Import von Azure AD

Mit dem Azure-Import können Sie Anwenderdaten aus einem Azure Active Directory importieren (der IQ4docs Import muss zunächst im Azure AD als Applikation (z.B. IQ4docs Import) registriert werden, siehe auch IQ4docs App in Microsoft Azure registrieren).

Es können mehrere Azure-Importe für das gleiche Azure-AD angelegt werden, etwa um verschiedene Filter und Einstellungen zu verwenden (z.B. eine Personengruppe bekommt Pincodes, die andere nicht). Legen Sie eine Azure-Importquelle wie folgt an.

Um die Webadministration zu öffnen, geben Sie im Webbrowser http://<Hostname>/webadmin ein (wobei Hostname dem Server entspricht, auf dem das IQ4docs WebAdmin installiert wurde). In einer Mandantenumgebung geben Sie die URL ein, die Sie vom Mandantenverwalter erhalten haben (z.B. http://server/webadmin/#/cf992178-4bd6-431c-b815-b9d734d0ded3). Wenn Sie noch nicht angemeldet sind, melden Sie sich mit einem Anwender mit Administratorrechten (Login und Passwort) oder dem IQ4docs Systemadministrator (standardmäßig administrator mit Passwort admin) an.

Klicken Sie in der Webadministration im Menü auf Anwender > Anwenderimport.

Kicken Sie auf Anwenderimport erstellen und wählen Sie Anwenderimport von Azure AD aus.

Beim Import werden Werte aus den Feldern des Verzeichnisdienstes übernommen. Ist ein Feld nicht angegeben, wird dieser Wert nicht importiert (der in IQ4docs vorhandene Wert im Anwenderdatensatz bleibt erhalten).

Die Angabe des Attributs kann ein einzelnes Attribut enhalten (z.B. department) oder mehrere Attribute oder feststehender Text verwendet werden. Setzen Sie den Wert dazu in doppelte Anführungsstriche, z.B.: "\\Servername\%department%\%surName% %givenName%" oder "%surName%%givenName%".

Feld Beschreibung
Name Geben Sie hier den Anzeigenamen ein, mit dem die Importquelle in der Importquellenliste angezeigt werden soll.
Ausführungsintervall Geben Sie hier das Intervall der Ausführung an. Bei der Einstellung niemals muss die Ausführung immer manuell gestartet werden.
Nächste Ausführung Dieses Feld ist nur sichtbar, wenn das Ausführungsintervall nicht auf niemals steht. Das Feld zeigt den nächsten Ausführungszeitpunkt an. Sie können Datum und Zeit für die nächste Ausführung angeben. Nach der nächsten Ausführung wird der Zeitpunkt automatisch um ein Ausführungsintervall weitergesetzt. Die Ausführung wird technisch bedingt etwas später als der angegebene Minutenwert begonnen.
Feld Beschreibung
Mandatendomäne Geben Sie die Microsoft Azure Mandantendomäne an.
Client-ID Die Client-ID wird vom Azure-AD beim Registrieren der Anwendung "IQ4docs Import" vergeben (Client-ID und Client-Secret sind die Zugangsdaten). Sie werden vom UserService für den Import der Userdaten verwendet und müssen die folgenden Berechtigungen enthalten: read.user.all und read.groups.all, siehe auch IQ4docs App in Microsoft Azure registrieren.
Client-Secret Das Client-Secret wird - wie die Client-ID - bei der Registrierung der App im Azure-AD erzeugt. Klicken Sie auf Client-Secret speichern um ein Client-Secret zu erfassen. Haben Sie bereits ein Client-Secret erfasst, können Sie es über die Schaltfläche Client-Secret ändern ändern. Nach dem Eintragen wird das gespeicherte Client-Secret aus Sicherheitsgründen nie mehr an den Browser übertragen.
Anwenderfilter Mittels Anwenderfilter können Sie beeinflussen, welche Anwenderdatensätze aus dem Verzeichnisdienst ausgelesen werden. Setzen Sie einen Filter, der nur für IQ4docs relevante Datensätze aus dem Verzeichnis ausliest, um so den Ressourcenverbrauch des automatischen Importes zu minimieren.
Beispiele:
startswith(displayname, 'ma') (Displayname des Anwenders muss mit ma beginnen)
startswith(userPrincipalName, 'm') and startswith(department, 'i') (Principalname des Anwenders muss mit m und die Abteilung mit i beginnen)
givenname eq 'ben' (Vorname muss ben sein)
surname ne 'schmidt' or startswith(department, 'b') (Nachname darf nicht schmidt sein oder die Abteilung mit b beginnen)
Gruppenfilter Mittels Gruppenfilter können Sie beeinflussen, welche Gruppen aus dem Verzeichnisdienst ausgelesen werden. Setzen Sie einen Filter, der nur für IQ4docs relevante Gruppen aus dem Verzeichnis ausliest, um so den Ressourcenverbrauch des automatischen Importes zu minimieren. Die Gruppen eines Anwenders werden standardmäßig als Anwender-Schlüsselwort importiert.
startswith(displayname, 'ma') (Displayname der Gruppe muss mit ma beginnen)
displayname eq 'm' and startswith(description, 'abc') (Displayname der Gruppe muss mit m und die Beschreibung mit abc beginnen)

