Import LDAP

Mit dem LDAP Import können Sie Anwenderdaten aus einem Active Directory oder Open LDAP importieren. Es können mehrere LDAP-Importe für den gleichen Verzeichnisdienst angelegt werden. Legen Sie eine LDAP-Importquelle wie folgt an.

Um die Webadministration zu öffnen, geben Sie im Webbrowser http://<Hostname>/webadmin ein (wobei Hostname dem Server entspricht, auf dem das IQ4docs WebAdmin installiert wurde). In einer Mandantenumgebung geben Sie die URL ein, die Sie vom Mandantenverwalter erhalten haben (z.B. http://server/webadmin/#/cf992178-4bd6-431c-b815-b9d734d0ded3). Wenn Sie noch nicht angemeldet sind, melden Sie sich mit einem Anwender mit Administratorrechten (Login und Passwort) oder dem IQ4docs Systemadministrator (standardmäßig administrator mit Passwort admin) an.

Klicken Sie in der Webadministration im Menü auf Anwender > Anwenderimport.

Kicken Sie auf Anwenderimport erstellen und wählen Sie Anwenderimport über LDAP aus.

Beim Import werden Werte aus den Feldern des Verzeichnisdienstes übernommen. Ist ein Feld nicht angegeben, wird dieser Wert nicht importiert (der in IQ4docs vorhandene Wert im Anwenderdatensatz bleibt erhalten).

Feld Beschreibung
Name Geben Sie hier den Anzeigenamen ein, mit dem die Importquelle in der Importquellenliste angezeigt werden soll.
Ausführungsintervall Geben Sie hier das Intervall der Ausführung an. Bei der Einstellung niemals muss die Ausführung immer manuell gestartet werden.
Nächste Ausführung Dieses Feld ist nur sichtbar, wenn das Ausführungsintervall nicht auf niemals steht. Das Feld zeigt den nächsten Ausführungszeitpunkt an. Sie können Datum und Zeit für die nächste Ausführung angeben. Nach der nächsten Ausführung wird der Zeitpunkt automatisch um ein Ausführungsintervall weitergesetzt. Die Ausführung wird technisch bedingt etwas später als der angegebene Minutenwert begonnen.
Feld Beschreibung
Hostname Geben Sie hier die IP-Adresse oder den DNS-Namen Ihres Verzeichnisdienst-Servers an.
Anschluss Geben Sie den von Ihrem Verzeichnisdienst verwendeten TCP/IP Port an. Die Standardverbindung wird über den Port 389 aufgebaut. Verwenden Sie für die SSL-verschlüsselte Übertragung Port 686. Für die verschlüsselte Übertragung muss der Verzeichnisdienst entsprechend eingerichtet sein.
Authentifizierungstyp

Authentifizierungstyp abhängig vom Typ des LDAP-Servers und dessen Konfiguration:

