AD-Synk

Installation av Stratsys nya AD-synkklient

Guide för installation och konfiguration av Stratsys nya klient för användarsynkronisering.

Notera att denna artikel gäller för dig som ska migrera från en gammal klient utan stöd för Stratsys plattform. För ordinarie installation av AD-synk-klienten, var vänlig att istället följ följande artikel: LDAP Användarsynkronisering

Artikeln innehåller:

Nedladdning och installation av AD-synkklienten

Skapa klient i Stratsys developers för åtkomst till Stratsys

Konfiguration av klient

Test och kvalitetssäkring

Schemaläggning av klient


Nedladdning och installation av AD-synkklienten

Låt den gamla klienten ligga kvar under tiden ni installerar, konfigurerar och testkör den nya klienten. På så sätt aktiveras gamla synkklienten igen när ni slår av testläget. Ni speglar också inställningar samt mappningen från den gamla klienten till den nya i steget konfiguration nedan.

Installationspaketet för nya klienten innehåller två applikationer: 

    • ADToStratsysSync.exe (A2S): Applikationen som kör synkroniseringen. Synkroniserar användare från ert AD till Stratsys. Hämtar en full lista av användare från ADt som ska finnas i Stratsys. Alla användare i listan skapas upp eller uppdateras i Stratsys. Användare som inte tillhör listan tas bort i Stratsys. 
    • AppConfigGUI.exe (GUI): konfigurationsapplikation för att sätta upp kopplingen mellan er användarkatalog och Stratsys. Styr också vilka behörighetsgrupp som kommer att synkas. 

Senaste klienten laddar ni här: Version 1.9

  1. Packa upp filerna ur mappen och placera dem på önskad plats (helst inte under Programfiler/programfiler (x86) eftersom dessa filer kontrolleras av Windows).
  2. Hur ni fyller i clientsettings.json beskrivs i avsnittet nedan
  3. Kör AppConfigGUI.exe som administratör. GUI laddar filen med de nya inställningarna i config mappen. Genom att spara, så lagras ändringarna i filen. Genom att välja Reset så återställs applikationen. Genom att välja Quit avslutas applikationen.
  4. Säkerställ att användaren som kör applikationen har möjlighet att skapa filer i applikationens mapp på servern.


Skapa klient i Stratsys Developers för åtkomst till Stratsys

Förberedelser 

Innan man kan skapa en API-klient så behöver behörigheterna eventuellt justeras för den användare som ska skapa upp klienter med rätt att konsumera Stratsys API:er. Detta utförs i Användaradministrationen i Stratsys plattform. För mer information kring användaradministrationen, läs mer här.

Den användare som ska ha rätt att skapa klienter för Stratsys API behöver ha behörighetsrollen Utvecklare, och man tilldelar en användare den behörigheten på följande sätt:

  • Öppna användarens profil i Stratsys plattform
  • I profilen som öppnas, expandera fliken "Roller"
  • Klicka i rollen "Superadministratör" och "Utvecklare".

Skapa en klient

  • Låt användaren med Utvecklar-behörighet logga in i Stratsys plattform.
  • Klicka på länken Utvecklarportal under Enterprise-menyn för att komma till utvecklarportalen. Om ni inte har enterprise kan ni istället gå till: https://developers.svc.stratsys.com/ och skriva in ert databasnamn under companycode. 

  • Eventuellt behöver användaren här välja "Sign in" för att bli inloggad även här. 
  • Klicka på Explore clients i menyn till vänster, sedan på ”Add Client” 
  • Välj "Directory Sync" och klicka på Add

Directory Sync-klienten används av AD-synk-klienten för att synkronisera användare från en lokal LDAP-katalog (vanligtvis Active Directory) till Stratsys Plattform och en tillhörande Stratsys-databas.

Börja gärna med att klicka på Readme för att få fram rätt struktur på clientSettings.json-filen (som är det som kan fyllas i då man följer denna guide). Alternativt om AD-synk-klienten redan är installerad på den tilltänkta servern så kan man med fördel fylla i uppgifterna i clientSettings.json-filen direkt.

