- Drucken
Integration von LDAP mit Tulip (veraltet)
Hier erfahren Sie, wie Tulip-Kontoinhaber mit LDAP arbeiten können, um die Benutzer ihres Kontos zu verwalten.
:::(Error) (Veraltet)Diese Funktion ist nur für bestehende Kunden verfügbar und wird neuen Tulip-Kunden nicht mehr angeboten:
In diesem Artikel erfahren Sie:
- Wie Tulip sich mit Ihrer Active Directory-Instanz verbinden kann
- Verschiedene Möglichkeiten, die Active Directory-Integration zu konfigurieren
- Technische Voraussetzungen für eine Active Directory-Integration
Tulip integriert derzeit das Produkt Active Directory von Microsoft über das LDAP-Protokoll. Wenn Ihre Organisation Active Directory verwendet, können Sie Ihre Tulip-Benutzer anhand von Regeln aus Active Directory verwalten.
Tulip-Benutzerübersicht
Tulip hat zwei verschiedene Benutzeroberflächen:
- Tulip, wo Anwendungen erstellt und bearbeitet werden und die mit externen Datenbanken verbunden werden können
- Der Tulip Player, in dem Benutzer und Operatoren die in Tulip erstellten Anwendungen ausführen
Die Berechtigungsstufe eines Benutzers wird durch eine Benutzerrolle definiert.
Tulip hat mehrere Ebenen von Benutzerprivilegien. Für Informationen über diese Rollen sehen Sie bitte: Benutzerrollen in Tulip verwalten
- Kontoinhaber und verschiedene andere aufgelistete Rollen haben die Möglichkeit, Anwendungen in Tulip zu bearbeiten
- Bediener haben nur die Möglichkeit, Anwendungen über den Tulip Player auszuführen. Sie können keine Anwendungen bearbeiten oder auf die Tulip-Schnittstelle zugreifen.
LDAP-Integrationsmöglichkeiten
Um LDAP in Tulip zu integrieren, können Sie Ihre Benutzerrollen entweder anhand von Active Directory-Gruppen oder von Tulip aus verwalten:
- Verwalten von Benutzerrollen aus Active Directory-Gruppen: Sie müssen Ihre Benutzer auf der Grundlage der gewünschten Berechtigungsstufe auf Ihrem Active Directory Server entsprechend gruppieren und Ihrem Tulip-Systemadministrator die entsprechende Zuordnung mitteilen (Beispiel: Gruppe A = Kontoinhaber). Das bedeutet, dass sowohl die Autorisierung als auch die Authentifizierung durch Ihren IdP bestimmt werden.
- Verwalten von Benutzerrollen innerhalb von Tulip: Sie müssen jeden Benutzer in Tulip manuell mit der angegebenen Benutzerrolle hinzufügen und sein Konto mit dem exakten Benutzernamen in Ihrem Active Directory anlegen. Dies bedeutet, dass nur die Authentifizierung durch Ihren IdP kontrolliert wird.
Es gibt vier verschiedene Möglichkeiten, wie Sie Ihre Integration konfigurieren können:
Wenn Operatoren in Ihrem IdP verwaltet werden
- Verlangen Sie von allen Tulip-Benutzern, dass sie sich mit ihrem Active Directory-Benutzernamen und -Passwort bei Tulip oder Tulip Player anmelden. Die Rollen innerhalb von Tulip werden auf der Grundlage von Active Directory-Gruppen festgelegt. Autorisierung und Authentifizierung über LDAP.
- Alle Tulip-Benutzer müssen sich bei Tulip oder Tulip Player mit ihrem Active Directory-Benutzernamen und -Passwort anmelden. Die Rollen werden innerhalb von Tulip verwaltet. Authentifizierung nur über LDAP.
Wenn Operatoren nicht in Ihrem IdP verwaltet werden
- Erlauben Sie Tulip-Bedienern, sich bei Tulip Player nur mit ihrer Badge-ID anzumelden, aber verlangen Sie von Tulip-Kontoinhabern und anderen Rollen, dass sie sich bei Tulip mit ihrem Active Directory-Benutzernamen und -Passwort anmelden. Rollen innerhalb von Tulip werden auf der Grundlage einer Active Directory-Gruppe festgelegt. Autorisierung und Authentifizierung über LDAP.