Typ Beschreibung
Dpa Die verteilte Kennwortauthentifizierung (DPA - Distributed Password Authentication) wird für die Verbindung verwendet.
Msn Die Authentifizierung durch den Microsoft-Netzwerkauthentifizierungsdienst wird verwendet.
Basic Die Standardauthentifizierung wird für die Verbindung verwendet (z.B. für Lotus Domino Directory)
Anonymous Die Verbindung wird ohne Angabe von Anmeldeinformationen hergestellt.
Digest Die Digest Access Authentifizierungsmethode wird für den LDAP-Zugriff verwendet.
Ntlm Die Windows NT - Abfrage / Rückmeldung - Authentifizierung (NTLM - Windows NT Challenge / Response) wird für die Verbindung verwendet.
External Eine externe Methode wird für die Verbindungsherstellung verwendet.
Kerberos Die Kerberos Authentifizierung wird für den Verbindungsherstellung verwendet.
Negotiate Die Negotiate-Authentifizierung von Microsoft wird für die Verbindung verwendet.
Sicily Ein Aushandlungsmechanismus (Sicily) wird verwendet, um MSN, DPA oder NTLM auszuwählen. Er sollte nur für LDAPv2 - Server verwendet werden.
Benutzer Der definierte Name des Benutzers unter dessen ID der Zugriff auf den Verzeichnisdienst erfolgen soll. Bitte informieren Sie sich beim zuständigen Administrator. Dieser wird Ihnen eventuell einen besonderen Benutzer für diesen Zugriff erstellen. Der Benutzer muss im Verzeichnisdienst das Recht haben alle relevanten Orte (z.B. auch gelöschte Objekte) zu lesen.
Passwort Passwort des Benutzers, mit dem der Verzeichnisdienst abgefragt wird.
Suchbasen Sie können mehrere Suchbasen angeben, unter denen die Anwender und Gruppen gesucht werden. Eine Basis ist die Wurzel späterer Operationen innerhalb des Verzeichnisses im Distinguished Name.
Beispiel: OU=Organisationseinheit, DC=Company, DC=de.
Anwenderfilter Mittels Anwenderfilter können Sie beeinflussen, welche Anwenderdatensätze aus dem Verzeichnisdienst ausgelesen werden. Setzen Sie einen Filter, der nur für IQ4docs relevante Datensätze aus dem Verzeichnis ausliest, um so den Ressourcenverbrauch des automatischen Importes zu minimieren.
Beispiel: (&(objectCategory=person)(objectClass=user)) Dieser Filter wählt beim Microsoft Active Directory ausschließlich Objekte aus, die eine Person sind und im Verzeichnis als Benutzer angelegt sind.
Gruppenfilter

Mittels Gruppenfilter können Sie beeinflussen, welche Gruppen aus dem Verzeichnisdienst ausgelesen werden. Setzen Sie einen Filter, der nur für IQ4docs relevante Gruppen aus dem Verzeichnis ausliest, um so den Ressourcenverbrauch des automatischen Importes zu minimieren. Gruppen in denen der Anwender direktes Mitglied ist, können nicht über den Filter ausgeschlossen werden. Die Gruppen eines Anwenders werden standardmäßig als Anwender-Schlüsselwort importiert.

Beispiel: (&(objectCategory=Group)(objectClass=group)) Dieser Filter wählt beim Microsoft Active Directory als Verzeichnisdienst ausschließlich Objekte aus, die eine Person sind und im Verzeichnis als Benutzer angelegt sind.

Verschachtelte Suche nach Gruppenmitgliedern: Ist diese Option aktiviert, werden auch Gruppen, die als Gruppenmitglied angegeben wurden, durchsucht (enthält diese Gruppe dann wieder Gruppen, werden auch diese durchsucht usw.). Nicht alle Verzeichnisdienste unterstützen diese Einstellung.

Wenn Gruppen über diesen Filter ausgeschlossen werden, stehen sie für die weitere Verwendung auch nicht zur Verfügung (z.B. Zuordnung von Rechten anhand von Gruppenzugehörigkeiten oder Schlüsselwortimport).
Objekt-Identifikation Geben die das Feld im Verzeichnisdienst an, das den Anwender eindeutig identifiziert (für Active Directory z.B. objectGUID). Das Attribut muss vom Typ GUID sein.
Feld Beschreibung
Name Attribut für den Anzeigenamen des Anwenders (z.B. displayName).
E-Mail Attribut für die E-Mailadresse des Anwenders. Ist der Eintrag im Verzeichnisdienst leer, wird die E-Mailadresse in IQ4docs entfernt (z.B. mail).
Abteilung Attribut um für den Benutzer eine Abteilung zu importieren. Sollte die Abteilung noch nicht vorhanden sein, wird diese erstellt (z.B. department).
Persönlicher Ordner Attribut für den persönlichen Ordner des Anwenders (der Wert im angegebenen Verzeichnis wird als persönlicher Ordner verwendet, z.B. homeDirectory).
Sie haben die Möglichkeit, feste Zeichenfolgen und Attributinhalte zu mischen. Verwenden Sie dazu am Anfang und Ende doppelte Anführungszeichnen (") und schließen die Attributnamen in Prozentzeichen (%) ein.

