In diesem Artikel möchten wir Ihnen beschreiben, wie Sie Ihre timeCard - Installation mittels dem "Lightweight Directory Access Protocol (LDAP)" mit einem lokalen Verzeichnisdienst (Active Directory (AD)) verbinden.
Ihre timeCard - Installationen kann ab der Version 23.04.02 mittels LDAP an der AD angebunden werden.
Achtung:
Die Anbindung an Microsoft Entra-ID (ehemals Azure-AD) ist derzeit nicht möglich, wird aber in einer späteren Version
umgesetzt. Hierzu finden Sie dann einen gesonderten Artikel in der Wissensdatenbank
Grundsätzlich unterscheiden wir bei der Anmeldung an timeCard drei unterschiedliche Verfahren:
- Möglichkeit 1 (Lila):
Die Anmeldung an timeCard erfolgt über die lokale Identifikation an der timeCard - Datenbank. Der Nutzername und das Passwort werden in der timeCard - Datenbank abgelegt und hierüber abgeprüft. - Möglichkeit 2 (Grün):
Die Anmeldung an timeCard erfolgt über die Prüfung von Benutzername und Passwort über das Active Directory. Hierbei wird der lokale timeCard - Benutzer mit der AD verknüpft. - Möglichkeit 3 (Rot):
Ist die Verknüpfung von timeCard - Benutzer und AD hergestellt, kann auch das Single-Sign-On (SSO) mittels Windows genutzt werden. Eine Beschreibung hierzu finden Sie im Artikel "timeCard: SSO mit Windows Authentifizierung"
Die folgende Grafik verdeutlicht die Anmeldemöglichkeiten (Die Farben referenzieren auf die oben dargestellten Bullet Points):
Um nun die Anmeldung über die Active Directory bzw. das Verzeichnis durchzuführen, müssen Sie zu aller erst eine Verbindung hierzu herstellen. Öffnen Sie die timeCard und wechseln Sie auf die Seite "Allgemein -> Einstellungen -> erweiterte Einstellungen". Hier können Sie die AD-Connection mittels LDAP einrichten:
Für die Verbindung zu AD, müssen Sie zu aller erst den Haken setzen bei "Windows Authentifizierung aktivieren". Ist dieser Haken gesetzt, dann ist die Eingabe des Connection Strings "Verbindung zum LDAP Server" und der Port für die Windows Authentifizierung nicht mehr ausgegraut und es können.
Achtung:
Die Eingabemaske "Port für WebTerminalWinAuth" vernachlässigen wir an dieser Stelle, da diese nur für die Nutzung der Windows-Authentisierung erforderlich ist. Hinweise wie Sie den SSO per Windows-Authentisierung einrichten, finden Sie
im Wissensdatenbankartikel "timeCard: SSO mit Windows Authentifizierung".
Als nächstes müssen Sie nun den Connection String angeben. Den Connection String zur AD-Anbindung können Sie mit ziemlicher Sicherheit vom IT-Systemadministrator des Kunden erfahren. Ansonsten finden Sie einen beispielhaften Connection String anbei:
- LDAP://test.example.com:841/cn=John%20Doe,dc=test,dc=example,dc=com
Der Connection String besteht immer aus den folgenden Elementen:
- LDAP://
Dies muss dem Pfad immer vorangestellt sein, ansonsten schlägt der Zugriff fehl - test.exampele.com
An dieser Stelle steht immer der Domänenname bzw. die IP-Adresse des Active Directory Verzeichnisses auf welches zugegriffen werden soll - :841
Port des Active Directory Verzeichnisses - /cn=John%20Doe,dc=test,dc=example,dc=com
Das ist der eigentliche LDAP-Pfad, welcher die eindeutige Position eines Objekts in der Verzeichnishierarchie beschreibt auf welches zugegriffen werden soll. Also von welchem Objekt aus die Domänen - Nutzer mit den timeCard - Benutzern verknüpft werden sollen.
Achtung:
Dieser Pfad kann unterschiedlich lang sein und ist stark von der Organisationsstruktur der jeweiligen timeCard - Kunden abhängig! Um so tiefer Sie in die Verzeichnisstruktur eintauchen, desto länger wird dieser Pfad. Beachten Sie hierbei, dass die tiefste Ebene immer zu erst genannt wird.
Detaillierte Informationen wie ein LDAP-Connection String auszusehen hat und worauf ansonsten geachtet werden muss, erfahren Sie z.B. von folgender Website: "http://www.selfadsi.de/ldap-path.htm".
Des Weiteren empfiehlt sich zum einfachen zurecht finden in einer AD ein sogenannter LDAP-Explorer. Mit diesem können Sie sich die Verzeichnisstruktur anzeigen lassen und der LDAP - Connection String wird Ihnen bereits in einer Adressleiste automatisch generiert.
Einen LDAP-Explorer finden Sie beispielsweise auf folgender Website: "http://www.ldapexplorer.com/de/index.htm"
Wenn Sie die Verbindung zur AD richtig hergestellt haben, kann dem timeCard - Benutzer unter „Personen verwalten -> (2) Benutzerrechte“ sein Domänenbenutzer zugeordnet werden.
Ist diese Liste leer, dann hat die Verbindung zur Active Directory über den von Ihnen eingetragenen Connection String nicht funktioniert. Bitte überprüfen Sie dessen Richtigkeit und versuchen Sie es erneut.
Sollten Sie trotz mehrmaligen Versuchen immer noch keine Verbindung zu Ihrem AD-Verzeichnis aufbauen können, dann wenden Sie sich bitte an den REINER SCT Support "support@reiner-sct.com"!
Konnten Sie die Verbindung zur AD herstellen, dann können Sie nun Ihre Mitarbeiter mit der Domäne verknüpfen. Hierzu öffnen Sie die entsprechenden Personen oder legen neue Mitarbeiter unter "Personen verwalten" an und verknüpfen diese unter "(2) Benutzerrechte" mit der AD.
Achtung:
Es muss trotzdem immer ein Mitarbeiter in timeCard angelegt werden, da hierüber nach wie vor die Benutzerrechte etc.
verwaltet werden müssen. Es erfolgt lediglich die Verknüpfung an die AD und die Überprüfung von Nutzer und Passwort erfolgt über diese.
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren