AD-Synk

LDAP Användarsynkronisering (AD)

Denna artikel syftar till att beskriva Stratsys lösning för användarsynkronisering mot en LDAP(S) katalog. Nedan hittar ni lösningsbeskrivning, uppsättningsguide samt vägledning för underhåll och felsökning.

💡Använder ni inte Användarsynkronisering idag, vänligen kontakta er kundansvarig på Stratsys för vidare dialog då det är en Enterprise-/tilläggstjänst.

Tips! Öppna gärna bilderna i en ny flik för att förstora bilderna. Detta gör du genom att högerklicka på bilden och väljer "Öppna bild i ny flik"

Innehåll

Lösningsbeskrivning

Förutsättningar

Inför uppstart

Uppsättningsguide

Förvaltning och underhåll

Felsökning

Förändringar AD-synk i Stratsys (FAQ)

Användare (FAQ)


Lösningsbeskrivning

Användarsynkronisering är en viktig och kraftfull funktion som möjliggör en sömlös integration mellan Stratsys och en LDAP(S)-katalogtjänst. Genom att implementera denna lösning kan ni centralt hantera användarinformation och behörigheter, vilket resulterar i en mer effektiv och säker användarhantering.

Fördelar och Nyttor

Enkel och Effektiv Användarhantering

Med användarsynkronisering underlättar ni hanteringen av användare i Stratsys. I stället för att manuellt skapa och uppdatera användarprofiler kan informationen automatiskt hämtas från er LDAP(S)-katalogtjänst. Detta minskar risken för felaktiga data och sparar tid då användarprofilerna hålls aktuella utan extra arbete.

Enhetlighet och Säkerhet

Genom att ha en central källa för användarinformation, säkerställer ni enhetlighet i era användarprofiler och minimerar risken för säkerhetshot. När en användare lämnar organisationen eller ändrar sina uppgifter i katalogtjänsten, kommer dessa förändringar automatiskt att reflekteras i Stratsys. Detta ger er bättre kontroll över användaråtkomst och minskar risken för obehörig åtkomst.

Stratsys användarsynkklient

Den tekniska lösningen för användarsynkronisering mot Stratsys från en LDAP(S)-katalog är en klientapplikation som installeras på valfri server hos er. Applikationen är framtagen av Stratsys och kommer utrustad med ett gränssnitt för att enkelt konfigurera inställningarna som behövs för att ni ska få en användarsynkronisering anpassad efter era behov. I applikationen etableras anslutningen till er katalogtjänst och därefter väljer ni in vilka grupper från ert AD som innehåller användarna som ska synkas mot Stratsys samt väljer vilken behörighetsgrupp som respektive grupp ska synka mot. På det sättet får användaren en behörighetsgrupp i Stratsys. En användare kan ligga i flera AD-grupper och kommer då tillhöra flera behörighetsgrupper i Stratsys. I klientapplikationen konfigureras och mappas även vilka attribut i ert AD som ska synkroniseras för att matcha och överföra relevant användarinformation till Stratsys. Informationen som synkas är följande:

  • Förnamn
  • Efternamn
  • Mejladress
  • Användarnamn
  • Organisationsenhet

Observera att samtliga av dessa attribut måste kunna hämtas från katalogtjänsten för att användaren ska skapas upp i Stratsys.

Information för organisationsenhet är viktigt för att användaren ska tillhöra rätt del i organisationen i Stratsys och kunna göra som planering och uppföljning på den enheten som användaren jobbar på. Det är inget krav på att namnet på enhetsattributet i katalogtjänsten ska överensstämma med namnet på enheten i organisationsträdet i Stratsys, men enheterna måste kunna mappas ett-till-ett eller många-ett. Mappningen görs inne i Stratsys och behöver hållas uppdaterad efter organisationsförändringar. Det är ej möjligt att synka användare till dolda enheter i Stratsys.

När användarsynkklienten körs hämtas en lista av användare från era AD-grupper enligt konfiguration som görs i klienten. Den jämför sedan listan med de användare som finns i Stratsys och skapar eller uppdaterar användare därefter. Användare som inte finns i listan kommer att tas bort från Stratsys.