- Erlauben Sie Tulip-Bedienern, sich nur mit ihrer Badge-ID bei Tulip Player anzumelden, aber verlangen Sie von Tulip-Kontoinhabern und anderen Rollen, sich mit ihrem Active Directory-Benutzernamen und -Passwort bei Tulip anzumelden. Die Rollen werden innerhalb von Tulip verwaltet. Authentifizierung nur über LDAP.
Sie können die Konfigurationsoption je nach den Sicherheitsprotokollen Ihrer Organisation wählen. Bitte beachten Sie, dass die Verwendung von Active Directory-Benutzername und -Passwort für alle Tulip-Benutzer die sicherste Option ist.
Koordinierung von Tulip-Benutzern mit LDAP-Benutzern
Benutzerrollen von Tulip aus verwalten
Wenn Ihre Organisation sich dafür entscheidet, die Benutzerrollen von Tulip aus zu verwalten, muss ein Tulip-Kontoinhaber zuerst einen neuen Benutzer anlegen. Dann muss er einen Tulip-Benutzernamen hinzufügen, der seinem LDAP-Benutzernamen entspricht. Jede E-Mail ist akzeptabel.
Wenn dieser Tulip-Benutzer versucht, sich anzumelden, muss er seinen LDAP-Benutzernamen in das Feld "Benutzername" und sein Passwort in das Feld "Passwort" eingeben. Tulip wird ihn dann in Ihrer Active Directory-Instanz authentifizieren. Der Anmeldebildschirm sieht dann wie folgt aus:
In diesem Fall wird ein Tulip-Systemadministrator Ihren ersten Tulip-Benutzer mit den von Ihnen angegebenen Informationen hinzufügen.
Verwalten von Benutzerrollen aus Active Directory-Gruppen
Wenn sich Ihre Organisation dafür entscheidet, Tulip-Rollen auf der Grundlage von Active Directory-Gruppen zu definieren, dann müssen Sie in Tulip keine individuellen Benutzer anlegen. Stattdessen können Sie die Namen Ihrer Benutzergruppen und die ihnen zugeordneten Tulip Benutzerrollen angeben.
Wenn sich der Benutzer zum ersten Mal mit seinen Active Directory-Anmeldedaten bei Tulip anmeldet, wird Tulip ihn mit Ihrer Active Directory-Instanz authentifizieren und dann automatisch ein Konto in Tulip erstellen. Wie bereits erwähnt, hängen die Fähigkeiten des Benutzers von seiner Active Directory-Gruppe ab und von der Rolle, die Sie der Gruppe zugewiesen haben.
Wenn Sie eine Konfigurationsoption wählen, bei der sich Tulip-Bediener mit ihrer Ausweis-ID anmelden dürfen, sieht der Anmeldebildschirm für den Bediener im Tulip Player wie folgt aus:
Technische Voraussetzungen
Um eine LDAP-Verbindung zu konfigurieren, müssen Sie Ihren eigenen LDAP-Server bereitstellen, auf den der Tulip-Server zugreifen kann, und die folgenden Informationen angeben:
- Die Serveradresse (z.B.
ldaps://xxx.xxx.xxx:636
) - Einen "Distinguished Name" für die Suche (z.B.
dc=tulip,dc=co
) - Die Zertifizierungsstelle, die zum Signieren der Zertifikate des LDAP-Servers verwendet wird
Ihr IT-Systemadministrator sollte in der Lage sein, diese Informationen bereitzustellen.
Zusammenfassung
Um die LDAP-Integration für Ihr Tulip-Konto zu konfigurieren, wenden Sie sich bitte zunächst an Ihren Kundenbetreuer mit den folgenden Informationen:
- Welche der 4 oben genannten Authentifizierungsmethoden möchten Sie verwenden?
- Falls zutreffend: Eine Liste, die Ihre Active Directory-Gruppen und ihre gewünschten Tulip-Benutzerrollen abbildet
- Die technischen Anforderungen aus dem vorigen Abschnitt.
- Ein Zeitfenster, in dem Sie die Änderung vornehmen möchten. Beachten Sie, dass alle Kunden bei der Änderung abgemeldet werden und sich alle neu bei Ihrer Tulip-Website anmelden müssen.