Bevor Sie die Desktop-Anwendung User Provisioning starten, konfigurieren Sie die Verbindungen in DocuWare Konfigurationen > App-Registrierung und DocuWare Konfigurationen > Benutzerbereitstellung.
1. Registrieren der Desktop App Benutzerbereitstellung
Gehen Sie zu DocuWare Konfigurationen > Integrationen > App-Registrierung.
Wählen Sie im Plug-in für die App-Registrierung die Option Neue App-Registrierung aus.
Wählen Sie im Popup-Fenster Anwendungsregistrierung erstellen die Option Webanwendung aus und klicken Sie auf Weiter.
.png)
In der App-Registrierung:
Geben Sie einen Namen ein.
Wählen Sie als Grant Type die Option Client Credentials aus.
Klicken Sie auf die Schaltfläche Speichern .
.png)
Kopieren:
Application (Client) ID
Client Secret
Wechseln Sie zurück zu DocuWare Konfigurationen und gehen Sie zu Allgemein > Benutzerbereitstellung.
Aktivieren Sie im Plugin Benutzerbereitstellung die Option Benutzerbereitstellung aktivieren.
Kopieren Sie die Werte, die in den Textfeldern für Tenant-URL und Token Endpoint angezeigt werden:
.png)
Nun haben Sie alle Informationen gesammelt, die Sie benötigen, um die On-Premises-Anwendung User Provisioning mit Ihrem DocuWare-System zu verbinden:
The Application (Client) ID
The Client Secret
Tenant Url
Token Endpoint
2. Verbinden Sie die Desktop App Benutzerbereitstellung mit DocuWare
Die On-Premises-Anwendung User Provisioning befindet sich im DocuWare-Installationsordner. Um darauf zuzugreifen, navigieren Sie zum Unterordner UserProvisioning unter folgendem Pfad: C:\Programme(x86)\DocuWare\PowerTools\UserProvisioning.
Um die Anwendungseinstellungen zu konfigurieren, öffnen Sie die Datei UserProvisioning.WPF\UserProvisioningConfigurator.exe, und klicken Sie auf Neu erstellen.
.png)
Wählen Sie im neuen Dialog Umgebung auswählen > DocuWare On-Premise. Klicken Sie auf Weiter.
.png)
Geben Sie die Details ein, um die Anwendung mit DocuWare zu verbinden. Gehen Sie zurück zu Schritt 9 im vorherigen Kapitel, kopieren Sie die benötigten Informationen und fügen Sie sie hier in die Textfelder ein.
Klicken Sie dann auf Hinzufügen , um die Verbindungen zu den Active Directories zu konfigurieren.
.png)
Geben Sie die Informationen zu den Active Directories ein
Geben Sie einen Namen ein. Den Namen für die Konfiguration benötigen Sie auch für die Konfiguration des Windows Taskplaners - siehe unten.
Wählen Sie die Art der Verbindung – LDAP oder Microsoft.
BaseDN und Groups DN sollten der Syntax folgen:
DN-Beispiele für Gruppen: cn=Admins,dc=example,dc=com oder cn=Developers,ou=IT,dc=company,dc=org
BaseDN-Beispiele: dc=example,dc=com oder ou=IT,dc=company,dc=org
Aktivieren Sie optional die Option 'Netzwerk-ID erstellen' - diese Option wird nur für DocuWare On-Premises-Umgebungen unterstützt.
Geben Sie einen Domainnamen an
Festlegen eines geeigneten NetworkIdAttribute – Beispiel: userPrincipalName
Hinweis: Diese Attribute werden nur neu erstellten Benutzern hinzugefügt. Sobald sie bereits bereitgestellt wurden, werden diese Attribute danach nicht mehr aktualisiert
Abschnitt "Gruppen" - Jede Gruppe, die Sie synchronisieren möchten, sollte sich in einer separaten Zeile befinden. Der Gruppenname wird automatisch vorausgefüllt. Wenn Sie die Gruppe jedoch im DocuWare-System umbenennen möchten, können Sie einen benutzerdefinierten Namen eingeben. Alle verschachtelten Gruppen werden auch mit den entsprechenden Benutzern erstellt.
.png)
Dies ist ein Beispiel für das konfigurierte Active Directory-Verbindungsdialogfeld:
.png)
Sobald die Konfiguration gespeichert ist, wird der Name im vorherigen Fenster angezeigt - siehe auch Schritt 4:
.png)
Neben dem Namen der Konfiguration werden die Optionen für Aktiv, Bearbeiten und Löschen angezeigt.
Wenn Sie eine Verbindung zu mehreren Servern und Active Directories herstellen müssen, erstellen Sie für jede Verbindung eine separate Konfiguration.
Klicken Sie auf die Schaltfläche Speichern .
Schließen Sie die lokale Anwendung für die Benutzerbereitstellung.
Ihre Konfiguration ist bereits gespeichert und befindet sich im folgenden Ordner: C:\ProgramData\DocuWare\UserProvisioningConfig.