Så här ser mallen för clientSettings.json ut

{
"TenantId": "",
"CompanyCode": "",
"Authentication": {
"ClientCredentials": {
"ClientId": "",
"ClientSecret": ""
}
},
"ExternalSource": ""
}

Följande fält ska nu alltså fyllas i med information som krävs för att klienten ska kunna läsa rätt information från Stratsys, samt uppdatera användarinformationen korrekt.

TenantId: Fås enklast från Directory Sync-klientens vänstra vy, klicka på Kopiera-ikonen och fyll i på avsett ställe i clientSettings.json.

CompanyCode: CompanyCode är namnet på den Stratsys-databas som användarna ska synkroniseras till. Rätt CompanyCode får man enklast fram genom inloggnings-URL:en till Stratsys som är på något av dessa två format, som båda alltid innehåller CompanyCode som en del av URL:en (se kursiverat). CompanyCode ska skrivas med gemener.

https://www.stratsys.se/[CompanyCode]

https://[CompanyCode].app.stratsys.com

ClientId: Fås enklast från Directory Sync-klientens vänstra vy, klicka på Kopiera-ikonen och fyll i på avsett ställe i clientSettings.json.

ClientSecret: Genereras på följande sätt:

  • Klicka på Secrets under Configuration

  • Fyll i något i Description-fältet (t.ex. Secret)
  • Klicka på Save

Nu visas Client Secret, kopiera med Kopiera-ikonen och lägg in i clientSettings.json. Denna secret visas bara en gång, så missas det att kopiera den så behöver man upprepa stegen ovan.

 

ExternalSource: Eventuellt källsystems namn som hämtas från aktuell Stratsys-databas. Detta återfinns i Stratsys, under Administration => Källsystem och externa koder

Källsystemets namn måste skrivas på exakt samma sätt som källsystemet heter i Stratsys. Om namnet på källsystemet ändras i Stratsys behöver man göra motsvarande ändring i clientSettings.json-filen för att synkroniseringen ska fungera.


Konfiguration i klienten

För att konfigurera klienten speglar de inställningar och behörighetsgrupper ni har i gamla klienten. Nedan finner ni en ingående beskrivning hur respektive flik i klienten fylls i om funderingar uppstår.

Flik: Stratsys

För att kopplingen mot Stratsys ska fungera behöver clientSettings.json filen vara ersatt med rätt information enligt avsnittet ovan.

I clientSettings.json-filen finns bland annat clientId och client secret som krävs för att upprätta en korrekt koppling mot den Stratsys-databas som användarna ska synkroniseras till.

Om kopplingen fungerar får ni ett OK när ni klickar på Test Connection.

Flik: LDAP

Alla förfrågningar mot ADt är auktoriserade genom att använda LDAP server namn, användarnamn och lösenord. Dessa uppgifter specificeras under LDAP-fliken. Om LDAPS (secure LDAP) önskas bocka i "Use secure authentication"

Exempel på Servernamn:

LDAP://ad.contoso.local 

LDAP://ad.contoso.local/CN=Admin,OU=Users,DC=contoso,DC=local 

Klicka på Test connection. Om du får ett OK kan du gå vidare till nästa flik.

Notera att om ni sätter upp synkroniseringen att köra med Secure LDAP så ska det ändå alltid stå LDAP:// som inledning av LDAP-strängen.

Flik: Groups

I denna flik mappar du Stratsys behörighetsgrupper mot AD-grupper. Om LDAP-fliken är korrekt konfigurerad och behörighetsgrupperna är uppsatta i Stratsys ska det vara möjligt att välja AD-grupper och Behörighetsgrupper. Vid AD-synkronisering så får användare sin behörighetsgrupp tilldelad. För att de ska få rätt behörighetsgrupp behöver användarna ingå i gruppen i ert AD.