Synkroniseringsintervallet konfigureras enligt era behov beroende på hur ofta ni önskar uppdatera användarinformationen i Stratsys. Det vanligaste synkroniseringsintervallet hos våra kunder är 1 gång per natt. I Stratsys Platform Center hittar ni loggning över alla körningar med information om hur många användare som har synkroniseras och om det uppstått varningar eller eventuella åtgärder som behöver genomföras.


Förutsättningar 

För att kunna göra en komplett användarsynkronisering med Stratsys klientapplikation behöver följande punkter uppfyllas: 

  • Kunden har alla eller flertalet av sina användare i ett Active Directory (AD) eller annan LDAP katalog. 
  • Användarnamn och epost-adress är samma i Stratsys och kundens AD. 
  • För att användarna ska få rätt organisatorisk enhet i Stratsys krävs att det går att hämta enhetsinformation från ett attribut i AD:t och att det går att mappa enheterna i Stratsys mot motsvarande enheter i LDAP-katalogen. Observera att det inte går att hämta enhetsinformation från flera attribut i AD:t, därför är det viktigt att säkerställa att det finns ett attribut som innehåller information om samtliga organisationsnivåer som ska synkas. Namnet på enheterna måste inte vara samma men en 1–1-mappning eller *–1-mappning måste vara möjlig. 
  • För att användarna ska få rätt behörighetsgrupp i Stratsys krävs att man i kundens AD kan mappa en AD-grupp mot en Stratsys behörighetsgrupp. 
  • Stratsys klientapplikation stödjer Secure LDAP (LDAPS) 

Kommunikation

All information som skickas mellan klienten och Stratsys servrar sker säkert via SSL-kryptering. Stratsys tjänster accepterar enbart trafik via HTTPS (port 443).  

Ni behöver öppna för trafik mot följande IP-nummer: 

  • Öppna utgående: 217.28.206.151

Enbart inloggade användare kan komma åt Stratsys. Varje användare har sin egen användaridentitet i systemet och det är inte tillåtet att dela användaruppgifter. 

All information i Stratsys lagras i en SQL-databas. Databasservern skyddas bakom flera lager av brandväggar och är inte tillgänglig för trafik från internet. All data lagras i Sverige. 

Stratsys mjukvara lever upp till de tekniska krav som gäller för GDPR. Inga känsliga personuppgifter hanteras i Stratsys. De personuppgifter som sparas i Stratsys ligger lagrad i SQL-databaser och avser enbart användarnas e-postadresser, namn och användarnamn. Lösenord lagras normalt sätt i kundens inloggningslösning för att verifiera användare. 

Stratsys synkklient kan med fördel installeras på redan befintlig server som uppfyller nedan minimumkrav: 

    • Minneskrav – 4GB ram 
    • Windows server 2012 eller nyare 
    • Hårddisk – 40GB 
    • CPU – enkelkärnig 

Inför uppstart

Inför uppstart är det bra om ni funderar över vilka användare och behörighetsgrupper ni önskar synka till Stratsys. Det är också en god idé att se över era befintliga behörighetsgrupper i Stratsys. Kanske har ni grupper som inte längre används och som kan städas bort. 

Ni bestämmer själva vilka och hur många behörighetsgrupper ni önskar synka till Stratsys, men en rekommendation är att undvika att synka specialgrupper som endast innehåller ett fåtal användare. Dessa behörigheter kan istället hanteras manuellt i Stratsys för att undvika att skapa upp en massa behörighetsgrupper i ert AD.


Uppsättningsguide

Steg 1 - Besluta om enhetsattribut, skapa källsystem och mappa organisationsträdet i Stratsys

