Account selbst registrieren mit Usern aus Active Directory

rainer.lilischkis 2020-07-09 14:07:28 UTC #1

Hallo,

bislang habe ich alle Accounts bei uns manuell erstellt.
Jetzt haben wir viel mehr Nachfrage und ich würde gerne den Anmeldeprozess neu gestalten.
Bei uns gibt es ein Active Directory.

Kann man/ich ein Selbstregistrierung einrichten, die nur Nutzer zulässt, die im Active Directory sind.
Und kann man dabei auch die mailadressen aus dem Active Directory auslesen?
Und kann man die Accounts auch automatisch löschen, wenn die entsprechend im AD gelöscht werden?

beste Grüße
Rainer

Authentifizierung über ADS

RalfBecker 2020-07-09 15:17:34 UTC #2

Wenn Du alle Benutzer gegen AD authentifizierst (auch die bestehenden!), kannst Du einstellen, dass authentifizierte Benutzer automatisch in einer bestimmten Gruppe angelegt werden. Das ist keine Selbstregistrierung sondern jeder der im AD ist kann sich einfach anmelden und wird falls er noch nicht in EGroupware existiert automatisch angelegt.

Ja, Mailadresse, Vor- und Nachname werden automatisch übernommen.

Nein, die Benutzer die im AD gelöscht werden, können sich nur nicht mehr anmelden.
Was Du machen kannst, ist alle Benutzer die sich z.B. seit einem halben Jahr nicht mehr angemeldet haben löschen.

Mit der Version 20.1 können wir auch eine Shibboleth Authentifizierung bzw. SingleSignOn gegen den Shibboleth der Universität machen. Das haben wir seit ein paar Wochen für die TU Kaiserslautern am laufen.
Im Shibboleth gibt es auch Hooks, mit denen der IdP dem SP mitteilen kann, das ein Konto gelöscht wurde. Das ist aktuell noch nicht implementiert, wäre noch eine nette Ergänzung.

Für beide Authentifizierungsverfahren (AD bzw. Shibboleth) muss man sich Gedanken machen, ob die bisherigen Konten identische Benutzernamen haben, damit sie sich nach der Umstellung noch auf das gleiche Konto anmelden können.

Ralf

rainer.lilischkis 2020-07-10 12:36:21 UTC #3

Hallo Ralf,

ich habe fallbackads als Authentifizierung eingestellt.
Im Augenblick registriere ich die Accounts manuell und bitte die neuen Nutzer beim ersten Login das Passwort mit dem aktuellen Passwort im Active Directory gleich zu setzen. Scheinbar läuft das danach so, dass die EGroupware vom Active Directory grünes Licht bekommt, auch wenn der Nutzer sein Passwort ändern musste. (Bei uns alle 3 Monate).
Wenn ich jetzt so wie Du beschreibst neue Accounts automatisch anlegen lasse, wenn die im AD bekannt sind, dann müsste das doch funktionieren, oder? Und die bestehenden sind dann doch nicht betroffen, oder?

Kann ich denn anhand einer “Rückmeldung” vom AD in der EGroupware entscheiden in welche Gruppe ein neuer Account angelegt wird? Ich müsste Studenten und Mitarbeiter trennen. (wegen der Rechte).

Rainer

RalfBecker 2020-07-10 14:53:42 UTC #4

Nur wenn Du weiterhin “FallbackADS” verwendest, das bedeutet das man sich sowohl mit ADS als auch lokal anmelden kann. Ob das tatsächlich notwendig ist kann ich Dir nicht sagen. Wenn Du einen Benutzer hast der nicht im ADS ist (oder dort einen anderen Benutzername hat) und eine gültiges Passwort, kann er sich bei “FallbackADS” anmelden bei reinem “ADS” dann nicht mehr.

Das ist aktuell nicht implementiert. Wir haben das bisher nur bei Anmeldung über LTI aus einer Lernplattform, dann bekommen die nicht-Studenten zusätzlich die Gruppe “Teacher” zugewiesen.