Konfigurera mappningen mellan AD-grupperna och Stratsys grupperna:

  • Välj en av AD-grupperna i scrollistan under AD Groups.
  • Välj en av Stratsys behörighetsgrupper i  scrollistan under Stratsys Groups.
  • När du väljer Add så mappas de två du valt.
  • För att ta bort en mappning, bocka i AD-gruppen under Mappings och välj Remove selected.
  • Om du önskar ha en fall-back enhet för en behörighetsgrupp så kan du lägga till en Department (enhet). Det innebär att om en användare saknar en enhetstillhörighet men har en behörighet så hamnar användaren på fall-back enheten.

Flik: Departments

AD-enheter mappas med Stratsys enheter direkt i Stratsys under källsystem och externa koder. Kolla i artikeln Källsystem & externa koder om du vill veta hur dessa sätts upp.

Default department är standardenheten som användare får om användare saknar enhetstillhörighet i ADt. Om man önskar en fall-back enhet för varje behörighet så går det att ställa in det under fliken Groups.

Om Ignore Ldap department är i kryssad så ignoreras tillhörigheten i AD:t och defaultenheten används. Alla användare får då samma enhetstillhörihet i Stratsys.

Extra Group och Extra Department gör att det är möjligt att ge alla användare en extrabehörighet och extraenhet (båda fälten behöver fyllas i för att extrabehörigheten ska läggas till). Denna inställning är valfri. När man fyller i dessa fält så ges extrabehörigheten till alla användare i specifik behörighetsgrupp. Vill man ge specifika användare en extra behörighet så görs detta direkt i Stratsys på användaren.

I denna flik är det möjligt att testa vilka enheter som inte går att mappa i konfigurationen. Då klickar du på Test mappning.

Flik: Advanced

Under advancedfliken mappas de attribut som används. Här är alla attribut förinställda, men kan justeras efter era egna inställningar. Du kan här välja vilken typ av LDAP som ska användas, adLDAP eller openLDAP. Du kan även välja om du önskar LDAP query eller inte. Vi rekommenderar dessa inställningar:

  • Use Ldap query (true)
  • Ldap type: adLDAP

ReplayFile är en fil som går att generera för att se vilka användare som synkroniserats in till Stratys. Filen går att använda för filsökning och går även att använda för att se om det uppstår några fel innan synkroniseringen faktiskt körs. Vi rekommenderar inställningen "OnError" som standard.


Test och kvalitetssäkring

OBS! Innan ni kör klienten för första gången är det viktigt att aktivera synken i testläge för att kvalitetssäkra körningen innan ni går live.

  1. Börja med att logga in i Stratsys Platformscenter för att aktivera synken i testläge
  2. Gå tillbaka till synkklienten och fliken Run Program, klicka på Run program för att köra synken
  3. Resultatet av körningen ser du under Användarsynk > Resultat i Stratsys Platformscenter. Läs mer i avsnittet Se Resultatet av en körning
  4. När ni kvalitetssäkrat körningen och allt ser bra ut kan ni aktivera synken genom att slå av testläge i steg 1. Observera att synken då kommer köras skarpt vilket innebär att användare som inte finns med i de behörighetsgrupper som mappats i klienten kommer att plockas bort i Stratsys. 

Se resultatet av en körning

Varje synkning, både i test- och produktionsläge loggas i Stratsys Platform Center. Där ni kan se vad som synkats in ifrån er användarkatalog, resultatet av synkningen, användare som exkluderats ifrån synken samt eventuella fel.

För att se resultatet av er synk samt inställningar för användarsynken klickar ni på "Användarsynk" i vänstermenyn i Stratsys Platform Center.

Under "Resultat" ser ni de körningar som gjorts. För varje rad ser ni vid vilket datum och klockslag synken körts, hur många användare som synkas ifrån er användarkatalog till Stratsys, om det finns några varningar och om åtgärd krävs samt om klienten körts i test- eller produktionsläge.

