AD-Synk

LDAP Användarsynkronisering (AD)

Detta är en Enterprise-funktionalitet. I denna artikel går vi igenom hur du kan sätta upp en Användarsynkronisering mot Stratsys med LDAP.

För att lägga en beställning på användarsynkronisering vänligen kontakta er konsult eller kundansvarig på Stratsys.

Tips! Öppna gärna bilderna i en ny flik för att förstora bilderna. Detta gör du genom att högerklicka på bilden och väljer "Öppna bild i ny flik"

Innehåll

Inledning

AD-synk klienten

Externkoder

Administrera användare

Se resultatet av en körning

Lokal loggning på server

Förändringar AD-synk i Stratsys (FAQ)

Användare (FAQ)

Inledning

Många Stratsyskunder vill idag ha en integrerad användarhantering som medför att användare automatiskt överförs från kundens katalogtjänst, LDAP(S) - (Secure) Lightweight Directory Access Protocol (Ett protokoll och en datamodell för kommunikation med en katalogtjänst). Allra vanligast förekommande är AD-Active Directory (Katalogtjänst som utvecklas av Microsoft för Windows, håller information om alla datorer och användare i en windowsdomän). Kunden har full kontroll över vilka behörigheter som tilldelas eller har tilldelats en användare. Integrerad överföring av användare via synk från kundens katalogtjänst underlättar för administratörerna då användare läggs upp, ändras eller tas bort via ett automatiserat flöde.

Med en AD-synkronisering kan ni spara mycket tid på administration av användare och behörigheter. Istället för att hantera detta manuellt så slår alla ändringar som görs i er organisations AD-katalog igenom per automatik. Då läsa-behörighet i Stratsys är kostnadsfritt så kan en AD-synkning vara ett effektivt sätt att öppna upp Stratsys för hela organisationen. Detta förenklar administrationen av användaruppgifter och säkerställer på samma gång att uppgifterna i Stratsys är fullständiga och korrekta utifrån den information som finns i AD.

AD-synk-klienten

Klientapplikationen är byggd av Stratsys och den gör det möjligt att synkronisera användare från kundens AD till Stratsys. Programmet hämtar en lista av användare från kundens AD-grupper enligt konfiguration som görs i klienten. Den jämför sedan listan med de användare som finns i Stratsys och skapar eller uppdaterar användare därefter. Användare som inte finns i listan kommer att tas bort från Stratsys. Klienten körs som ett schemalagt jobb (detta görs exempelvis varje natt) på en server i kundens miljö som kan komma åt kundens AD. 

Förutsättningar 

För att kunna göra en komplett användarsynkronisering med Stratsys klientapplikation behöver följande punkter uppfyllas: 

  • Kunden har alla eller flertalet av sina användare i ett Active Directory (AD) eller annan LDAP katalog. 
  • Stratsys klientapplikation stödjer Secure LDAP (LDAPS) 
  • Användarnamn eller epost-adress är samma i Stratsys och kundens AD. 
  • För att användarna ska få rätt organisatorisk enhet i Stratsys krävs att det går att mappa enheterna i Stratsys mot motsvarande enheter i LDAP-katalogen. Namnet på enheterna måste inte vara samma men en 1–1-mappning måste vara möjlig. 
  • För att användarna ska få rätt behörighetsgrupp i Stratsys krävs att man i kundens AD kan mappa en AD-grupp mot en Stratsys behörighetsgrupp. 

Kommunikation

All information som skickas mellan klienten och Stratsys servrar sker säkert via SSL-kryptering. Stratsys tjänster accepterar enbart trafik via HTTPS.  

Ni behöver öppna för utgående trafik mot följande IP-nummer: 

    • 217.28.207.155  

Enbart inloggade användare kan komma åt Stratsys. Varje användare har sin egen användaridentitet i systemet och det är inte tillåtet att dela användaruppgifter. 

All information i Stratsys lagras i en SQL-databas. Databasservern skyddas bakom flera lager av brandväggar och är inte tillgänglig för trafik från internet. All data lagras i Sverige. 