Wenn Gruppen über diesen Filter ausgeschlossen werden, stehen sie für die weitere Verwendung auch nicht zur Verfügung (z.B. Zuordnung von Rechten anhand von Gruppenzugehörigkeiten oder Schlüsselwortimport).
Feld Beschreibung
Name Attribut für den Anzeigenamen des Anwenders (z.B. displayName).
E-Mail Attribut für die E-Mailadresse des Anwenders. Ist der Eintrag im Verzeichnisdienst leer, wird die E-Mailadresse in IQ4docs entfernt (z.B. mail).
Abteilung Attribut um für den Benutzer eine Abteilung zu importieren. Sollte die Abteilung noch nicht vorhanden sein, wird diese erstellt (z.B. department).
Persönlicher Ordner Attribut für den persönlichen Ordner des Anwenders (z.B.: "\\Servername\%department%\%surName% %givenName%").
Schlüsselwörter Die Namen der Gruppen, in denen ein Anwender Mitglied ist, werden automatisch als Schlüsselwort importiert. In diesem Feld können Sie die Namen der Gruppen einschränken, aus denen Schlüsselwörter generiert werden.
Beispiele:
* - Alle Gruppennamen werden als Schlüsselwort importiert
Print* - Alle Gruppennamen, die mit Print beginnen, werden als Schlüsselwort importiert
*IQ**doc - Alle Gruppennamen, die IQ enthalten oder auf doc enden, werden als Schlüsselwort importiert

