Bei Benutzer-Synchronisation handelt es sich um eine DocuWare Desktop App, die eine Verbindung zum Active Directory (LDAP) oder Azure Active Directory (Microsoft Graph) herstellt, um DocuWare Benutzer anzulegen oder zu aktualisieren.
Die App Benutzer-Synchronisation unterstützt nur Microsoft Active Directory über LDAP, ist also nicht kompatibel mit anderen LDAP-Benutzerverzeichnissen wie Open LDAP.
Benutzer-Synchronisation starten
Nach dem Start der Benutzer-Synchronisation geben Sie zuerst DocuWare-URL ein.
Die Benutzer-Synchronisation schaltet je nach URL-Syntax automatisch zwischen sicherer und nicht sicherer SSL/TLS-Option um. Wenn die URL korrekt und erreichbar ist, führt die App mehrere Prüfungen durch: Login-Token verfügbar, Cloud- oder On-Premises-System, Identity Service verfügbar.
Ist ein Login-Token verfügbar, wird der Schritt "Anmeldung bei DocuWare" übersprungen.
Wenn kein Login-Token vorhanden ist, wird im Browser eine Login-Seite angezeigt. Hier kann der Benutzer ein Login-Token mit Single Sign-On oder mit DW-Zugangsdaten erstellen.
Falls es nicht möglich ist, ein Login-Token zu erstellen, wird ein Fallback-Dialog "Login to DocuWare" angezeigt. Hier gibt der Benutzer die Organisation, Benutzer und Benutzerpasswort an. Dabei wird die Docuware-Authentifizierung verwendet.
Mit LDAP verbinden
Um Benutzer aus dem lokalen Active Directory (LDAP) zu synchronisieren, muss das Windows-Konto, unter dem die Anwendung Benutzer-Synchronisation ausgeführt wird, ein Mitglied der Windows-Domäne dieses Active Directory sein. Das DocuWare-System muss nicht Teil der Domäne sein. Lediglich die App Benutzer-Synchronisation verbindet sich mit dem LDAP-System und DocuWare.
Verbindungs-URL und Zugangsdaten sind hier nicht erforderlich. Die Verbindung wird mit dem Benutzer hergestellt, der die App ausführt, und ist daher auf die Berechtigungen dieses Benutzers beschränkt.
Nach dem Abruf der Benutzer wählen Sie, ob vorhandene DocuWare-Benutzer mit bestehenden Active Directory-Benutzern abgeglichen werden sollen. Die Zuordnung erfolgt über Benutzername und E-Mail. Nur wenn beide übereinstimmen, werden die Accounts in der Datenbank verknüpft (externer Anbieter und externe ID).
Innerhalb der App kann der Active-Directory-Struktur durchsucht werden. Zum Synchronisieren wählen Sie zuerst die Organisationseinheit (organizational unit = OU), die die Gruppen enthält, und dann die OU, welche die Benutzer enthält. Es können mehrere Gruppen ausgewählt werden, die sich jedoch in der gleichen OU befinden müssen. Nachdem Sie die OU ausgewählt haben, die die richtigen Gruppen enthält, wählen Sie eines der Attribute für den Gruppennamen:
Name
CN
sAMAccountName
Wählen Sie für die Benutzer eine OU aus, in der jeder Benutzer verfügbar ist, unabhängig davon, ob die Benutzer Mitglieder von zu synchronisierenden Gruppen sind. Danach legen Sie eines der Attribute für den Benutzernamen fest.
sAMAccountName
userPrincipalName
userPrincipalNamePrefix
CN
DisplayName
Name
Mit Azure AD verbinden
Um die App Benutzer-Synchronisation mit Azure AD zu verbinden, müssen Sie Azure AD im Azure Portal konfigurieren. Geben Sie folgende Parameter ein, um eine Verbindung zu Azure AD herzustellen.
Issuer URL
Client ID
Client Secret
Das lokale AD erfordert keine vergleichbaren Parameter, dieser Schritt ist nur bei Azure AD sichtbar.
Konfiguration von Azure AD
Um Benutzer aus dem dem Azure Active Directory zu synchronisieren, muss zunächst eine Verbindung hergestellt werden.
Folgende Schritte sind nötig:
Neue App-Registrierung erstellen
Im Azure Portal rufen Sie die App-Registrierungen auf und erstellen eine neue App-Registrierung.
Berechtigungen zuweisen
Um Benutzer zu synchronisieren sind folgende Berechtigungen nötig. Bitte beachten auch Sie den Typ der Berechtigung Anwendung / Delegiert.
Clientschlüssel erstellen
Erstellen Sie unter dem Punkt Zertifikate & Geheimnisse einen neuen geheimen Clientschlüssel (Client Secret). Sichern Sie den Schlüssel, da er dauerhaft versteckt wird, wenn die Seite geschlossen wird.
Anmeldedaten kopieren:
Kopieren Sie in der Übersicht der App-Registrierung die Anwendungs-ID (Client ID) und unter Endpunkte die URL zum OpenID Connect Metadatendokument (Issuer URL) und fügen Sie diese gemeinsam mit dem Client Secret ein
Innerhalb der App kann die Azure Active-Directory-Struktur durchsucht werden. Zum Synchronisieren wählen Sie zuerst die Gruppen aus die Sie mit DocuWare synchronisieren möchten und anschließend die Gruppen, welche die Benutzer enthält.
Die Benutzer werden immer anhand des UserPrincipalName Prefix angelegt der Benutzername lautet also i.d.R. vorname.nachname
Gruppenzuweisung
Standardmäßig wird in DocuWare eine neue Gruppe mit dem gleichen Namen angelegt, falls eine solche Gruppe bereits existiert, werden die Benutzer mit ihr synchronisiert.
Oder Sie überspringen die LDAP-Gruppe während der Synchronisation. Dadurch werden die Benutzer keiner Gruppe hinzugefügt. Aber wenn sie sich im Benutzer-Knoten befinden, werden sie in DocuWare und mindestens der Gruppe Public hinzugefügt (alle Benutzer werden der Gruppe Public hinzugefügt).
Die dritte Möglichkeit besteht darin, eine bestehende Gruppe aus DocuWare auszuwählen und ihr LDAP-Benutzer hinzuzufügen.
Die letzte Möglichkeit ist "DocuWare Gruppen bearbeiten". Diese Option öffnet ein neues Fenster, in welchem Benutzer Gruppen hinzufügen oder entfernen können. Beim Entfernen von Gruppen werden diese nicht tatsächlich aus DocuWare entfernt, sondern nur aus dem User-Sync-Pool der zu synchronisierenden Gruppen. Beim Hinzufügen einer Gruppe wird nicht automatisch eine Gruppe in DocuWare angelegt, die Gruppe wird erst nach dem Synchronisations-Vorgang erstellt.
Neue Gruppen werden zunächst als Platzhalter benannt, nach dem Aktualisieren des Fensters können sie in eindeutige Namen umbenannt werden.