Stratsys mjukvara lever upp till de tekniska krav som gäller för GDPR. Inga känsliga personuppgifter hanteras i Stratsys. De personuppgifter som sparas i Stratsys ligger lagrad i SQL-databaser och avser enbart användarnas e-postadresser, namn och användarnamn. Lösenord lagras normalt sätt i kundens inloggningslösning för att verifiera användare. 

Stratsys synkklient kan med fördel installeras på redan befintlig server som uppfyller nedan minimumkrav: 

    • Minneskrav – 4GB ram 
    • Windows server 2012 eller nyare 
    • Hårddisk – 40GB 
    • CPU – enkelkärnig 

Installationspaketet för klienten innehåller två applikationer: 

    • ADToStratsysSync.exe (A2S): Applikationen som kör synkroniseringen. Synkroniserar användare från ert AD till Stratsys. Hämtar en full lista av användare från ADt som ska finnas i Stratsys. Alla användare i listan skapas upp eller uppdateras i Stratsys. Användare som inte tillhör listan tas bort i Stratsys. 
    • AppConfigGUI.exe (GUI): konfigurationsapplikation för att sätta upp kopplingen mellan kundens användarkatalog och Stratsys. Styr också vilka behörighetsgrupp som kommer att synkas. 

Nedladdning av AD-synk klienten

  1. Med hjälp av en valfri FTP-klient, exempelvis FireZilla, navigera till ftp://ftp.stratsys.se.

    Användarnamn: adsyncuser
    Lösenord: adsync

  2. Navigera till mappen som heter ADToStratsysSync och ladda ner den senaste versionen av ADToStratsysSync_20XXXXXX.XXXX.zip.
  3. Packa upp filerna ur mappen och placera dem på önskad plats (helst inte under Programfiler/programfiler (x86) eftersom dessa filer kontrolleras av Windows).
  4. Ersätt clientsettings.json filen i Config mappen med den clientsettings.json fil du fått från din Stratsyskontakt.
  5. Kör AppConfigGUI.exe som administratör. GUI laddar filen med de nya inställningarna i config mappen. Genom att spara, så lagras ändringarna i filen. Genom att välja Reset så återställs applikationen. Genom att välja Quit avslutas applikationen.
  6. Säkerställ att användaren som kör applikationen har möjlighet att skapa filer i applikationens mapp på servern.

Flik: Stratsys

För att kopplingen mot Stratsys ska fungera behöver clientSettings.json filen vara ersatt med rätt information enligt artikeln kring Galleri-klienter (https://www.stratsys.com/sv/stratsys-manual/stratsys-api#directory-sync-client).

I clientSettings.json-filen finns bland annat clientId och client secret som krävs för att upprätta en korrekt koppling mot den Stratsys-databas som användarna ska synkroniseras till.

Om kopplingen fungerar får ni ett OK när ni klickar på Test Connection.

Flik: LDAP

Alla förfrågningar mot ADt är auktoriserade genom att använda LDAP server namn, användarnamn och lösenord. Dessa uppgifter specificeras under LDAP-fliken. Om LDAPS (secure LDAP) önskas bocka i "Use secure authentication"

Exempel på Servernamn:

LDAP://ad.contoso.local 

LDAP://ad.contoso.local/CN=Admin,OU=Users,DC=contoso,DC=local 

Klicka på Test connection. Om du får ett OK kan du gå vidare till nästa flik.

Notera att om ni sätter upp synkroniseringen att köra med Secure LDAP så ska det ändå alltid stå LDAP:// som inledning av LDAP-strängen.

Flik: Groups

I denna flik mappar du Stratsys behörighetsgrupper mot AD-grupper. Om LDAP-fliken är korrekt konfigurerad och behörighetsgrupperna är uppsatta i Stratsys ska det vara möjligt att välja AD-grupper och Behörighetsgrupper. Vid AD-synkronisering så får användare sin behörighetsgrupp satt på sig. För att de ska få rätt behörighetsgrupp behöver användarna ingå i gruppen i ert AD.

