v souboru web.config.default) | |||
2) '''Vazba Osobní číslo - Login''': Pokud má být z AD zjišťováno i osobní číslo přihlášeného uživatele, pomocí kterého se účet sváže s konkrétním zaměstnancem, je třeba ve web.configu nastavit parametr ZdrojOsCisla na hodnotu "ad" a nastavit parametry s prefixem "ad_", především ad_atr_os_cislo_user, ve kterém je uveden název atributu, ve kterém se nachází osobní číslo (employeeNumber nebo employeeId) | |||
3) '''Role''': Pokud se mají z AD přebírat i role uživatele (group) je třeba ve web.config změnit defaultProvider z KSRoleProvider na ADRoleProvider. Role s odpovídajícím názvem musí existovat i v KS. Role přebírané z AD lze omezit pomocí parametru ad_groups. | |||
Více viz [[Instalační příručka]]. | |||
'''Dotaz: Může se správce, který není zaměstnancem, přihlásit do portálu AD účtem? ''' | |||
Ano, a to přes standardní přihlašovací stránku, ale pouze za předpokladu, že AD login je naveden v agendě "Uživatelé KS portálu" na záložce "Externí uživatelé". Pokud externí uživatel nemá AD účet, může se přihlásit přes stránku "Externí přihlášení" a to KS loginem a heslem navedeným v agendě "Uživatelé KS portálu" na záložce "Externí uživatelé" (na této stránce se ignoruje nastavení parametru TypOvereni a používá se KS ověření). | |||
== Odkazy == | == Odkazy == | ||
* [[Přenosy dat]] | * [[Přenosy dat]] | ||
* [[Systémová příručka]] | * [[Systémová příručka]] | ||
Aktuální verze z 9. 11. 2021, 16:09
Active Directory (AD)
Vazba na AD - Desktopová aplikace
Desktopová aplikace využívá Active Directory pro následující účely:
- ověření uživatele při přihlášení do aplikace (při spuštění aplikace s parametrem /T nebo /TD, ověření nepřímo - tzv. trusted connection, ověření ve skutečnosti provádí SQL server)
- načítání uživatelských účtů z AD pro účely přiřazení aplikační role (pokud je zapnut rozšiřující parametr AD_READ_USERS)
- synchronizace základních údajů zaměstnanců povětšinou směrem KS->AD. Tato funkcionalita vyžaduje programové úpravy, neboť každý zákazník má jiné požadavky na přenos údajů.
- přiřazování práv
Parametry
- Rozšiřující parametry (skupina 13) - parametry začínající "AD_..."
Vazba na AD - Portál
1) Autentizace: Pokud chcete jen ověřovat uživatele AD účtem, tak stačí mít ve web.config nastaveno buď
a) windows SSO přihlašování: authentication mode="Windows" (přebírá se přihlášení uživatele do windows, použitelné pouze uvnitř firmy nebo přes VPN),
b) nebo formulářové přihlašování s ověřováním v AD: authentication mode="Forms", parametr TypOvereni=ad a nastavit parametry s prefixem "ad_" (příklady vyplnění naleznete v souboru web.config.default)
2) Vazba Osobní číslo - Login: Pokud má být z AD zjišťováno i osobní číslo přihlášeného uživatele, pomocí kterého se účet sváže s konkrétním zaměstnancem, je třeba ve web.configu nastavit parametr ZdrojOsCisla na hodnotu "ad" a nastavit parametry s prefixem "ad_", především ad_atr_os_cislo_user, ve kterém je uveden název atributu, ve kterém se nachází osobní číslo (employeeNumber nebo employeeId)
3) Role: Pokud se mají z AD přebírat i role uživatele (group) je třeba ve web.config změnit defaultProvider z KSRoleProvider na ADRoleProvider. Role s odpovídajícím názvem musí existovat i v KS. Role přebírané z AD lze omezit pomocí parametru ad_groups.
Více viz Instalační příručka.
Dotaz: Může se správce, který není zaměstnancem, přihlásit do portálu AD účtem?
Ano, a to přes standardní přihlašovací stránku, ale pouze za předpokladu, že AD login je naveden v agendě "Uživatelé KS portálu" na záložce "Externí uživatelé". Pokud externí uživatel nemá AD účet, může se přihlásit přes stránku "Externí přihlášení" a to KS loginem a heslem navedeným v agendě "Uživatelé KS portálu" na záložce "Externí uživatelé" (na této stránce se ignoruje nastavení parametru TypOvereni a používá se KS ověření).