Es können an dieser Stelle nur Gruppennamen zu Schlüsselwörtern gemacht werden, die durch den Gruppenfilter zugelassen wurden, siehe Import von Azure AD.
Feld Beschreibung
Anzeigename Anzeigename der Kostenstelle - diesen Namen sieht der Anwender.
Kostenstelle Feld um für den Benutzer eine Kostenstelle zu importieren. Sollte die Kostenstelle noch nicht vorhanden sein, wird diese erstellt.
Schlüsselwort Beim Import können automatisch Schlüsselwörter für den Anwender erzeugt werden. Der Wert im angegebenen Feld wird als ein Schlüsselwort verwendet (dieses steht Liste der Schlüsselwörter des Anwenders immer an erster Stelle). Zusätzlich können noch Gruppennamen, in denen sich der Anwender befindet, als Schlüsselwort verwendet werden.
Feld Beschreibung
Kartennummer Attribut für die Kartennummer. Sollte das Attribut keinen Wert enthalten, heißt das, dass für diesen Anwender keine Karte importiert werden soll, oder dass die bereits für diesen Anwender importierte Karte gelöscht werden soll (manuell angelegte Karten bleiben erhalten). Die maximale Anzahl von Zugriffskarten kann begrenzt werden, siehe Anzahl registrierbarer Karten pro Anwender einstellen (ggf. werden also durch den Import einer Karte bestehende Karten des Anwenders automatisch gelöscht).
Gültig bis Hier haben Sie die Möglichkeit ein Attribut anzugeben, dessen Wert angibt bis wann eine Karte gültig sein soll. Beim Microsoft Active Directory haben Sie z.B. die Möglichkeit auf das Attribut accountExpires zu verweisen. Sie haben aber auch die Möglichkeit ein Attribut auszuwählen, in dem ein Datum manuell eingetragen wurde. Das Format des Datums muss jedoch der Ländereinstellung des Servers entsprechen, auf dem der UserService installiert ist. Besitzt das Attribut keinen Wert, so läuft die Karte nie ab. Ist der Eintrag im Verzeichnisdienst leer, wird er auch in IQ4docs geleert.
Feld Beschreibung
Anmeldename Attribut für den Loginnamen. Standardwert ist für Azure-AD userPrincipalName. Ist der Eintrag im Verzeichnisdienst leer, wird beim Update der bestehende Wert in IQ4docs beibehalten.
Gültig bis Hier hat man die Möglichkeit ein Attribut anzugeben, dessen Wert angibt bis wann der Login gültig sein soll. Beim Microsoft Active Directory haben Sie z.B. die Möglichkeit auf das Attribut accountExpires zu verweisen. Sie haben aber auch die Möglichkeit ein Attribut auszuwählen, in dem ein Datum manuell eingetragen wurde. Das Format des Datums muss jedoch der Ländereinstellung des Servers entsprechen, auf dem der UserService installiert ist. Besitzt das Attribut keinen Wert, läuft das Login nie ab. Ist der Eintrag im Verzeichnisdienst leer, wird er auch in IQ4docs geleert.
Feld Beschreibung
Pincode Der Pincode kann aus einem Attribut importiert werden. Mit diesem Wert wird ein ggf. vorhandener Pincode überschrieben. Ist der Eintrag im Verzeichnisdienst leer, wird der Pincode des Anwenders geleert.
Pincode generieren Wenn die Option Pincode generieren aktiviert ist, wird für alle Anwender, die noch keinen Pincode haben, automatisch ein neuer Pincode generiert. Für die Generierung des Pincodes werden zufällig alle erlaubten Zeichen verwendet, siehe Komplexität von Pincodes festlegen). Hat ein Anwender bereits einen Pincode, wird nicht automatisch ein neuer erzeugt.
Feld Beschreibung
Administrative Kennung Legen Sie die Administrative Kennung fest, die dem Anwender in Abhängigkeit einer Gruppenmitgliedschaft im Verzeichnisdienst zugewiesen werden soll (siehe auch Administrative Kennungen).
Beispiel: Geben Sie im ersten Feld Berlin ein und im zweiten Feld Gruppe1, wird dem Anwender die Administrative Kennung Berlin zugewiesen wenn er im Verzeichnisdienst Mitglied der Gruppe Gruppe1 ist.
Sie können mit beliebig viele Administrative Kennungen zuweisen. Ein Anwender kann jedoch nur eine Administrative Kennung haben. Ist ein Anwender in mehreren Gruppen, wird die Administrative Kennung der letzten Gruppe verwendet.

Geben Sie hier die Felder an, deren Inhalt in benutzerdefinierte Felder importiert werden soll. Benutzerdefinierte Felder werden beim Import genauso wie andere Felder verwendet, siehe auch Benutzerdefinierte Felder für Anwender erstellen.

Dieser Bereich ist nur vorhanden, wenn bereits benutzerdefinierte Felder für Anwender definiert wurden.

Die in der nachstehenden Tabelle aufgeführten Anwenderrechte können für jeden importierten Anwender gesetzt werden (Ja), für keinen Anwender gesetzt werden (Nein), abhängig von einer Gruppenmitgliedschaft im Verzeichnisdienst importiert werden oder auch manuell verwalten werden.