Konfigurera mappningen mellan AD-grupperna och Stratsys grupperna:

  • Välj en av AD-grupperna i scrollistan under AD Groups.
  • Välj en av Stratsys behörighetsgrupper i  scrollistan under Stratsys Groups.
  • När du väljer Add så mappas de två du valt.
  • För att ta bort en mappning, bocka i AD-gruppen under Mappings och välj Remove selected.
  • Om du önskar ha en fall-back enhet för en behörighetsgrupp så kan du lägga till en Department (enhet). Det innebär att om en användare saknar en enhetstillhörighet men har en behörighet så hamnar användaren på fall-back enheten.

Flik: Departments

AD-enheter mappas med Stratsys enheter direkt i Stratsys under källsystem och externa koder. Kolla i artikeln Källsystem & externa koder om du vill veta hur dessa sätts upp.

Default department är standardenheten som användare får om användare saknar enhetstillhörighet i ADt. Om man önskar en fall-back enhet för varje behörighet så går det att ställa in det under fliken Groups.

Om Ignore Ldap department är ibockad så ignoreras tillhörigheten i ADt och default enheten används. Alla användare får då samma enhetstillhörihet i Stratsys.

Extra Group och Extra Department gör att det är möjligt att ge alla användare en extrabehörighet och extraenhet (båda fälten behöver fyllas i för att extrabehörigheten ska läggas till). Denna inställning är valfri. När man fyller i dessa fält så ges extrabehörigheten till alla användare. Vill man ge specifika användare en extra behörighet så görs detta direkt i Stratsys. Då behöver användaren kopplas bort från katalogtjänst (ad-synkronisering) först och sedan kopplas katalogtjänst på igen. 

I denna flik är det möjligt att testa vilka enheter som inte går att mappa i konfigurationen. Då klickar du på Test mappning.

Flik: Advanced

Under advanced fliken sätts de attribut som används. Här är alla delar förinställda men kan justeras efter era egna inställningar. Du kan här välja vilken typ av LDAP som ska användas, adLDAP eller openLDAP. Du kan även välja om du önskar LDAP query eller inte. Vi rekommenderar dessa inställningar:

  • Use Ldap query (true)
  • Ldap type: adLDAP
ReplayFile är en fil som går att generera för att se vilka användare som synkroniserats in till Stratys. Filen går att använda för filsökning och går även att använda för att se om det uppstår några fel innan synkroniseringen faktiskt körs. Vi rekommenderar inställningen "OnError" som standard.

Flik: Run Program

För att köra synkroniseringen klickar du på run.

Felsökning

  1. Säkerställ att clientsettings.json filen som du fått från din Stratsyskonsult är placerad i config mappen eftersom filen innehåller nödvändig information för att synkroniseringen ska fungera.
  2. Säkerställ att följande IP-adress tillåts:
            217.28.206.151 
  3. Kontrollera servernamn, användarnamn och lösenord
  4. Kontrollera att LDAP:// är inkluderat i servernamnet
  5. Under avancerat-fliken testa att bocka i/ur Use LDAP Query
  6. Under avancerat-fliken testa att bocka i/ur LDAP type: adLDAP
  7. Kontrollera Attributen
  8. Generera en replay-fil
  9. Om ovanstående kontrollerats vänligen skicka replay-filen och information om felet till support@stratsys.se

Schemalagd synkronisering

Filen ADToStratsysSync.exe synkroniserar från ert AD till Stratsys genom att klicka på run. Detta bör ske som en shemalagt synkronsiering. Vi föredrar att synkroniseringen sker under natten, gärna 05:00. Schemaläggningen görs av kund och är inte en del av konsultationen från Stratsys.