Beispiele
(Loginname ist mmartin, in pager steht scandir, homeDirectory ist \\Servername\users\mmartin)
Angabe im FeldResultierender Pfad
homeDirectory\\Servername\users\mmartin
"c:\%pager%\%samAccountName%"c:\scandir\mmartin

Es können nur %Attributnamen% aber keine %Variablen% verwendet werden.
Gruppenmitgliedschaften Attribut, das die Gruppenmitgliedschaften des Anwenders beinhaltet (z.B. memberOf).
Benutzerkontensteuerung Attribut, das Angaben zur Benutzerkontensteuerung enhält (userAccountControl). Dieses Attribut steuert, ob ein Anwender aktiv oder inaktiv ist.
Pincode Wenn die Option Pincode generieren aktiviert ist, wird für alle Anwender, die noch keinen Pincode haben, automatisch ein neuer Pincode generiert. Für die Generierung des Pincodes werden zufällig alle erlaubten Zeichen verwendet, siehe Komplexität von Pincodes festlegen). Hat ein Anwender bereits einen Pincode, wird nicht automatisch ein neuer erzeugt.
Alternativ kann der Pincode aus einem Attribut importiert werden. Mit diesem Wert wird ein ggf. vorhandener Pincode überschrieben. Ist der Eintrag im Verzeichnisdienst leer, wird der Pincode des Anwenders geleert.
Schlüsselwortzuordnungen Die Namen der Gruppen, in denen ein Anwender Mitglied ist, werden automatisch als Schlüsselwort importiert. In diesem Feld können Sie die Namen der Gruppen einschränken, aus denen Schlüsselwörter generiert werden.
Beispiele:
* - Alle Gruppennamen werden als Schlüsselwort importiert
Print* - Alle Gruppennamen, die mit Print beginnen, werden als Schlüsselwort importiert
*IQ* *doc - Alle Gruppennamen, die IQ enthalten oder auf doc enden, werden als Schlüsselwort importiert

Es können an dieser Stelle nur Gruppennamen zu Schlüsselwörtern gemacht werden, die durch den Gruppenfilter zugelassen wurden, siehe LDAP Einstellungen.
Administrative Kennung Legen Sie die Administrative Kennung fest, die dem Anwender in Abhängigkeit einer Gruppenmitgliedschaft im Verzeichnisdienst zugewiesen werden soll (siehe auch Administrative Kennungen).
Beispiel: Geben Sie im ersten Feld Berlin ein und im zweiten Feld Gruppe1, wird dem Anwender die Administrative Kennung Berlin zugewiesen wenn er im Verzeichnisdienst Mitglied der Gruppe Gruppe1 ist.
Sie können mit beliebig viele Administrative Kennungen zuweisen. Ein Anwender kann jedoch nur eine Administrative Kennung haben. Ist ein Anwender in mehreren Gruppen, wird die Administrative Kennung der letzten Gruppe verwendet.

Geben Sie hier die Felder an, deren Inhalt in benutzerdefinierte Felder importiert werden soll. Benutzerdefinierte Felder werden beim Import genauso wie andere Felder verwendet, siehe auch Benutzerdefinierte Felder für Anwender erstellen.

Dieser Bereich ist nur vorhanden, wenn bereits benutzerdefinierte Felder für Anwender definiert wurden.

