Community
    • Categories
    • Recent
    • Popular
    • Users
    • Search
    • Register
    • Login

    Anbindung/Sync. LDAP/AD legt Benutzer auch in Mandanten an, wo diese sich nicht angemeldet haben

    Scheduled Pinned Locked Moved
    Allgemein
    3
    6
    278
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mwaldeck
      last edited by

      Moin,

      wir setzen i-doit mit mehreren Mandanten sein und unsere Benutzerauthentifizierung erfolgt gegenüber unseres AD. Dies funktioniert auch soweit. Wir haben mehrere Mandanten, auf die unserer Benutzer und Benutzerinnen unterschiedlich zugreifen. D.h. nicht jeder Mitarbeiter/-in meldet sich in allen Mandanten an, trotzdem sind diese in Mandanten als Person/Login angelegt - auch wenn sie nachweislich sich dort nicht angemeldet haben.

      Leider habe bei meinen Prüfung noch keinen Ansatz gefunden, wie ich die Ursache für dieses Phänomen diagnostizieren kann. Denn so werden teilweise Lizenzen für Benutzer in Mandanten verbraucht, obwohl die MA/-in dort nie aktiv werden würden und teilweise durch Rechte dort gar nicht zugreifen können.

      Wo kann ich noch schauen, warum das passiert bzw. wie kann ich dieses Verhalten abstellen?

      Danke
      Mathias

      1 Reply Last reply Reply Quote 0
      • Michael HuhnM
        Michael Huhn
        last edited by

        Hallo @mwaldeck,

        naja es ist ganz einfach 😆
        Du hast einen LDAP Server Eintrag erstellt und dort einen Filter konfiguriert.
        Alle Personen und Gruppen die der Filter findet, wenn der ldap-sync CLI Befehl ausgeführt wird, werden angelegt.
        Auch das einloggen ist dann möglich!

        Eine Lösung die mir so einfällt wäre es Gruppen für Mandanten anzulegen die dann gefiltert werden können.

        M 1 Reply Last reply Reply Quote 0
        • M
          mwaldeck @Michael Huhn
          last edited by

          Hallo @Michael-Overkamp ,

          hmm. Bisher bin ich davon ausgegangen, dass nur die Personen im jeweiligen Mandanten angelegt werden, die sich auch dort anmelden und auch erst, wenn sie sich anmelden. So ist es ja nicht so toll, wenn wir auch Lizenzen verbrauchen, obwohl die Personen sich dort im Mandanten niemals anmelden würden.

          Aber brauche ich die Synchronisierung überhaupt? Die Authentifizierung macht i-doit ja eigentlich direkt am AD. Wobei hilft die Synchronisierung?

          Danke
          Mathias

          P.BluhmP 1 Reply Last reply Reply Quote 0
          • P.BluhmP
            P.Bluhm i-doit Kenner @mwaldeck
            last edited by

            @mwaldeck die synchronisierung sorgt u.a. dafür das die aktuellen Daten der Mitarbeiter auch in i-doit vorhanden sind. Beispielweise wenn diese als Kontaktpersonen oder Ansprechpartner für bestimmte Geräte oder Verträge hinterlegt werden sollen.

            Wenn nur bestimmte Nutzer in i-doit importiert werden sollen, würde ich diese in eine extra AD-Gruppe packen und dann die automation für den Import so einstellen, dass nur Nutzer der Gruppe importiert werden. Das bedeutet in jedem i-doit Mandanten einen eigenen Filter konfigurieren und dann über den cronjob steuern welcher Mandant mit welchem Servereintrag synchronisiert werden soll.

            sudo -u www-data php console.php ldap-syncdn --user admin --password admin --tenantId 2 --ldapServerId 1

            M 2 Replies Last reply Reply Quote 0
            • M
              mwaldeck @P.Bluhm
              last edited by

              Hallo @P-Bluhm,

              vielen Dank für die Erklärung, das ist so gut nachvollziehbar. Und dann brauche ich die Synchronisierung für unsere Installation nicht und kann sie bei mir deaktivieren, da wir nur die Authentifizierung gg. das AD machen und keine Zusatzdaten oder Personen hieraus ziehen.

              Vielen Dank.

              1 Reply Last reply Reply Quote 0
              • M
                mwaldeck @P.Bluhm
                last edited by

                Hallo @P-Bluhm ,

                das klang für mich alles plausibel und gut erklärt. Nun habe ich einmal genauer nachgesehen und bei uns die Kollegen gefragt, wir synchronisieren die Kontakte gar nicht mit dem AD - bzw. den ldap-sycndn lassen wir nicht über den Cron laufen. Leider habe ich keine Idee, ob und wonach ich in den Logs nachsehen könnte, ob nicht doch irgendwo ein Synch-Job läuft.

                Was mir aber auffällt, dass die Benutzer zu "komischen" Uhrzeit durch den Benutzer system gelegt wurden und dass die Anzahl der Benutzer in den jeweiligen Mandanten nicht gleich sind. D.h. in einigen Mandanten sind 20 in anderen 50 und mehr.

                Und auffällig ist, dass die Benutzer zu irgendeinem Zeitpunkt X durch System angelegt wurden und das X auch das letzte Änderungsdatum durch System ist. Und spricht ja auch gegen einen Synchronisierungsprozess.

                Damit ist mir aber immer noch nicht klar, warum die Benutzer nun in den jeweiligen Mandanten sind. Die ersten Benutzer werden durch i-doit im jeweiligen Mandanten angelegt, sobald der Mandant angelegt und mit dem LDAP - Verbunden ist.

                Nur bei Mandanten, die keine LDAP-Integration haben, werden zusätzliche Benutzer angelegt. Es hängt also mit der LDAP-Integration zusammen.

                Ich würde es gut finden, wenn die Personen erst wirklich angelegt werden, wenn sie sich das erste Mal an dem jeweiligen Mandanten angemeldet haben. Das wäre am besten. Wenn das nicht geht, aus Gründen, würde es mir auch reichen, wenn dann die Benutzer nicht in die Lizenzzählung eingehen würde. So belasten wir unsere Lizenzen, wenn wir in jedem Mandanten die selben Benutzer mehrfach zählen. Und das finde ich nicht so gut.

                Danke.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post