Schweiz Deutschland Österreich
Schweiz Deutschland Österreich
Kostenlos testen
AI Chat  
Kostenlos testen

Vertec AI Chatbot

Der Chatbot hilft Ihnen bei Fragen rund um das Produkt und die Anpassbarkeit der Software. Wie bei allen AI-generierten Daten sollten die Antworten bei kritischen Informationen verifiziert werden. Nehmen Sie dafür gerne Kontakt mit uns auf. Weitere Informationen zur Verarbeitung der Chat-Daten bieten wir auf der Datenschutzseite.

Die besten Antworten liefert der Chatbot, wenn Ihr Input möglichst viele Informationen enthält. Zum Beispiel:

«Welche Apps stehen im Vertec Cloud Abo zur Verfügung?»

Schweiz Deutschland Österreich
Kostenlos testen
Support vertec.com

Authentisierung via LDAP Server

Benutzer in Vertec mit Usern in einem LDAP Server (z.B. Active Directory) koppeln.

Standard

|

Expert

CLOUD ABO

|

ON-PREMISES

Leistung & CRM

Budget & Teilprojekt

Fremdkosten

Ressourcenplanung

Business Intelligence

Erstellt: 14.11.2016
Aktualisiert: 07.03.2024 | Beschreibung bei LDAPS Zertifikat-Fingerabdruck angepasst.

Ab Version 6.1 ist es möglich, Benutzer in Vertec mit Usern in einem LDAP Server (z.B. Active Directory) zu koppeln. Voraussetzung dafür ist ein korrekt konfigurierter LDAP Server. Die Verantwortung hierfür liegt beim Kunden. Beim Login in Vertec kann sich der Benutzer dann mit seinem Usernamen und Passwort aus LDAP anmelden. Dafür gibt es in den Systemeinstellungen Authentisierung eine Reihe von Properties:

LDAP Administrator

Hier muss ein Vertec Bearbeiter als LDAP Administrator hinterlegt werden. Zur Auswahl stehen alle Vertec Administratoren. Dieser User wird immer direkt über sein Vertec Login authentisiert. Ein Zugriff auf Vertec ist für den Admin somit auch ohne verfügbaren LDAP Server möglich.
LDAP Authentisierung über Domain

Der Domain Name, über welchen die User sich authentisieren können.
LDAP Server Adresse

Die Server Adresse des LDAP Servers ohne Port.
LDAP Server Port

Der Port auf welchem der LDAP Server zu erreichen ist. Falls leer, wird der Default Port 636 genommen.
LDAPS Zertifikat-Fingerabdruck

Der Fingerabdruck des LDAP Server Zertifikats.

Verfügt der LDAP Server über ein trusted Zertifikat, wird ab Vertec 6.5.0.16 auf die Prüfung des Fingerabdrucks verzichtet, wenn das Betriebssystem das Zertifikat als gültig akzeptiert. In diesem Fall muss in dieses Feld ab Vertec 6.5.0.16 irgendein Zeichen eingefügt werden (das Feld darf nicht leer sein). Ab Vertec 6.7.0.1 kann das Feld auch ganz leer gelassen werden.

Verfügt der LDAP Server nicht über ein trusted Zertifikat und stimmt der hier eingegebene Fingerabdruck nicht mit dem Fingerabdruck beim Verbinden mit dem LDAP Server überein, wird die Verbindung verweigert. Bitte beachten Sie: Auch wenn das Zertifikat vom LDAP-Server automatisch erneuert wird, ändert sich damit der Fingerprint und muss neu eingegeben werden. Ansonsten schlägt die Anmeldung an Vertec fehl.

Um den Fingerabdruck des Zertifikats in Vertec einzutragen, klicken Sie doppelt auf das Zertifikat (.cer File), Reiter Details, Feld Fingerabdruck. Wenn Sie den Eintrag selektieren, wird im unteren Bereich der Wert zum Kopieren dargestellt. Hinweis: Selektiert man den ganzen String im unteren Bereich, kommen unsichtbare Unicode Charaktere mit - siehe https://support.microsoft.com/en-us/help/2023835. Wird dieser String ins Vertec kopiert, kommt zu Beginn des Strings ein Fragezeichen. Dieses muss gelöscht werden, sonst schlägt der Fingerabdruckvergleich fehl.

Es handelt sich um eine reine Sequenz von Hexadezimalzahlen. Es dürfen zwischen den Zeichen weder Sonderzeichen noch Doppelpunkte vorkommen. Einzig Leerzeichen als Zeichentrenner sind erlaubt.

Weiteres Know-how zu Zertifizierungen finden Sie im Artikel über den Cloud Server.

Es gelten folgende Richtlinien:

  • Die Kopplung an den Vertec User geschieht über das Member loginName auf dem Projektbearbeiter. Dieser muss dem Domain Usernamen entsprechen.
  • Damit die Authentisierung an den LDAP Server delegiert werden kann, müssen diese vier Systemeinstellungen gesetzt sein:
    • LDAP Administrator
    • LDAP Server Adresse
    • LDAP Authentisierung über Domain
    • LDAPS Zertifikat-Fingerabdruck, falls der LDAP Server nicht über ein trusted Zertifikat verfügt, siehe Beschreibung.

    Ist eine dieser Einstellungen nicht gesetzt, geschieht die Authentisierung über die Vertec Logins.

  • Ausnahme ist der als LDAP Administrator hinterlegte User - dieser wird immer über das Vertec Login authentisiert. Das geschieht wie folgt: Desktop App bzw. Cloud Server suchen sich den Loginnamen des hinterlegten LDAPAdmin Users. Möchte sich ein User mit diesem Loginnamen einloggen, werden Username und Passwort direkt mit der Vertec Datenbank abgeglichen.
  • Es sind nur sichere Verbindungen über SSL/TLS zugelassen.
  • Sind lokal Anmeldedaten hinterlegt (siehe Angemeldet bleiben), so haben diese Vorrang vor der Anmeldung via LDAP Server (da gar kein Login kommt).

Änderungen an den Systemeinstellungen werden in der Cloud App und der Web App erst nach dem Neustart des Cloud Servers aktiv. Die Desktop App muss ebenfalls neu gestartet werden (Abmelden reicht nicht). Cloud Abo Kunden können den Neustart via Kundenportal auslösen.

Steigt der Host oder der LDAP Server während des Betriebs des Cloud Servers aus, wird den Usern bei einem Authentisierungsversuch angezeigt, dass der Authentisierungsserver nicht erreichbar ist. Wird der LDAP Server wieder erreichbar, verbindet sich der Cloud Server transparent wieder. In diesem Fall besteht keine Notwendigkeit, den Cloud Server neu zu starten.

Es gibt Fälle, wo die Verbindung zum LDAP Server nach längerer Inaktivität unterbrochen wird. Bei Verwendung von Azure Active Directory ist dies zum Beispiel nach 4 Minuten der Fall (siehe https://azure.microsoft.com/de-de/blog/new-configurable-idle-timeout-for-azure-load-balancer/). In solchen Fällen sollte auf Netzwerk-Ebene sichergestellt werden, dass dies nicht geschieht, zum Beispiel durch Konfigurieren eines TCP Keep alive Timeouts, der weniger als 4 Minuten beträgt.

Mit der Vertec Version 6.1.0.11 wurde die stehende Verbindung des Cloud Servers zum LDAP Server aufgehoben. Der Cloud Server baut danach (analog zur Desktop App) für jeden Authentisierungsversuch eine neue Verbindung zum LDAP Server auf.

Logging

Die Logeinträge betreffend LDAP befinden sind bei Verwendung eines Cloud Clients im Vertec.CloudServer.log. bzw. bei Verwendung der Desktop App im Vertec.Deskop.log.

Der Verbindungsaufbau zum LDAP Server beim Start des Cloud Servers bzw. der Desktop App wird durch Info Messages angezeigt (Connecting to the LDAP authenticationserver, Connected to the LDAP authentication server). Diese erscheinen immer im Log, wenn LDAP konfiguriert ist.

Logeinträge zur LDAP Konfiguration und zu Fehlern bei den Bind-Aufrufen erscheinen als Debug Messages im Logfile, wenn die entsprechende DebugCategory namens VertecLib.LdapPasswordAuthenticationProvider angegeben ist. Wenden Sie sich dafür an Ihren Vertec Betreuer.

Authentisierung über ein externes Tool

Setzen Sie bereits LDAP ein und möchten die übliche 2-Faktor-Authentisierung eines externen Tools auch für Vertec Logins verwenden, dann ist dies möglich, sofern das Tool dies mit LDAP zulässt.

Bisher ist eine Anwendung z.B. mit Duo bekannt, dessen Authentication Proxy beim Loginversuch eines Benutzers in Vertec über LDAP auf der Duo App eine Push-Nachricht anzeigt, wo der Benutzer seinen Loginversuch bestätigen kann.

Die Anwendung erfolgt dabei rein im externen Tool, welches mit LDAP kompatibel ist, und hat mit Vertec selbst grundsätzlich nichts zu tun. Deshalb funktionieren nur die Pushmeldungen für das Login bei Vertec, keine direkte Eingaben von Codes etc.

Kontakt
+41 43 444 60 05
support@vertec.com

Montag bis Freitag
9-12 und 14-17 Uhr

Vertec 30 Tage kostenlos ausprobieren

Lernen Sie unsere Software mit allen Kernfunktionen kennen

Jetzt testen
Bitte wählen Sie Ihren Standort