Feld Beschreibung
Kartennummer Attribut für die Kartennummer. Sollte das Attribut keinen Wert enthalten, heißt das, dass für diesen Anwender keine Karte importiert werden soll, oder dass die bereits für diesen Anwender importierte Karte gelöscht werden soll (manuell angelegte Karten bleiben erhalten). Die maximale Anzahl von Zugriffskarten kann begrenzt werden, siehe Anzahl registrierbarer Karten pro Anwender einstellen (ggf. werden also durch den Import einer Karte bestehende Karten des Anwenders automatisch gelöscht).
Gültig bis Hier haben Sie die Möglichkeit ein Attribut anzugeben, dessen Wert angibt bis wann eine Karte gültig sein soll. Beim Microsoft Active Directory haben Sie z.B. die Möglichkeit auf das Attribut accountExpires zu verweisen. Sie haben aber auch die Möglichkeit ein Attribut auszuwählen, in dem ein Datum manuell eingetragen wurde. Das Format des Datums muss jedoch der Ländereinstellung des Servers entsprechen, auf dem der UserService installiert ist. Besitzt das Attribut keinen Wert, so läuft die Karte nie ab. Ist der Eintrag im Verzeichnisdienst leer, wird er auch in IQ4docs geleert.
Feld Beschreibung
Anmeldename Attribut für den Loginnamen. Standardwert ist für Active Directory sAMAccountName. Ist der Eintrag im Verzeichnisdienst leer, wird beim Update der bestehende Wert in IQ4docs beibehalten.
Principal Attribut für den Principal-Namen des Anwenders (voll qualifizierter Domänenname, z.B. UserPrincipalName).
Gültig bis Hier hat man die Möglichkeit ein Attribut anzugeben, dessen Wert angibt bis wann der Login gültig sein soll. Beim Microsoft Active Directory haben Sie z.B. die Möglichkeit auf das Attribut accountExpires zu verweisen. Sie haben aber auch die Möglichkeit ein Attribut auszuwählen, in dem ein Datum manuell eingetragen wurde. Das Format des Datums muss jedoch der Ländereinstellung des Servers entsprechen, auf dem der UserService installiert ist. Besitzt das Attribut keinen Wert, läuft das Login nie ab. Ist der Eintrag im Verzeichnisdienst leer, wird er auch in IQ4docs geleert.
Feld Beschreibung
Anzeigename Anzeigename der Kostenstelle - diesen Namen sieht der Anwender.
Kostenstelle Feld um für den Benutzer eine Kostenstelle zu importieren. Sollte die Kostenstelle noch nicht vorhanden sein, wird diese erstellt.
Schlüsselwort Beim Import können automatisch Schlüsselwörter für den Anwender erzeugt werden. Der Wert im angegebenen Feld wird als ein Schlüsselwort verwendet (dieses steht Liste der Schlüsselwörter des Anwenders immer an erster Stelle). Zusätzlich können noch Gruppennamen, in denen sich der Anwender befindet, als Schlüsselwort verwendet werden.

Die in der nachstehenden Tabelle aufgeführten Anwenderrechte können immer gewährt werden (also für jeden importierten Anwender gesetzt werden), abhängig von einer Gruppenmitgliedschaft im Verzeichnisdienst importiert werden oder auch manuell verwalten werden.

  • Immer gewähren: Schalten Sie Immer gewähren an (Feld LDAP Gruppenname wird ignoriert und ausgegraut).
  • Abhängig von einer Gruppenmitgliedschaft importieren: Schalten Sie Immer gewähren aus. Geben Sie dann im Feld LDAP Gruppenname den Namen der Gruppe an (z.B. PrintAdmins für die Gruppe CN=PrintAdmins,CN=Users,DC=company,DC=com). Ist der Anwender in der angegebenen Gruppe, wird das Recht gesetzt, wenn nicht, wird es entfernt. Beachten Sie, dass nur in den unter Suchbasen angegebenen Bereichen nach Gruppen gesucht wird.

  • Wird die Gruppe in der Suchbasis nicht gefunden, wird das Recht bei allen Anwendern entfernt (dies kann auch genutzt werden, um ein Recht für alle Anwender zu entziehen).