Klicken Sie öfter auf das Kontrollkästchen, bis der gewünschte Zustand erreicht ist:

  • Ja: Das Recht wird für jeden importierten Anwender gesetzt.
  • Nein:  Das Recht wird für keinen importierten Anwender gesetzt.
  • Abhängig von einer Gruppenmitgliedschaft importieren: Geben Sie dann im Feld AD-Gruppenname den Namen der Gruppe an (z.B. PrintAdmins). Ist der Anwender in der angegebenen Gruppe, wird das Recht gesetzt, wenn nicht, wird es entfernt. Beachten Sie, dass Gruppen über den Gruppenfilter ausgeschlossen sein können.
  • Manuell verwalten: Möchten Sie das Recht nicht über den Import steuern (sondern die Rechtevergabe manuell im Anwenderdatensatz von IQ4docs vornehmen), geben Sie keinen Gruppennamen an.
Feld Beschreibung
Farbig drucken Der Anwender hat die Möglichkeit farbig zu drucken (wenn der Gerätehersteller Drucken und Kopieren beim Farbrecht nicht unterscheidet, kann es nicht separat berechtigt werden).
Farbig kopieren Der Anwender hat die Möglichkeit farbig zu kopieren.
Direktdruckerfavoriten selbst bearbeiten Der Anwender kann seine Direktdruckerfavoriten im WebClient selber wählen, siehe Favoriten- und Direktdrucker wählen.
Systemeinstellungen am Gerät vornehmen Meldet sich ein Anwender über den Embedded Client am Gerät an und dieses Recht ist vorhanden, so hat er am Gerät administrative Rechte (z.B. Systemeinstellungen am Gerät vornehmen). Das Recht wird je Hersteller/Gerät unterschiedlich interpretiert.
Eigenes Adressbuch verwenden Der Anwender hat die Möglichkeit ein eigenes Adressbuch über den WebClient zu pflegen und die Einträge am Gerät zu verwenden, siehe Mein Adressbuch. Ohne dieses Recht ist der Bereich Mein Adressbuch im WebClient nicht sichtbar.
Eigene Workflows erstellen Der Anwender darf sich am Gerät aus einem bestehenden Workflow einen neuen Workflow ableiten und speichern. Ohne dieses Recht ist die Schaltfläche nicht sichtbar.
Workflow als Favorit setzen Der Anwender darf sich am Gerät einen Workflow als Favorit markieren. Ohne dieses Recht ist die Schaltfläche nicht sichtbar.
Gerätefunktion benutzen Der Anwender darf über das Kopiermenü > Gerätefunktion den Embedded Client verlassen und die Gerätefunktionen (Menü des Gerätes) verwenden. Ohne dieses Recht ist die Schaltfläche ausgegraut.
Letzte Workflows anzeigen Der Anwender darf zuletzt ausgeführte Workflows am Gerät noch einmal aus dem Bereich Zuletzt verwendet aufrufen. Ohne das Recht ist dieser Bereich leer.
Änderungen am Gerät speichern Der Anwender darf Änderungen an den Einstellungen (z.B. Sprache) dauerhaft speichern. Ohne dieses Recht kann z.B. die Sprache temporär umgestellt werden, nach dem Ausloggen wird aber automatisch auf die Standardsprache zurückgestellt.
WebClient-Bereich "Scanaufträge" sehen Der Anwender kann den Bereich Scanaufträge im WebClient ansehen (siehe Meine Scanaufträge). Hier werden Scans mit dem Scanziel Mein Web angezeigt (siehe auch Modul Scanziel Mein Web).
WebClient-Bereich "Meine Aufgaben" sehen Der Anwender kann den Bereich Meine Aufgaben im WebClient ansehen (siehe Meine Aufgaben). Hier werden die Dokumente einer Dokumentenüberprüfung angezeigt (siehe auch Dokumentenüberprüfung).
WebClient-Bereich "Geräteübersicht" sehen Der Anwender kann den Bereich Geräteübersicht im WebClient sehen (siehe Geräteübersicht). Auf dieser Seite können u.A. Direktdrucker eingestellt und die Druckmethode eingestellt werden (einige Funktionen sind einzeln zu berechtigen).
WebClient-Bereich "Anwender" sehen Der Anwender kann den Bereich Anwender im WebClient sehen (siehe Anwender). Auf dieser Seite können noch weitere Bereiche einzeln berechtigt werden (Microsoft Account Daten (OneDrive) verwalten, Einen neuen Pincode anfordern, Sein Passwort ändern, Seine E-MailPrint Adressen verwalten).
WebClient-Bereich "Kontoauszug" sehen Der Anwender kann den Bereich Kontoauszug im WebClient sehen (siehe Kontoauszug).
WebClient-Bereich "Prozessfreigabe" sehen Der Anwender kann den Bereich Prozessfreigabe im WebClient sehen (siehe Prozessfreigabe).
Microsoft Account Daten (OneDrive) verwalten Der Anwender darf den Bereich Microsoft Account Verknüpfung (Office365/OneDrive etc) im Bereich Anwender sehen und seine Kontodaten verwalten (siehe Anwender).
Einen neuen Pincode generieren Der Anwender darf den Bereich Einen neuen Pincode generieren im Bereich Anwender sehen und einen neuen, automatisch vom System generierten Pincode anfordern (siehe Anwender).
Sein Passwort ändern Der Anwender darf den Bereich Neues Passwort festlegen im Bereich Anwender sehen und sein in IQ4docs gespeichertes Passwort ändern (siehe Anwender).
Seine E-MailPrint Adressen verwalten Der Anwender darf den Bereich Adresse für E-Mail-Print im Bereich Anwender sehen und weitere für E-Mailprint relevante E-Mailadresse hinterlegen (siehe Anwender und E-MailPrint).
Geräteübersicht "Standarddruckmethode" sehen Der Anwender darf im WebClient im Bereich Geräteübersicht die Standarddruckmethode sehen und einstellen, siehe auch Direktdruck / print@me einstellen.
Geräteübersicht "Delegationsdruck" sehen Der Anwender darf im WebClient im Bereich Geräteübersicht den Delegationsdruck sehen und einstellen, siehe auch Delegationsdruck einstellen.