  1. Hitta ett passande attribut i er användarkatalog 
    Identifiera ett lämpligt attribut för alla användare som innehåller information om deras organisationstillhörighet. Det behöver vara ett och samma attribut för samtliga användare, det går exempelvis inte att använda olika attribut för olika organisationsnivåer. Detta attribut kommer sedan att användas i attributmappningen i klientapplikationen (steg 5).
  2. Skapa ett källsystem
    Skapa ett källsystem med namnet "AD-synk" och lägg till integrationen "Användarsynkronisering - Synkronisering mot katalogtjänst" enligt instruktionen här. Detta källsystem fungerar som en behållare för mappning av enhetskoder för användarsynkroniseringen.
  3. Mappa organisationsstrukturen 
    Mappa organisationsstrukturen mellan enheterna i er användarkatalog och Stratsys för att säkerställa att användarna hamnar korrekt i Stratsys. Följ instruktionerna här för organisationsenhetsmappning. Föredrar ni att fylla i mappningen i en Excel-fil och göra en engångsinläsning så är det möjligt att få ert organisationsträd från Stratsys skickat till er som vi sedan hjälper er att läsa in, kontakta er Stratsyskonsult om det önskas så hjälper vi er. 
    Om er organisationsträd är mer detaljerat i katalogtjänsten, kan ni använda n-1 (många-till-ett) mappning för att matcha flera enheter från AD mot en enhet i Stratsys. Konfigurera detta enligt den här beskrivningen.

OBS! Notera att användare inte kan synkas till dolda enheter i Stratsys

Nyhet! Nu kan du tilldela externa koder till enheter som enbart existerar i planeringsversionen av Stratsys. Detta innebär att om du har användare som tillhör nya enheter för det kommande året, enheter som ännu inte existerar i den befintliga versionen av Stratsys, kan de redan nu börja planera för nästa år.

Observera att en extern kod endast kan kopplas till en enhet, oavsett vilken version du befinner dig i. Det är inte möjligt att använda samma externa kod för både en enhet i den nuvarande versionen och en annan enhet i planeringsversionen. Detta säkerställer att externa koder förblir unika och exakta för varje enskild enhet.

Steg 2 - Skapa Stratsysgrupper i användarkatalogen

Skapa grupper i er användarkatalog som ska styra vilka användare som synkroniseras med Stratsys. I konfigurationen av klientapplikationen ska de grupperna mappas 1-1 med behörighetsgrupperna i Stratsys, så utgå från dessa när ni skapar grupperna i användarkatalogen.

Ett vanligt upplägg är att man har en läsargrupp där man lägger samtliga användare som ska ha behörighet till att läsa i Stratsys, en (eller flera) grupp för fullständig användare och en (eller flera) grupp för rapportörer. 

Har man inte möjlighet att sätta upp en automatisk lösning för att fylla grupperna på en sån detaljnivå så kan man göra en enklare lösning och synka endast en läsargrupp för att kunna styra vilka användare som har tillgång till Stratsys och säkerställa att deras användaruppgifter och enhetstillhörighet är rätt och lägga till övriga behörigheter manuellt i Stratsys som extrabehörigheter.

Steg 3 - Aktivera synkronisering och flagga användare som synkroniserade

  1. Aktivera synkronisering i Stratsys Plattform Center
    Synkronisering behöver aktiveras i plattformen för att möjliggöra att klientapplikationen kan integrera med Stratsysinstansen. Observera att aktivering av den här funktionen inte innebär att en användarsynk körs utan endast möjliggör synkronisering från klientapplikationen. Körning av klientapplikationen triggas alltid från kundens server. 
  2. Flagga användare som synkroniserade
    Det är inte ovanligt att det finns användare i Stratsys som har skapats upp manuellt redan innan användarsynkroniseringen aktiveras. För att dessa användare ska kunna administreras av synken när den aktiveras så behöver de flaggas som synkroniserade. Gå till Stratsys Platform Center och slå på Flagga alla befintliga användare som synkroniserade.

    Har ni användare som behöver hanteras utanför synken, exempelvis konsulter som ska jobba i Stratsys men som inte finns i er användarkatalog, så ska denna inställning vara avstängd för den användaren. Hur ni gör för att slå av/på inställningen för enskilda använda hittar ni här.

    När synkronisering är aktiverad för en användare så kommer möjligheten att justera användarens metadata och huvudbehörighet inte längre vara möjlig. Huvudbehörigheten kommer att bli utgråad så som på bilden nedan och kommer endast ändras om annan information kommer från katalogtjänsten.