  • Manuell verwalten: Möchten Sie das Recht gar nicht importieren (sondern die Rechtevergabe manuell im Anwenderdatensatz von IQ4docs vornehmen), schalten Sie Immer gewähren aus und geben Sie keinen Gruppennamen an.
Feld Beschreibung
Farbig drucken Der Anwender hat die Möglichkeit farbig zu drucken (wenn der Gerätehersteller Drucken und Kopieren beim Farbrecht nicht unterscheidet, kann es nicht separat berechtigt werden).
Farbig kopieren Der Anwender hat die Möglichkeit farbig zu kopieren.
Direktdruckerfavoriten selbst bearbeiten Der Anwender kann seine Direktdruckerfavoriten im WebClient selber wählen, siehe Favoriten- und Direktdrucker wählen.
Systemeinstellungen am Gerät vornehmen Meldet sich ein Anwender über den Embedded Client am Gerät an und dieses Recht ist vorhanden, so hat er am Gerät administrative Rechte (z.B. Systemeinstellungen am Gerät vornehmen). Das Recht wird je Hersteller/Gerät unterschiedlich interpretiert.
Eigenes Adressbuch verwenden Der Anwender hat die Möglichkeit ein eigenes Adressbuch über den WebClient zu pflegen und die Einträge am Gerät zu verwenden, siehe Mein Adressbuch. Ohne dieses Recht ist der Bereich Mein Adressbuch im WebClient nicht sichtbar.
Eigene Workflows erstellen Der Anwender darf sich am Gerät aus einem bestehenden Workflow einen neuen Workflow ableiten und speichern. Ohne dieses Recht ist die Schaltfläche nicht sichtbar.
Workflow als Favorit setzen Der Anwender darf sich am Gerät einen Workflow als Favorit markieren. Ohne dieses Recht ist die Schaltfläche nicht sichtbar.
Gerätefunktion benutzen Der Anwender darf über das Kopiermenü > Gerätefunktion den Embedded Client verlassen und die Gerätefunktionen (Menü des Gerätes) verwenden. Ohne dieses Recht ist die Schaltfläche ausgegraut.
Letzte Workflows anzeigen Der Anwender darf zuletzt ausgeführte Workflows am Gerät noch einmal aus dem Bereich Zuletzt verwendet aufrufen. Ohne das Recht ist dieser Bereich leer.
Änderungen am Gerät speichern Der Anwender darf Änderungen an den Einstellungen (z.B. Sprache) dauerhaft speichern. Ohne dieses Recht kann z.B. die Sprache temporär umgestellt werden, nach dem Ausloggen wird aber automatisch auf die Standardsprache zurückgestellt.
WebClient-Bereich "Scanaufträge" sehen Der Anwender kann den Bereich Scanaufträge im WebClient ansehen (siehe Meine Scanaufträge). Hier werden Scans mit dem Scanziel Mein Web angezeigt (siehe auch Modul Scanziel Mein Web).
WebClient-Bereich "Meine Aufgaben" sehen Der Anwender kann den Bereich Meine Aufgaben im WebClient ansehen (siehe Meine Aufgaben). Hier werden die Dokumente einer Dokumentenüberprüfung angezeigt (siehe auch Dokumentenüberprüfung).
WebClient-Bereich "Geräteübersicht" sehen Der Anwender kann den Bereich Geräteübersicht im WebClient sehen (siehe Geräteübersicht). Auf dieser Seite können u.A. Direktdrucker eingestellt und die Druckmethode eingestellt werden (einige Funktionen sind einzeln zu berechtigen).
WebClient-Bereich "Anwender" sehen Der Anwender kann den Bereich Anwender im WebClient sehen (siehe Anwender). Auf dieser Seite können noch weitere Bereiche einzeln berechtigt werden (Microsoft Account Daten (OneDrive) verwalten, Einen neuen Pincode anfordern, Sein Passwort ändern, Seine E-MailPrint Adressen verwalten).
WebClient-Bereich "Kontoauszug" sehen Der Anwender kann den Bereich Kontoauszug im WebClient sehen (siehe Kontoauszug).
WebClient-Bereich "Prozessfreigabe" sehen Der Anwender kann den Bereich Prozessfreigabe im WebClient sehen (siehe Prozessfreigabe).
Microsoft Account Daten (OneDrive) verwalten Der Anwender darf den Bereich Microsoft Account Verknüpfung (Office365/OneDrive etc) im Bereich Anwender sehen und seine Kontodaten verwalten (siehe Anwender).
Einen neuen Pincode generieren Der Anwender darf den Bereich Einen neuen Pincode generieren im Bereich Anwender sehen und einen neuen, automatisch vom System generierten Pincode anfordern (siehe Anwender).
Sein Passwort ändern Der Anwender darf den Bereich Neues Passwort festlegen im Bereich Anwender sehen und sein in IQ4docs gespeichertes Passwort ändern (siehe Anwender).
Seine E-MailPrint Adressen verwalten Der Anwender darf den Bereich Adresse für E-Mail-Print im Bereich Anwender sehen und weitere für E-Mailprint relevante E-Mailadresse hinterlegen (siehe Anwender und E-MailPrint).
Geräteübersicht "Standarddruckmethode" sehen Der Anwender darf im WebClient im Bereich Geräteübersicht die Standarddruckmethode sehen und einstellen, siehe auch Direktdruck / print@me einstellen.
Geräteübersicht "Delegationsdruck" sehen Der Anwender darf im WebClient im Bereich Geräteübersicht den Delegationsdruck sehen und einstellen, siehe auch Delegationsdruck einstellen.

