Active Directory
Allgemeines
MapEdit Desktop, MapEdit Mobile und MapEdit Professional unterstützen zur zentralen Authentifizierung von Benutzern das sogenannte Active Directory (LDAP/Single Sing On) von Microsoft. Damit stehen MapEdit die Informationen zum angemeldeten Windows Benutzer und dessen Gruppenzugehörigkeit zur Verfügung.
Inwiefern diese Möglichkeit bei Ihnen vorhanden ist bzw. möglich ist, müssen sie mit Ihrer IT-Abteilung besprechen.
Dies ermöglicht gerade bei einer Vielzahl von MapEdit Anwendern, nicht nochmals für jeden Anwender ein MapEdit Benutzer/Passwort usw. erstellt bzw. verwaltet werden muss. D.h. für diese Option werden nur MapEdit Benutzergruppen und keine MapEdit Benutzer (ausser besondere Benutzer) in MapEdit erstellt.
Mit der Windows Anmeldung des Anwenders am Computer weiss MapEdit zu welcher(n) Benutzergruppen er/sie gehört.
Der Server, der den User im Active Directory authentifiziert, muss auch von dem User aus erreichbar sein.
Unterstützung
Unterstützt wird das Login mit Active Directory momentan für diese Produkte:
- MapEdit Desktop
- MapEdit Professional
- MapEdit Mobile
Dabei können Windows-Geräte Single Sign On (SSO) für das Active Directory nutzen und müssen dafür in derselben Domäne sein.
Mobile Geräte unterstützen Active Directory über die Authentifizierung (SSO bzw. Login) mit der Komponente MapEdit.Core.IIS.Auth.
Einrichtung
MapEdit Desktop
Mit diesem Parameter wird MapEdit Desktop mit der Windows Authentifizierung gestartet und kein Anmeldedialog angezeigt.
Zur Aktivierung diesen Parameter in die MapEdit.ini eintragen.
ActiveDirectory=1
Mapedit-core (Mobile)
Zur Einrichtung von Active Directory für mapedit-core muss vorab das hierfür nötige Setup (MapEdit.Core.IIS.Auth.msi) von unserem Software Repository heruntergeladen werden.
Installieren Sie diese MapEdit.Core.IIS.Auth.msi auf einem Windows-Server mit IIS, der sich in der Domäne des Active Directory, das genutzt werden soll, befindet. Es wird sowohl die Authentifizierungs Komponente installiert - als auch im IIS die Anwendung konfiguriert.
Sofern eine Nicht-Standard-Website im IIS genutzt wird, muss das Verzeichnis C:\inetpub\wwwroot\MapEdit.Core.IIS.Auth als neue Anwendung im IIS Manager hinzugefügt werden.
Weiterhin muss dort als Authentifizierung Windows-Authentifizierung aktiviert und Anonyme Authentifizierung deaktiviert werden.
Die Windows-Authentifizierung muss bei Bedarf noch installiert werden:
Wie beschrieben einstellen:
Getestet werden kann die Einrichtung über folgenden Link: http://localhost/MapEdit.Core.IIS.Auth/?REQUEST=TEST.
Zuletzt muss die System Property MapEdit.WebAuthenticationUrl im Wildfly gesetzt werden. Diese muss so gesetzt werden, dass diese auf den Windows Server zeigt; z.B. http://localhost/MapEdit.Core.IIS.Auth localhost sollte dabei durch den richtigen Servernamen ersetzt werden).
Der mapedit-core Server und der Windows-Server mit IIS sollten dabei miteinander kommunizieren dürfen (selbes Netzwerk oder öffentlich freigegeben).
Wenn in mapedit-core die System Property:
MapEdit.WebAuthenticationUrl
gesetzt ist, wird es im Login Fenster angezeigt.
Voraussetzung: mindestens iOS 15 oder Android
Anschließend ist die Anmeldung via Active Directory verfügbar. Und alternativ auch die Anmeldung mit einem MapEdit Benutzer.
Benutzergruppen
In MapEdit sind alle Berechtigungen und Rollen über die Benutzergruppe gesteuert. Dh. der Name der MapEdit Benutzergruppe und Windows Benutzergruppe muss identisch sein. Dann wird über das Active Directory diese Benutzergruppe an MapEdit übergeben. Also zusammen mit der IT eine Benutzergruppe anlegen (Groß/Kleinschreibung beachten!).
Der IIS muss neu gestartet werden wenn Windows Usern neue Active Directory Gruppen zugeweisen oder enfernt werden. Da MapEdit Server die Informationen cached werden diese sonsten nicht korrekt gelesen.
Bitte beachten Sie, dass bei einigen Plugins und Erweiterungen die Rechte der Benutzergruppen extra eingestellt werden. (z.B. ALKIS Auskunft) Dh. wenn man dort z.B. erreichen will das bestimmte Benutzer keine Eigentümerdaten sehen dürfen, aber die Flurstücksinformationen, müssen zwei Benutzergruppen vorhanden sein.
Anzeige in den Optionen
In den MapEdit Desktop Optionen wird der Benutzername (i.d.R. der Domänenname und Windowsbenutzername) angezeigt. Sowie die MapEdit Benutzergruppen in denen dieser zugewiesen wurde.
Besondere Benutzer
Als Admin oder für bestimmte Benutzer kann man trotzdem MapEdit Benutzer anlegen. Diese Benutzer können sich dann mittels normalen Login an MapEdit anmelden. Hierzu muss ein extra Verzeichnis mit den Startprogrammen (MapEdit.exe und MapEdit.ini) erstellt werden. In dieser MapEdit.ini wird dann die Option ActiveDirectory=1 mit einer # voran auskommentiert. Wenn man jetzt die MapEdit.exe aus dem Verzeichnis startet wird der Login Screen angezeigt und man kann sich mit seinem MapEdit Benutzernamen anmelden.