    Kör ni synkroniseringen och får varningen nedan så beror det på att användare inte har flaggan för synkronisering aktiverad.
    "User User1 is not flagged for synchronization and will not be updated"

Steg 4 -  Nedladdning av AD-synk-klienten

Installationspaketet för klienten innehåller två applikationer: 

    • ADToStratsysSync.exe (A2S): Applikationen som kör synkroniseringen. Synkroniserar användare från ert AD till Stratsys. Hämtar en full lista av användare från ADt som ska finnas i Stratsys. Alla användare i listan skapas upp eller uppdateras i Stratsys. Användare som inte tillhör listan tas bort i Stratsys. 
    • AppConfigGUI.exe (GUI): konfigurationsapplikation för att sätta upp kopplingen mellan kundens användarkatalog och Stratsys. Styr också vilka behörighetsgrupp som kommer att synkas. 

Senaste versionen av klienten är denna:

Version 1.10

  1. Packa upp filerna ur mappen och placera dem på önskad plats (helst inte under Programfiler/programfiler (x86) eftersom dessa filer kontrolleras av Windows).
  2. Kör AppConfigGUI.exe som administratör. GUI laddar filen med de nya inställningarna i config mappen. Genom att spara, så lagras ändringarna i filen. Genom att välja Reset så återställs applikationen. Genom att välja Quit avslutas applikationen.
  3. Säkerställ att användaren som kör applikationen har möjlighet att skapa filer i applikationens mapp på servern.

Steg 5 - Konfiguration i klienten

Flik: Stratsys

För att kopplingen mot Stratsys ska fungera behöver clientSettings.json filen vara ersatt med rätt information enligt artikeln kring Galleri-klienter (https://www.stratsys.com/sv/stratsys-manual/stratsys-api#directory-sync-client).

I clientSettings.json-filen finns bland annat clientId och client secret som krävs för att upprätta en korrekt koppling mot den Stratsys-databas som användarna ska synkroniseras till.

Om kopplingen fungerar får ni ett OK när ni klickar på Test Connection.

Flik: LDAP

Alla förfrågningar mot ADt är auktoriserade genom att använda LDAP server namn, användarnamn och lösenord. Dessa uppgifter specificeras under LDAP-fliken. Om LDAPS (secure LDAP) önskas bocka i "Use secure authentication"

Exempel på Servernamn:

LDAP://ad.contoso.local 

LDAP://ad.contoso.local/CN=Admin,OU=Users,DC=contoso,DC=local 

Klicka på Test connection. Om du får ett OK kan du gå vidare till nästa flik.

Notera att om ni sätter upp synkroniseringen att köra med Secure LDAP så ska det ändå alltid stå LDAP:// som inledning av LDAP-strängen.

Flik: Groups

I denna flik mappar du Stratsys behörighetsgrupper mot AD-grupper. Om LDAP-fliken är korrekt konfigurerad och behörighetsgrupperna är uppsatta i Stratsys ska det vara möjligt att välja AD-grupper och Behörighetsgrupper. Vid AD-synkronisering så får användare sin behörighetsgrupp satt på sig. För att de ska få rätt behörighetsgrupp behöver användarna ingå i gruppen i ert AD.

Konfigurera mappningen mellan AD-grupperna och Stratsys grupperna:

  • Välj en av AD-grupperna i scrollistan under AD Groups.
  • Välj en av Stratsys behörighetsgrupper i  scrollistan under Stratsys Groups.
  • När du väljer Add så mappas de två du valt.
  • För att ta bort en mappning, bocka i AD-gruppen under Mappings och välj Remove selected.
  • Du kan också mappa en hel behörighetsgrupp till en och samma enhet i klienten. Samtliga användare i behörighetsgruppen skapas då upp på denna enhet oavsett om de är mappade i ert AD. Mappa behörighetsgruppen genom att skriva in exakta namnet på den enhet du önskar mappa gruppen till under Department.

Flik: Departments

AD-enheter mappas med Stratsys enheter direkt i Stratsys under källsystem och externa koder. Kolla i artikeln Källsystem & externa koder om du vill veta hur dessa sätts upp.

Default department är standardenheten som användare får om användare helt saknar enhetstillhörighet i ADt. Denna inställning är valfri.

Om Ignore Ldap department är ibockad så ignoreras tillhörigheten i AD:t och defaultenheten används. Alla användare får då samma enhetstillhörihet i Stratsys.

Extra Group och Extra Department gör att det är möjligt att ge alla användare en extrabehörighet och extraenhet (båda fälten behöver fyllas i för att extrabehörigheten ska läggas till). Denna inställning är valfri. När man fyller i dessa fält så ges extrabehörigheten till alla användare. Vill man ge specifika användare en extra behörighet så görs detta direkt i Stratsys på användaren.