Om ni klickar på en rad öppnas vyn "Synkroniseringsdetaljer" som ger er en detaljerad bild över resultatet från synkroniseringen. Genom att klicka på respektive avsnitt expanderas det och ger er mer information.

Metadata

I första avsnittet Metadata ser ni vilken Stratsysdatabas er klient synkar användare till samt till vilket källsystem (mappningskontext för att hålla mappning av organisationsträdet mellan er användarkatalog och Stratsys) som används. Läs mer om källsystem och externa koder här.

Händelser

I andra avsnittet Händelser ser ni vid vilken tidpunkt synken startats och avslutats, ni ser också hur många användare som synkas ifrån er användarkatalog samt hur många av dessa som skapats upp som nya användare i Stratsys, hur många som uppdateras (befintliga användare som ändrats i er användarkatalog - tex: bytt enhet eller efternamn) samt hur många som plockats bort eller återställts (användare som tidigare plockats bort, men som inte anonymiserats i Stratsys).

Exempel på händelser: 

"Membership synchronized for user with username XXXX"

"Added user with username XXXX"

"Deleted user with username XXXX" 

Varningar

Under avsnittet Varningar ser ni eventuella användare som exkluderats ifrån synken. Det kan tillexempel vara externa användare som inte finns i er användarkatalog eller användare som har fel information i katalogen och därför måste hanteras manuellt i Stratsys. Observera att vi rekommenderar att ändra till rätt information på era användare i er användarkatalog istället för att exkludera dem ifrån synken. Vid behov kan extrabehörigheter läggas till på era användare manuellt i Stratsys och påverkas inte av synken, läs mer om extrabehörigheter här

Åtgärd krävs

Använd webbläsarens sökfunktion för att snabbt hitta det användarnamn du vill söka fram information om. Den sektion du vill leta i behöver vara i expanderat läge.

Under avsnittet Åtgärd krävs loggas eventuella fel för respektive körning. De vanligaste felen listas nedan:

  • "User synchronization failed for user with username XXXX: Error when restoring user in Stratsys. Status code: NotFound" - användaren XXXX har ej lyckats synkas över till Stratsys
  • "Membership synchronization failed for user with username XXXX: InternalServerError:\"Collection of memberships is empty\"" - kontrollera så att användaren inte saknar enhetsinformation i er användarkatalog. Vilket attribut ni synkar enhetsinformation ifrån ser ni i synkklienten under attributet DepartmentProperty
  • "Group XXXX not found" - Behörighetsruppen hittas inte, säkerställ att gruppen finns i Stratsys och är mappad mot en grupp från er användarkatalog i Stratsys synkklient 
  • "Department XXXX not found" - Enheten hittades inte, säkerställ att enheten finns i Stratsys och att den har en externkod som stämmer överens med namnet på enheten i er användarkatalog, mer information om enhetsmappning finner ni här

Indata

I avsnittet Indata ser ni vilka användare som hämtas från er användarkatalog och som är inkluderade i synken. Ni ser också vilken information kopplat till respektive användare som synkas in till Stratsys.

Sektionen indata innehåller exakt det som Stratsys Platform Center får från synkklienten, en bra start i felsökning är därför att titta i denna sektionen först.

All loggning från respektive synkning kan också laddas ner i json-filer genom att klicka på knapparna längst ner i Synkroniseringsdetaljvyn


Schemaläggning av klient

När ni kvalitetssäkrat körningen med nya klienten och ställt tillbaka att köra skarpt är sista steget att schemalägga synken. Peka om nuvarande schemaläggning att peka på nya klientens ADToStratsysSync.exe fil. Om schemaläggningen görs med Task Scheduler i Windows se också till att sätta "Start in" på samma katalog som den nya klienten ligger i. Avinstallera gamla klienten först när ni sett att nya klienten körts en gång genom schemaläggningen och att allt ser bra ut. 


Vid eventuella frågor eller behov av stöttning kontakta: integration@stratsys.se