In diesem Abschnitt legen Sie Einstellungen für die Anwender fest, die ein IQ4docs Administrator sein sollen. Administratoren können sich am webadmin anmelden und - entsprechend ihrer Rolle - Änderungen am System vornehmen.

Rollen können in Abhängigkeit einer Gruppenmitgliedschaft im Verzeichnisdienst zugewiesen werden, siehe auch Rollenmanagement.

  • Wählen Sie die gewünschte Rolle aus der Klappliste aus.
  • Geben Sie den Gruppennamen an (alle Mitglieder dieser Gruppe bekommen die Rolle).
  • Sollen mehrere Gruppen zugewiesen werden, klicken Sie auf und geben danach eine weitere Rolle sowie Gruppe an.

Soll der Administrator nur Zugriff auf Objekte haben, die mit einer administrativen Kennung gekennzeichnet sind, können Sie dies ebenfalls in Abhängigkeit einer Gruppenmitgliedschaft tun, siehe auch Administrative Kennungen.

  • Geben Sie die Administrative Kennung an.
  • Geben Sie den Gruppennamen an (alle Mitglieder dieser Gruppe bekommen die administrative Kennung).
  • Sollen mehrere administrative Kennungen zugewiesen werden, klicken Sie auf und geben danach eine weitere administrative Kennung sowie eine Gruppe an.

Bevor der Import ausgeführt wird, sollte er getestet werden um zu überprüfen, ob die Einstellungen und die Objektfilter die erwarteten Anwender ausgeben (zum Testen müssen die Daten noch nicht gespeichert sein). Öffnen Sie dazu den Bereich Test. Es wird sofort eine Suche gestartet.

  • Maximale Anzahl Datensätze: Standardmäßig werden nur die ersten 10 Datensätze angezeigt. Sie können die Maximale Anzahl Datensätze auf 10, 100 oder 1000 einstellen.

  • Suche: Sie können einen Suchbegriff eingeben um zu überprüfen, ob sich gewünschte Datensätze in der Menge der zu importierenden Datensätze befinden.

  • Anzahl der Anwender: Anzahl der Anwender, die dem Suchfilter entsprechen und bei einem wirklichen Importlauf importiert werden würden. Diese Anzahl ist unabhängig von der unter Maximale Anzahl Datensätze eingestellten Anzahl.

  • Mit können die Daten erneut geladen und der eingestellte Suchfilter angewendet werden.

Die Spalten der Ausgabeliste können mit der Schaltfläche Spalten ein- und ausgeblendet werden.

Der Import kann - unabhängig von der automatischen Ausführung per Intervall - manuell ausgeführt werden. Klicken Sie dazu in der Listenansicht beim gewünschten Import auf Ausführen.