Vid synkroniseringen så genereras en log-fil. Dessa hamnar i logs-mappen. Du kan även hitta information om synkroniseringen under Stratsys plattformsadministration > Användarsynk

Externkoder

För att en integration mot AD ska fungera behöver enheterna i ert AD mappas med enheterna i Stratsys. Det är därför bra om trädet i ert AD är relativt likt enhetsträdet ni har i Stratsys. Om ert organisationsträd är mer detaljerat i ert AD så finns möjlighet att mappa flera enheter från ert AD mot en enhet i Stratsys. Detta kallas n-1 (många-till-ett) mappning. Du kan läsa mer om källsystem och externa koder här.

Vad är externkoder?

Begreppet "extern kod" används av Stratsys för att översätta ett källsystems interna koder och begrepp till de organisatoriska enheter, mått och måttkolumner som finns i Stratsys.

Hur lägger jag till en externkod?

Se förklaring på detta i artikeln källsystem och externa koder.

Administrera användare


Om AD synk är aktiverat syns denna ikon efter respektive användare under administrationen>användare. En användare som är synkad kan inte ändras i Stratsys och uppdateras enbart genom synkningen till organisationens AD. I listan med användare i Stratsys ser du om användaren är en synkad användare eller en ej synkad användare.

Användartyper

Användare i Stratsys kan vara av 2 typer:

1. Synkad användare = ikonen  visas
Denna användare kan inte ändras i Stratsys och uppdateras enbart genom synkningen med kundens AD.

2. Ej synkad användare = ikonen  visas INTE
Om användaren har kopplats loss från AD synken så ingår den inte längre i synkningen. 

Slå på/av synkroniseringen för en användare
Om användaren ska kopplas mot eller ifrån AD synken görs detta genom att gå till Plattformsadministrationen > Användare. Där går det på respektive användare, genom att klicka upp inställningar, att bocka i och ur "Synkronisering". Om den är påslagen så ingår användaren i AD-synken, och om den är av så ingår inte användaren i AD synken utan administreras manuellt i Stratsys.

Lägg till extrabehörigheter

Genom att slå av synkronisering mot katalogtjänst så kan du justera användaren. Från AD-synk klienten synkroniseras förnamn, efternamn, användarnamn, e-postadress, huvudbehörighet och enhetstillhörighet. Det är även möjligt att synka extrabehörighet från klienten men den extrabehörigheten läggs till på alla användare och går inte att specificera.

För att lägga till en extrabehörighet för specifika användare kan du göra det genom att slå av synkroniseringen i plattformsadministrationen (inget farligt händer när du gör detta), och sedan behöver du gå till Stratsys administrationen för att justera användarens behörigheter.

Här lägger du till en extrabehörighet och sparar och går sedan tillbaka till plattformsadministrationen för att slå på synkroniseringen för användaren igen. Extrabehörigheten stannar då kvar för användaren.

 

Vill du veta mer om denna tjänst eller lägga en beställning? Kontakta kundansvarig på Stratsys för mer information!

Se resultatet av en körning

Varje körning, både i test- och produktionsläge, genererar en post i Stratsys Platform Center där det går att verifiera resultatet. Man kan se all in-data från AD:t genom att klicka på raden man är intresserad av, så öppnas en panel till höger på skärmen där det går att se vad synkroniseringstjänsten har utfört. Expandera den sektion du är intresserad av för att läsa mer om vad som hänt i varje steg.

Använd webbläsarens sökfunktion för att snabbt hitta det användarnamn du är intresserad av att söka fram information kring. Den sektion du vill leta i behöver vara i expanderat läge.

 

Resultatet av en användarsynkronisering

Sektionen indata (längst upp) innehåller exakt det som Stratsys Platform Center får från synk-klienten, så en bra start i undersökning/felsökning är att titta i den sektionen först.