I denna flik är det möjligt att testa vilka enheter som inte går att mappa i konfigurationen genom att klicka på Test mappning.

Flik: Advanced

Under advanced-fliken mappas de attribut som används. Här är alla attribut förinställda, men kan justeras efter era egna inställningar. Du kan här välja vilken typ av LDAP som ska användas, adLDAP eller openLDAP. Du kan även välja om du önskar LDAP query eller inte. Vi rekommenderar dessa inställningar:

  • Use Ldap query (true)
  • Ldap type: adLDAP
ReplayFile är en fil som går att generera för att se vilka anrop som skickas till Stratsys från klienten. Filen går att använda för felsökning och går även att använda för att se om det uppstår några fel innan synkroniseringen faktiskt körs. Vi rekommenderar inställningen "OnError" som standard.

Flik: Run Program

OBS! Innan ni kör klienten för första gången är det viktigt att aktivera synken i testläge för att kvalitetssäkra körningen innan ni går live. Testläget innebär att ni kan se utfallet av användarsynken i loggarna men att det ej görs någon påverkan på användarna i Stratsys.

  1. Börja med att logga in i Stratsys Platform Center för att aktivera synken i testläge
  2. Gå tillbaka till synkklienten och fliken Run Program, klicka på Run program för att köra synken
  3. Resultatet av körningen ser du under Användarsynk > LDAP i Stratsys Platform Center. Observera att du behöver se till att produktionsläge-filtret är satt till Nej för att kunna se resultatet av körningen i testläge. Läs mer i avsnittet Se Resultatet av en körning
  4. När ni kvalitetssäkrat körningen och allt ser bra ut kan ni aktivera synken genom att slå av testläge. Observera att synken då kommer köras skarpt vilket innebär att användare som inte finns med i de behörighetsgrupper som mappats i klienten kommer att plockas bort ur Stratsys. 

Steg 6 - Schemalägg synkronisering

Filen ADToStratsysSync.exe synkroniserar från ert AD till Stratsys genom att klicka på run. Detta bör ske genom en schemalagd synkronsiering. Vi rekommenderar att synkroniseringen sker under natten eller tidig morgon, förslagsvis runt 05:00. Schemaläggningen görs av kund och är inte en del av konsultationen från Stratsys. Om schemaläggningen görs med Task Scheduler i Windows se till att sätta "Start in" på samma katalog som klienten ligger.

Vid synkroniseringen genereras en log-fil. Dessa hamnar i logs-mappen. Du kan även hitta information om synkroniseringen under Stratsys plattformsadministration > Användarsynk


Förvaltning och underhåll

Omorganisation - Vid en omorganisation är det viktigt att ni ser över enhetsmappningen och många till-ett-mappningen om ni har det. Nya enheter som lagts till i Stratsys måste mappas upp med rätt enhetskoder från ert AD för att kunna ta emot användare. Plockas en enhet bort måste användare som synkats till denna enhet mappas mot en annan enhet om de fortsatt ska ha ett användarkonto i Stratsys. Läs mer om hur du mappar era enheter här.

Administrera användare


Om AD synk är aktiverat syns denna ikon efter respektive användare under administrationen>användare. En användare som är synkad kan inte ändras i Stratsys och uppdateras enbart genom synkningen till organisationens AD. I listan med användare i Stratsys ser du om användaren är en synkad användare eller en ej synkad användare.

Användartyper

Användare i Stratsys kan vara av 2 typer:

1. Synkad användare = ikonen visas
Denna användare kan inte ändras i Stratsys och uppdateras enbart genom synkningen med kundens AD.

2. Ej synkad användare = ikonen visas INTE
Om användaren har kopplats loss från AD synken så ingår den inte längre i synkningen. 

Slå på/av synkroniseringen för en användare
Om användaren ska kopplas mot eller ifrån AD synken görs detta genom att gå till Plattformsadministrationen > Användare. Där går det på respektive användare, genom att klicka upp inställningar, att bocka i och ur "Synkronisering". Om den är påslagen ingår användaren i AD-synken, och om den är av ingår inte användaren i AD synken utan administreras manuellt i Stratsys.