.png)
3. Konfigurieren Sie den Windows-Taskplaner, um die Synchronisierung auszuführen
Wechseln Sie zum Windows-Taskplaner. Erstellen und planen Sie eine Windows-Aufgabe zum Ausführen der Benutzer- und Gruppensynchronisierung.
Öffnen Sie den Windows-Taskplaner, und klicken Sie auf Grundlegende Aufgabe erstellen
.png)
Führen Sie die im Assistenten gezeigten Schritte aus. Geben Sie zunächst den Namen für die Aufgabe ein.
.png)
Wählen Sie, wann die Synchronisierung ausgelöst werden soll
.png)
Wählen Sie die Aktion: Programm starten. Klicken Sie auf Weiter.
.png)
Wählen Sie die Aufgabe aus, die ausgeführt werden soll, und die Argumente, die verwendet werden sollen.
Der Begriff Argument bezieht sich auf die Benutzerbereitstellungskonfiguration, die Sie in Schritt 8 des vorherigen Kapitels gespeichert haben. Geben Sie den Namen der Datei ein, die aus der Windows-Anwendung (userProvisioning_config_1.json) kopiert wurde.
.png)
Navigieren Sie für Programm/Skript erneut zu DocuWare\PowerTools\UserProvisioning\UserSyncExe, und wählen Sie UserProvisioning.exe aus.
.png)
Klicken Sie auf Fertig stellen. Die Synchronisation startet automatisch. Warten Sie auf die Synchronisierung
Sobald die Synchronisierung abgeschlossen ist, werden die folgenden Informationen im Benutzerbereitstellungskonfigurator angezeigt:
.png)
Wenn die Synchronisierung eines oder mehrerer Benutzer oder Gruppen fehlgeschlagen ist, kann das Feld Zeitstempel mit dem vorherigen Datum bearbeitet werden, damit die Synchronisierungsaufgabe erneut ausgeführt werden kann.
Die User Provisioning-Konfigurationen finden Sie hier: C:\ProgramData\DocuWare\UserProvisioningConfig
Protokolle finden Sie hier: C:\ProgramData\DocuWare\Logs\UserProvisioning
Notizen:
Neue Benutzer, die über die Benutzerbereitstellung erstellt wurden, erhalten eine Willkommens-E-Mail mit einem 3-stündigen Link zum Zurücksetzen des Kennworts. Es wird empfohlen, einen SMTP-Server zu konfigurieren, da sich das Fehlen eines SMTP-Servers negativ auf die Systemleistung auswirken kann.
Stellen Sie sicher, dass das Benutzerkonto, unter dem die Synchronisierung ausgeführt wird, über die Berechtigung zum Lesen aller relevanten Benutzereigenschaften in Active Directory verfügt, da dies für eine ordnungsgemäße Synchronisierung erforderlich ist.
Um SSO mit ADFS als Identity Provider mit Ihrem DocuWare Cloud-System richtig zu konfigurieren, empfehlen wir dringend, userPrincipalName als Zuordnungsattribut für Benutzernamen zu setzen
Durch das Entfernen eines Benutzers aus der Synchronisationsgruppe wird der Benutzer nicht deaktiviert. Es entfernt sie einfach aus der Gruppe. Damit ein Benutzer in unserem System ordnungsgemäß deaktiviert werden kann, muss sein Konto im Active Directory deaktiviert werden.
Ein Benutzer, der vollständig aus dem externen Verzeichnis entfernt wurde, wird in DocuWare nicht automatisch aktualisiert. Die User Provisioning-App synchronisiert nur Änderungen für definierte, vorhandene Benutzer. Wenn ein Benutzer aus dem externen Verzeichnis gelöscht wird, erkennt die App die Änderung nur , wenn die bereitgestellte Gruppe ebenfalls geändert wird, z. B. durch eine Mitgliedschaft oder das Zurücksetzen des Zeitstempels. In diesem Fall wird der Benutzer aus der Gruppe in DocuWare entfernt, bleibt aber aktiv.
In der folgenden Tabelle wird erläutert, wie sich Benutzeränderungen in einem externen Verzeichnis (z.B. Active Directory) auf die Benutzersynchronisation in DocuWare über User Provisioning auswirken:
Status im externen Verzeichnis | DocuWare App Benutzersynchronisation | DocuWare |
Benutzer ist deaktiviert | Überträgt den Status | Benutzer ist deaktiviert |
Der Benutzer wird in die externe Richtung verschoben | erkennt, dass der Benutzer nicht mehr zur synchronisierenden Gruppe gehört | Benutzer bleibt aktiviert |
Der Benutzer wird aus dem Verzeichnis entfernt | Überträgt keine Änderung, es sei denn, andere Gruppenänderungen oder der Zeitstempel wird zurückgesetzt - dann wird der Benutzer aus der Gruppe entfernt | Benutzer bleibt aktiviert |