In diesem Abschnitt legen Sie Einstellungen für die Anwender fest, die ein IQ4docs Administrator sein sollen. Administratoren können sich am webadmin anmelden und - entsprechend ihrer Rolle - Änderungen am System vornehmen.

Rollen können in Abhängigkeit einer Gruppenmitgliedschaft im Verzeichnisdienst zugewiesen werden, siehe auch Rollenmanagement.

  • Wählen Sie die gewünschte Rolle aus der Klappliste aus.
  • Geben Sie den Gruppennamen an (alle Mitglieder dieser Gruppe bekommen die Rolle).
  • Sollen mehrere Gruppen zugewiesen werden, klicken Sie auf und geben danach eine weitere Rolle sowie Gruppe an.

Soll der Administrator nur Zugriff auf Objekte haben, die mit einer administrativen Kennung gekennzeichnet sind, können Sie dies ebenfalls in Abhängigkeit einer Gruppenmitgliedschaft tun, siehe auch Administrative Kennungen.

  • Geben Sie die Administrative Kennung an.
  • Geben Sie den Gruppennamen an (alle Mitglieder dieser Gruppe bekommen die administrative Kennung).
  • Sollen mehrere administrative Kennungen zugewiesen werden, klicken Sie auf und geben danach eine weitere administrative Kennung sowie eine Gruppe an.

Bevor der Import ausgeführt wird, sollte er getestet werden um zu überprüfen, ob die Suchbasis und der Objektfilter die erwarteten Anwender ausgeben. Klicken Sie dazu auf die Schaltfläche Testen. Zum Testen müssen die Daten noch nicht gespeichert sein.

Im sich öffnenden Dialog sehen Sie eine Liste von Anwendern in der Sie - wie in der Liste der Anwender - nach Anwendern suchen können (siehe auch Anwenderliste).

Sie haben die Möglichkeit im Testdialog Benutzer und Passwort für den Zugriff auf den Verzeichnisdienst sowie Suchbasis und Objektfilter zu ändern. Das Ergebnis können Sie mit der Schaltfläche neu laden.

Der Import kann - unabhängig von der automatischen Ausführung per Intervall - manuell ausgeführt werden. Klicken Sie dazu in der Listenansicht beim gewünschten Import auf Ausführen.