Lägg till extrabehörigheter

I vissa fall finns behov av att ha flera behörigheter i Stratsys än den huvudbehörighet som skickas med ifrån användarkatalogen. Det kan tillexempel vara så att en användare arbetar på flera enheter eller att hen behöver åtkomst till en specifik produkt i Stratsys. Detta löser ni enkelt med hjälp av extrabehörigheter.

Extrabehörigheter kan antingen hanteras manuellt i Stratsys eller via den automatiserade synken. Extrabehörigheter som läggs till manuellt i Stratsys kommer inte påverkas av synken och kan läggas till utan att slå av användaren från synken.

Såhär lägger du till extrabehörigheter manuellt

  1. Gå till användaradministrationen och klicka på den användaren du önskar tilldela extrabehörighet
  2. Klicka på "Lägg till extrabehörigheter"
  3. Klicka på enhet för att välja på vilken enhet användaren ska få utföra sin behörighet på. Välj enhet i trädet och klicka på Välj
  4. Välj vilken behörighet du vill tilldela genom att klicka på behörighetsgrupp och klicka därefter på spara och stäng
 

 

Lägga till extrabehörigheter via klienten

Extrabehörigheter kan även läggas till via synkklienten genom att användare läggs till i flera behörighetsgrupper som synkas mot Stratsys. Mappningsordningen i klienten styr vilken behörighet som blir huvudbehörighet samt extrabehörigheter. Den första raden blir huvudbehörighet (1.) och övriga läggs till som extrabehörigheter (2.). Observera att användaren får sin eller sina extrabehörigheter på samma enhet som användaren har i er användarkatalog. Det går att hårdkoda vilken enhet behörighetsgruppen ska läggas på i Stratsys (3.). Detta lägger dock till samtliga användare i behörighetsgruppen på denna enhet.  Önskar ni istället att lägga till extrabehörigheter på en annan enhet för respektive användare behöver den läggas till manuellt i Stratsys.


Felsökning

Se resultatet av en körning

Varje synkning, både i test- och produktionsläge loggas i Stratsys Platform Center. Där ni kan se vad som synkats in ifrån er användarkatalog, resultatet av synkningen, användare som exkluderats ifrån synken samt eventuella fel.

För att se resultatet av er synk samt inställningar för användarsynken klickar ni på "Användarsynk" och sedan "LDAP" i vänstermenyn i Stratsys Platform Center.

Här ser ni de körningar som gjorts. För varje rad ser ni vid vilket datum och klockslag synken körts, hur många användare som synkas ifrån er användarkatalog till Stratsys, Synkroniseringsstatus lyckad/misslyckad, eventuella varningar och om åtgärd krävs samt om klienten körts i test- eller produktionsläge.

Om ni klickar på en rad öppnas vyn "Synkroniseringsdetaljer" som ger er en detaljerad bild över resultatet från synkroniseringen. Genom att klicka på respektive avsnitt expanderas det och ger er mer information.

Indata

Här hittar ni all information kring vilka användare som har hämtats från användarkatalogen.

Metadata

Under Metadata ser ni vilken Stratsysdatabas er klient synkar användare till samt till vilket källsystem (mappningskontext för att hålla mappning av organisationsträdet mellan er användarkatalog och Stratsys) som används. Läs mer om källsystem och externa koder här.

Händelser

I Händelser ser ni vid vilken tidpunkt synken startats och avslutats, ni ser också hur många användare som synkas ifrån er användarkatalog samt hur många av dessa som skapats upp som nya användare i Stratsys, hur många som uppdateras (befintliga användare som ändrats i er användarkatalog - tex: bytt enhet eller efternamn) samt hur många som plockats bort eller återställts (användare som tidigare plockats bort, men som inte anonymiserats i Stratsys).

Ändringar

Här ser ni alla ändringar som gjorts i samband med aktuell synk.

Exempel på ändringar: 

"Membership synchronized for user with username XXXX"

"Added user with username XXXX"

"Deleted user with username XXXX" 

Varningar

Under avsnittet Varningar ser ni användare som exkluderats ifrån synken. Vanligtvis handlar det om att en användare försöker synkas in till Stratsys men finns redan i Stratsys utan att vara flaggad som synkroniserad. Den här varningen åtgärdas genom att flagga användaren som synkroniserad, se steg 3 i uppsättningsguiden.