Exempel på informationsposter

Lyckade

"Membership synchronized for user with username XXXX"

"Added user with username XXXX"

"Deleted user with username XXXX" 

Varningar

"User XXXX is not flagged for syncronization and will not be updated" - användaren har inställningen "Användare hanteras genom en extern användarkatalog" avstängd, vilket i sin tur innebär att användaren ej hanteras av användarsynken

Misslyckade

"User synchronization failed for user with username XXXX: Error when restoring user in Stratsys. Status code: NotFound" - användaren XXXX har ej lyckats synkas över till Stratsys

"Membership synchronization failed for user with username XXXX: InternalServerError:\"Collection of memberships is empty\"" - synkronisering av användare XXXX till en behörighetsgrupp i Stratsys har misslyckats, kontrollera att användaren tillhör någon av grupperna i ert AD som är mappad mot en Stratsys-behörighetsgrupp i Stratsys användarsynkklient

"Group XXXX not found" - Gruppen hittas inte, säkerställ att gruppen finns i Stratsys och är mappad mot en grupp från ert AD i Stratsys användarsynkklient 

"Department XXXX not found" - Enheten hittades inte, säkerställ att enheten finns i Stratsys och att den har en externkod som stämmer överens med namnet på enheten i ert AD

Notifieringsinställningar

Det finns möjlighet att i Stratsys Platform Center att aktivera automatiska mailnotiser för användarsynkronisering. Det finns två alternativ för mailnotiser:

1. Informera mig efter varje körning

Väljer ni detta alternativ så kommer det skickas ut ett mail varje gång användarsynken körs (vanligtvis en gång per dygn), oavsett om åtgärd krävs eller ej.

2. Informera mig när åtgärd krävs

Väljer ni detta alternativ så kommer det endast skickas ut ett mail när åtgärds krävs, dvs om körningen genererar misslyckade informationsposter men även om det inträffar något tekniskt fel som stoppar körningen totalt. Möjliga åtgärder som kan behöva vidtas kan vara något av följande: En enhet saknas; En grupp saknas; Skapandet av en användare misslyckades; Borttagandet av en användare misslyckades; Återställningen av en borttagen användare misslyckas; Synkroniseringen av medlemskap för en användare misslyckas.

För att aktivera mailnotiser går ni in till Stratsys Platform Center > Användarsynk > LDAP > Inställningar. Här anger ni mailadressen till de användare som ska få mailnotiser och väljer ett av alternativen för mailutskick. Användaren ni anger måste vara en användare i plattformen men det skulle till exempel kunna vara en användare som ni skapar specifikt för detta ändamål och döper "Support" och som har en support-mailadress dit ni vill ha notiser. Observera att det finns möjlighet att lägga till flera mailadresser med olika alternativ för mailnotiser.

 

Lokal loggning på server

Skulle det vara så att det inte dyker upp någon post i Stratsys Platform Center så har inte Stratsys Platform Center fått någon synkroniseringssignal från synk-klienten. I detta fall finns det lokal loggning på servern under katalogen \logs som ska ge en indikation på vad som kan behöva åtgärdas. Kontakta Stratsys (support@stratsys.se) om ni behöver assistans via skärmdelning eller motsvarande.

Förändringar AD-synk i Stratsys (FAQ)

Kan man börja ändra i org. innan versionshantering? vad händer då med synken?  

Vet ni om att en förändring av enhets ID kommer att ske mellan två år, så kontakta Stratsys i god tid för att se över hur ni bäst hanterar ändringarna. Annars finns risken att användare inte kommer in under rapporteringsperioden.  

  • Det går bra att göra organisationsförändringar i planeringsversionen men gör inga ändringar i AD:t eller ändra befintliga externa koder.  
  • AD-synkroniseringen fungerar endast mot aktuell version.  
  • Görs det ändringar i planeringsversionen gällande AD:t och enheters koder i Stratsys kan det resultera i att användare inte kommer in alls i systemet eller hamnar på en annan enhet än de bör göra.  
  • Risken finns att användarna raderas helt om synken inte hittar rätt enhetsID.  
  • Vi rekommenderar att vänta med att flytta användare i AD:t till efter versionshantering då majoriteten av användarna behöver ha tillgång att rapportera på innevarande år.  
  • Ge istället användare behörighet till enheten i aktuell version. 

