Synchronizace údajů s Active Directory

Z Prirucky
(přesměrováno z Synchronizace údajů KS-AD)

Synchronizace údajů s Active Directory

Popis

"Synchronizace údajů s Active Directory" slouží pro přenos osobních údajů zaměstnanců z KS mzdy do Active Directory, dle přání zákazníka i přenos určité skupiny údajů opačným směrem (telefon, email). Kromě synchronizace údajů umí účty vytvářet i zakazovat.

Tato funkcionalita je součástí těžké aplikace – aplikace KS mzdy a je přístupná přes menu:

Systém > Správa uživatelů > Synchronizace údajů s Active Directory
nebo přes příkazovou řádku.

Synchronizace je vždy upravována pro konkrétního zákazníka, neboť struktura organizace v AD i synchronizované údaje jsou většinou různé. Pokud tedy máte zájem používat tuto funkcionalitu, pošlete nám zadání, které by mělo obsahovat odpovědi na následující otázky.

V zadání uveďte

1. Dle čeho má být zaměstnanec hledán v AD, standardně je to dle loginu – záložka Osobní údaje – položka Login, v AD samAccountName. Nebo pokud je vyplněn rozšiřující parametr AD_AttrNameOsc, tak dle osobního čísla, pokud je v AD uloženo např. v atributu EmployeeNumber či EmployeeID osobní číslo zaměstnance.

2. Množina přenášených údajů - u každé firmy se většinou liší, tu musíte podrobně specifikovat (údaj v ks -> název atributu v AD). Např. pokud se má do některého atributu přenášet kmenové středisko, tak uvést, zda to má být číslo střediska nebo název střediska.

3. Zda mají být účty vytvářeny, pokud ano:

4. umístění uživatelských účtů v AD - pokud nejsou všichni v jednom kontejneru, tak musí být zanoření odvoditelné z údajů v KS Mzdy, např. doména/Departments/Název kmenového střediska/.....

5. jaký tvar má mít samAccountName, CN a displayName,

6. zda má program nově vytvářenému účtu zadat výchozí jednotné heslo, které si uživatel bude muset po 1. přihlášení změnit, nebo zda bude muset toto heslo zadávat obsluha spouštějící synchronizaci,

7. zda se má novému účtu vytvořit domovský adresář, Exchange mail schránka (to si nejsem jist ,zda umíme),

8. zda se má účet přiřadit do nějaké AD-Group.

9. Mají být účty rušeny, pokud ano, má být účet smazán nebo má být pouze zakázán

10. Má se plnit atribut Manager (nadřízený) a dle čeho (dle systemizace prac. míst)

Přihlášení

Prihlaseni-k-active-directory.png

Ihned po otevření okna se zobrazí dialog pro přihlášení k AD v němž je nutné zadat správně údaje:

  • doména
  • uživatel
  • heslo.

Jako název serveru/domény uveďte [%COMPUTERNAME%\]%USERDNSDOMAIN% podle hodnot zjištěných na na počítači, kde je spuštěn server AD. Zadávat název serveru není nutné.

příklad: doména: domena.cz
uživatel: Administrátor
heslo: xxx


Ovládání

Synchronizace-ad-ks.png

Po připojení se v záložce Data pro AD načtou do seznamu údaje zaměstnanců pro synchronizaci. Přenačíst údaje lze pomocí tlačítka "Načíst data".

Názvy sloupců obsahují v 1. řádku názvy údajů v KS, pokud se nejedná o identifikační údaj ale o údaj, který je synchronizován je v hranaté závorce uveden směr přenosu, OUT - z KS do AD, IN - z AD do KS. V druhém řádku jsou odpovídající názvy atributů v AD.

V datové části je pro každého zaměstnance nejdříve řádek s jeho údaji v KS a pod ním řádek s údaji v AD.

Před prvním spuštěním synchronizace zkontrolujte především, zda mají všichni zaměstnanci správné CN a OU (zařazení do organizační struktury), pokud jsou uživatelé v kontejneru Users je sloupec Organization Unit prázdný.

Přenos dat spustíte zvolením přepínače Synchronizovat a klepnutím na tlačítko Start, přenos lze zastavit tlačítkem Stop. Pokud zatrhnete volbu jen označené zaměstnance budou se přenášet pouze zaměstnanci z označených řádků. V případě, že dojde při přenosu údajů zaměstnance k chybám, je příslušný řádek označen červeně a popis chyby je zobrazen v posledním sloupci.

Pokud chcete pouze porovnat údaje vyberte přepínač Pouze porovnat a stiskněte na tlačítko Start. Pokud se alespoň 1 údaj liší je řádek označen červeně a v posledním sloupci jsou uvedeny údaje, které se liší.

Automatické spuštění synchronizace přes příkazovou řádku

Pro automatickou synchronizaci je třeba zadat (kromě parametrů pro připojení k databázi) parametr /ADSYNC

Pokud nejsou v databázi uloženy údaje pro přihlášení k Active directory, lze jej zadat dalšími parametry:

  • ADDOMAIN – doména
  • ADUSER – uživatel
  • ADPASS – heslo
  • ADTOPOU – kontejner s uživateli

Pro vytváření nových účtů v AD, musí být zadán následující parametr (pokud není zadán natvrdo v kódu)

  • ADNEWUSERPASS – heslo pro nově vytvořeného uživatele

příklad: main.exe parametry pro připojení k db (viz. Spouštění aplikace - parametricky) /ADSYNC /ADDOMAIN domena.cz /ADUSER administrator /ADPASS heslo /ADTOPOU Users /ADNEWUSERPASS Abc123456 V případě "více-ičo" databáze přidejte ještě parametr /PODNIK 0

Odkazy

Citováno z „http://prirucky.ksprogram.cz/index.php?title=Synchronizace_údajů_s_Active_Directory&oldid=39524