Åtgärd krävs

Använd webbläsarens sökfunktion för att snabbt hitta det användarnamn du vill söka fram information om. Den sektion du vill leta i behöver vara i expanderat läge.

Under avsnittet Åtgärd krävs loggas eventuella fel för respektive körning. De vanligaste felen listas nedan:

  • "User synchronization failed for user with username XXXX: Error when restoring user in Stratsys. Status code: NotFound" - användaren XXXX har ej lyckats synkas över till Stratsys
  • "Membership synchronization failed for user with username XXXX: InternalServerError:\"Collection of memberships is empty\"" - kontrollera så att användaren inte saknar enhetsinformation i er användarkatalog. Vilket attribut ni synkar enhetsinformation ifrån ser ni i synkklienten under attributet DepartmentProperty
  • "Group XXXX not found" - Behörighetsgruppen hittas inte, säkerställ att gruppen finns i Stratsys och är mappad mot en grupp från er användarkatalog i Stratsys synkklient 
  • "Department XXXX not found" - Enheten hittades inte, säkerställ att enheten finns i Stratsys och att den har en externkod som stämmer överens med namnet på enheten i er användarkatalog, mer information om enhetsmappning finner ni här

Indata

I avsnittet Indata ser ni vilka användare som hämtas från er användarkatalog och som är inkluderade i synken. Ni ser också vilken information kopplat till respektive användare som synkas in till Stratsys.

Sektionen indata innehåller exakt det som Stratsys Platform Center får från synkklienten, en bra start i felsökning är därför att titta i denna sektionen först.

All loggning från respektive synkning kan också laddas ner i json-filer genom att klicka på knapparna längst ner i Synkroniseringsdetaljvyn

Avancerad felsökning

Om ni inte kan köra klienten behöver följande punkter undersökas:

  1. Säkerställ att clientsettings.json filen som du fått från din Stratsyskonsult är placerad i config mappen eftersom filen innehåller nödvändig information för att synkroniseringen ska fungera.
  2. Säkerställ att följande IP-adress tillåts:
            217.28.206.151 
  3. Kontrollera servernamn, användarnamn och lösenord
  4. Kontrollera att LDAP:// är inkluderat i servernamnet
  5. Under avancerat-fliken testa att bocka i/ur Use LDAP Query
  6. Under avancerat-fliken testa att bocka i/ur LDAP type: adLDAP
  7. Kontrollera Attributen
  8. Generera en replay-fil
  9. Om ovanstående kontrollerats vänligen skicka replay-filen och information om felet till support@stratsys.se

Notifieringsinställningar

Det finns möjlighet att i Stratsys Platform Center att aktivera automatiska mejlnotiser för användarsynkronisering. Det finns tre alternativ för mejlnotiser.

1. Informera mig efter varje körning

2. Informera mig när åtgärd krävs och när synkroniseringen har misslyckats

3. Informera mig enbart när synkroniseringen har misslyckats

 

Konfigurera notiser

1. Gå till Stratsys Platform Center > Användarsynk > LDAP > Klicka på uppe i högra hörnet

2. Ange mailadressen till användaren som ska få mailnotiser (användaren måste finnas i plattformen)

3. Välj ett av alternativen för regel kring när mailutskick ska göras

 

Lokal loggning på server

Skulle det vara så att det inte dyker upp någon post i Stratsys Platform Center så har inte Stratsys Platform Center fått någon synkroniseringssignal från synk-klienten. I detta fall finns det lokal loggning på servern under katalogen \logs som ska ge en indikation på vad som kan behöva åtgärdas. Kontakta Stratsys (support@stratsys.se) om ni behöver assistans via skärmdelning eller motsvarande.


Förändringar AD-synk i Stratsys (FAQ)

Kan man förbereda för organisationsförändringar i planeringsversion innan versionshantering? vad händer då med synken?  

Vet ni med er att det kommer ske förändringar i organisationen i nästa år (nuvarande planeringsversionen) så kan ni göra en del förberedelser redan innan versionshanteringen, medan andra förändringar är bättre att spara tills att versionshanteringen är gjord - för att säkerställa att användare har behörighet till Stratsys.