Für Shibboleth ist geplant das eduPersonAffiliation Attribute auszuwerten und in eine Gruppenmitgliedschaft umzusetzen. An welchem ADS Attribute willst Du das Fest machen? Am einfachsten wäre Gruppen die es lokal und im ADS gibt beim Neuanlegen eines Kontos auch in der EGroupware zu setzen.

Ralf

rainer.lilischkis 2020-07-13 08:15:53 UTC #5

Hallo Ralf,

kannst Du kurz erklären wofür der “anonymous user” in der Registration Site Configuration ist?

Rainer

RalfBecker 2020-07-13 08:38:03 UTC #6

Wir brauchen einen Benutzer um eine Sitzung aufzubauen.

Wie vorher schon gesagt: Du brauchst NICHT die Registrierung, für das was Du machen willst.

Registrierung erlaubt jedem beliebigen Benutzer im Internet sich bei Dir ein Konto zu registrieren!

Ralf

rainer.lilischkis 2020-07-13 09:54:18 UTC #7

Danke Ralf,

dann lasse ich die EGroupware einfach laufen? und wenn sich jemand anmelden möchte, der die gleichen Informationen einträgt, mit der er sich beim AD authentifizieren kann, entsteht bei mir sofort ein Account?
Ist das richtig so? Gibt es eine Anleitung?

Rainer

RalfBecker 2020-07-13 11:27:40 UTC #8

Nein, ist ziemlich selbst erklärend:

Also “Benutzerkonten für authentifizierte Benutzer automatisch anlegen” auf Ja (oder Ja, mit klein…), ggf. Ablaufdatum auswählen und die EGroupware Gruppe(n) in die neue Benutzer aufgenommen werden sollen.

Das ist alles.

Ralf

rainer.lilischkis 2020-07-14 07:18:47 UTC #9

Danke Ralf, das funktioniert wunderbar.

Mit der Version 20 wird dann auch Shibboleht möglich sein und damit kann man Gruppenzugehörigkeit weitergeben?

RAiner

RalfBecker 2020-07-14 07:53:13 UTC #10

Shibboleth Authentifizierung ist in 20.1 enthalten.

Was es demnächst geben wird, ist abhängig vom eduPersonAffiliation Attribute den Benutzer in eine weitere Gruppe (aktuell “Teachers” genannt) aufzunehmen und so zwischen Studenten und alle Arten von MA der Universität zu unterscheiden. Diese dürfen dann in smallPART selbst Kurse anlegen.

Denkbar wäre es auch unter AD die Gruppenmitgliedschaften für neue Benutzer bzw. bei jeder Anmeldung abzufragen, und dann in names-gleiche Gruppen in EGroupware aufzunehmen. Dazu bräuchte es allerdings ein Budget von 2-3 Stunden das zu implementieren. Sinn machen würde sowas sicherlich auch für AD.

Ralf

rainer.lilischkis 2020-07-14 08:31:21 UTC #11

hallo Ralf,

ich habe mal den Admin unseres AD abgefragt:

“Ich habe mal im AD nach geschaut, und da gibt es ein Attribut das heißt: businessCategory Die Werte sind einmal student bei Studenten und staff bei Mitarbeitern.”

Damit würde das wohl auch gehen. Das Support Budget kann ich Dir dazu leider nicht spendieren… (armer öffentlicher Dienst.)

Wir werden dann wohl auf die 20.1 und Shibboleth warten.

Rainer

grefabu 2020-07-14 13:19:37 UTC #12

Mal eine Frage von mir, da ich Rainer’s Anfrage mal genutzt habe, mich wieder mit der AD Auth zu beschäftigen:

Was meinst Du mit FallbackADS, im Setup kann ich nur ADS auswählen. Fallback gibt es für LDAP und Mail.

rainer.lilischkis 2020-07-16 08:43:13 UTC #13

Hallo Ralf,

Kann ich so einem selbst eingecheckten Account automatisch eine Meldung zusenden, z.B. mit Nutzungsbedingungen oder wichtigen Informationen zum Umgang mit der EGroupware?

Rainer