Exempel:  En enhet ska delas upp i 2 olika enheter nästkommande år och har därför fått ett nytt ID. Användarna ska komma in i 2019 på sin gamla enhet för att kunna rapportera men på sin nya i 2020.  

Rekommendation: Vänta till efter versionshantering då förändring ej går att genomföra. En användare kan inte tillhöra ett enhets-ID i nuvarande år och ett annat nästkommande år. Ge användaren istället behörighet till enheten i behörighetsgruppen.  

Vad händer med användare som byter/får ny enhet?  

Användare byter enhet i nuvarande år:  

Om en användare byter enhet till en som finns i nuvarande år, flyttas användaren till den nya enhet hen ska ha. Behöver användaren ha behörighet att rapportera på sin gamla enhet behöver behörigheterna ses över.   

Användare byter enhet inför kommande år:  

Om användaren ska byta till en helt ny enhet i planeringsversionen men vara kvar på sin gamla i aktuell version görs detta efter versionshantering. Ge användaren tillgång genom behörighet.  

Om ändringar internt redan har skett, kontakta Stratsys innan någon ändring görs.  

Vad händer med användare vars enhet tas bort?  

När en användare tillhör en enhet som tas bort vid versionshantering kommer användaren efter versionshantering inte längre komma in i Stratsys. Beroende på konfiguration kan de även hamna på en annan enhet som de inte tillhör, det är möjligt att det finns definierat en default-enhet där användare läggs om inte aktuell enhet hittas. 

Vad händer om vi ändrar enhet på användaren i AD:t i planeringsversion innan vi versionshanterar i stratsys?  

När du ändrar enhet för användaren i AD:t i planeringsversionen kommer användaren inte kunna planera. AD-synkroniseringen går endast mot aktuell version.  

Vad händer med enheter som bara finns i planeringsversionen? 

Då synkroniseringen endast går mot aktuell version så kommer inte dessa enheter att finnas i den organisation i Stratsys som används vid synkroniseringen. Det går alltså inte att synkronisera in användare dit.  

Rekommendation: 

Om dessa användare ska ha åtkomst till Stratsys under innevarande år så får man hantera detta genom att lägga in en ”många-till-ett”-kod för den nya enheten dit användare kan synkroniseras in till dess att versionshanteringen görs. 

Användare (FAQ)

En användare har bytt enhet i AD:t men det har inte slagit igenom än i Stratsys?  

Hur ofta synkroniseringen ska ske styrs av kund. Det vanligaste är att det sker en gång på morgonen. Det innebär med andra ord att saker inte får genomslag direkt och är förmodligen svaret på problemet (med förutsättning att det fungerat tidigare). Alternativet är att användaren inte är synkroniserad. Detta ser du genom att gå in i användaradministration och ifall rutan ”Användaren är kopplad mot extern katalogtjänst” är ikryssad. 

Användare som vi inte ville skulle tas bort har försvunnit från Stratsys. Varför? 

Antingen finns de inte i AD:t och har tagits bort av denna anledning, eller så finns de inte i någon av grupperna i AD:t som är inlagda i klienten att synkroniseras.  

Om de inte finns i AD:t men ska finnas i Stratsys innebär det att användaren behöver återställas. Gå in i användaradministrationen och sök på borttagna användare. Återställ därefter användaren och ta bort dennes koppling till AD-synk klienten genom att bocka ur ”Användaren är kopplad mot extern katalogtjänst”. 

Om personen inte finns i någon av grupperna så gör du samma sak som ovan nämnt, dvs. söker efter personen i borttagna och återställer användaren. Om kunden flyttar användaren till en grupp i AD:t som är invald i klienten, alternativt väljer att synkronisera en ny grupp som användaren tillhör via klienten i sin miljö så behövs inte ”Användaren är kopplad mot …” bockas ur. Om användaren inte flyttas behöver denna bockas ur, annars kommer personen bara tas bort igen. 

Användaren har inte lästs in. Varför? 

Antingen finns personen inte i AD:t eller så tillhör personen inte en grupp som är invald för synkronisering.