  • Det går bra att göra organisationsförändringar i planeringsversionen
  • Det går bra att mappa nya externa koder (nya enheter i AD:t) redan nu i planeringsversionen.
  • Det går ej att ha samma externkod på en enhet i aktuell version och en annan enhet i planeringsversionen
    • I dessa fall - vänta med att flytta externkoden till den nya enheten till efter versionshanteringen och lägg till en extrabehörighet på användaren till den nya enheten i planering så länge.

Exempel:  En enhet ska delas upp i 2 olika enheter nästkommande år och har därför fått ett nytt ID. Användarna ska komma in i 2019 på sin gamla enhet för att kunna rapportera men på sin nya i 2020.  

Rekommendation: Vänta till efter versionshantering då förändring ej går att genomföra. En användare kan inte tillhöra ett enhets-ID i nuvarande år och ett annat nästkommande år. Ge användaren istället extrabehörighet till enheten fram till att versionshanteringen genomförts.  

Vad händer med användare som byter/får ny enhet?  

Användare byter enhet i nuvarande år:  

Om en användare byter enhet till en som finns i nuvarande år, flyttas användaren till den nya enhet hen ska ha. Behöver användaren ha behörighet att rapportera på sin gamla enhet behöver behörigheterna ses över.   

Användare byter enhet inför kommande år:  

Om användaren ska byta till en helt ny enhet i planeringsversionen men vara kvar på sin gamla i aktuell version görs detta efter versionshantering. Ge användaren tillgång genom extrabehörighet.  

Om ändringar internt redan har skett, kontakta Stratsys innan någon ändring görs.  

Vad händer med användare vars enhet tas bort?  

När en användare tillhör en enhet som tas bort vid versionshantering kommer användaren efter versionshantering inte längre komma in i Stratsys. Användarens enhetsattribut från AD:t behöver mappas mot en annan enhet för att användaren ska kunna logga in i Stratsys igen.

Vad händer om vi ändrar enhet, till en enhet som endast finns i planeringsversion, på användaren i AD:t innan vi versionshanterar i Stratsys?  

Om enheten som användaren byter till endast finns i planeringsversionen så kommer användaren endast komma åt planeringsversionen i Stratsys när den loggar in.

Vad händer med enheter som bara finns i planeringsversionen? 

Synken går mot både aktuell- och planeringsversion. Användare som tillhör en enhet som är mappad mot en enhet i planeringsversionen kommer att komma in i Stratsys planeringsversion när de loggar in i Stratsys.

Användare (FAQ)

En användare har bytt enhet i AD:t men det har inte slagit igenom än i Stratsys?  

Hur ofta synkroniseringen ska ske styrs av kund. Det vanligaste är att det sker en gång på morgonen. Det innebär med andra ord att saker inte får genomslag direkt och är förmodligen svaret på problemet (med förutsättning att det fungerat tidigare). Alternativet är att användaren inte är synkroniserad. Detta ser du genom att gå in i användaradministration och ifall rutan ”Användaren är kopplad mot extern katalogtjänst” är ikryssad. 

Användare som vi inte ville skulle tas bort har försvunnit från Stratsys. Varför? 

Antingen finns de inte i AD:t och har tagits bort av denna anledning, eller så finns de inte i någon av grupperna i AD:t som är inlagda i klienten att synkroniseras.  

Om de inte finns i AD:t men ska finnas i Stratsys innebär det att användaren behöver återställas. Gå in i användaradministrationen och sök på borttagna användare. Återställ därefter användaren och ta bort dennes koppling till AD-synk klienten genom att bocka ur ”Användaren är kopplad mot extern katalogtjänst”. 

Om personen inte finns i någon av grupperna så gör du samma sak som ovan nämnt, dvs. söker efter personen i borttagna och återställer användaren. Om kunden flyttar användaren till en grupp i AD:t som är invald i klienten, alternativt väljer att synkronisera en ny grupp som användaren tillhör via klienten i sin miljö så behövs inte ”Användaren är kopplad mot …” bockas ur. Om användaren inte flyttas behöver denna bockas ur, annars kommer personen bara tas bort igen. 

Användaren har inte lästs in. Varför? 

Antingen finns personen inte i AD:t eller så tillhör personen inte en grupp som är invald för synkronisering.