- Erstellt von //SEIBERT/MEDIA Employee, zuletzt geändert von //SEIBERT/MEDIA Mitarbeiter am Okt 24, 2018
Diese Seite beschreibt die Art und Weise wie Crowd verschachtelte Gruppen handhabt, d. h. Gruppen, die weitere Gruppen beinhalten oder die zu anderen Gruppen gehören.
Zusammenfassung der verschachtelten Gruppen in Crowd
Manche Benutzerverzeichnisse erlauben Ihnen eine Gruppe als Teil einer weiteren Gruppe zu definieren. Die Gruppen in einer solchen Struktur werden verschachtelte Gruppen genannt. In Crowd können Sie jede Gruppe zu einer Applikation zuweisen, auch Gruppen, die weitere Gruppen beinhalten. Crowd unterstützt verschachtelte Gruppen für LDAP-Verzeichnis-Konnektoren, Crowd-interne Verzeichnisse, delegierte Authentifizierungs-Verzeichnisse und benutzerdefinierte Verzeichnisse. Sie können die Unterstützung für verschachtelte Gruppen in jedem Verzeichnis individuell aktivieren oder deaktivieren. Für weitere Informationen lesen Sie bitte die Dokumentation über das Konfigurieren eines Verzeichnisses. So wirken sich die Gruppenmitglieder auf die Autorisierung und Präsentation der integrierten Applikationen aus:
- Beim verifizieren des Logins eines Benutzers an einer integrierten Applikation durchsucht Crowd die zugewiesenen Gruppen mit all ihren Untergruppen.
- Wenn eine integrierte Applikation eine Liste mit Benutzern anfordert, präsentiert Crowd eine flache Liste mit Benutzern aus der angefragten Gruppe und deren Untergruppen.
Die restliche Seite beschreibt die oben stehende Funktion im Detail.
Zusätzlich können Sie diese Anleitungen lesen, um:
- Eine Untergruppe hinzuzufügen (verschachtelte Gruppe)
- Eine Untergruppe zu entfernen (verschachtelte Gruppe)
Definition von verschachtelten Gruppen
Eine verschachtelte Gruppe ist eine Gruppe, die Bestandteil einer weiteren Gruppe ist. Wenn Sie Gruppen für die Verwaltung von Berechtigungen benutzen, dann können Sie mit verschachtelten Gruppen die Berechtigungen einer Gruppe zu deren Untergruppen vererben.
In einem LDAP-Verzeichnis wird eine verschachtelte Gruppe als untergeordneter Gruppen-Eintrag definiert, dessen DN (Distinguished Name) durch ein Attribut in einem übergeordneten Gruppen-Eintrag referenziert wird.
Beispielsweise hat die übergeordnete Gruppe "Group One" ein "objectClass=group" Attribut und eine oder mehrere "member=DN" Attribute, bei denen die DN die eines Benutzers oder die einer Gruppe, irgendwo im LDAP-Baum, sein kann:
member=CN=John Smith,OU=Users,OU=OrgUnitA,DC=sub,DC=domain
member=CN=Group Two,OU=OrgUnitBGroups,OU=OrgUnitB,DC=sub,DC=domain
Unterstützte Verzeichnistypen
Crowd unterstützt verschachtelte Gruppen für die folgenden Verzeichnistypen:
- LDAP-Verzeichnis-Konnektoren
- Interne Verzeichnisse
- Delegierte Authentifizierungs-Verzeichnisse
- Benutzerdefinierte Verzeichnisse, vorausgesetzt die Anpassung erfüllt die Anforderungen der RemoteDirectory API.
Der Verzeichnis-Importer unterstützt nicht die verschachtelten Gruppen beim Importieren von Benutzern, Gruppen und Rollen aus LDAP in ein delegiertes Authentifizierungs-Verzeichnis. Sehen Sie CWD-1334.
Gruppenverwaltung via Crowds Administrationskonsole
Der Crowd-Administrator kann die Gruppen-Mitgliedschaften einsehen, eine Gruppe als Teil einer weiteren Gruppe hinzufügen und eine Gruppe aus einer weiteren Gruppe entfernen.
Den Zugriff eines Benutzers auf eine Applikation verifizieren
Wenn Sie die Zugangsdaten eines Benutzers an einer integrierten Applikation verifizieren, durchsucht Crowd die Gruppen, die zu der Applikation zugewiesen sind und deren Untergruppen. Wenn der Benutzername in einer der Gruppen existiert, erlaubt Crowd dem Benutzer den Zugriff auf die Applikation.
Abgeflachte Listen mit Benutzern an integrierte Applikationen übergeben
Integrierte Applikationen fragen bei Crowd unter Umständen Listen mit Mitgliedern einer Gruppe an. Crowd listet alle Benutzer, die Mitglieder der Gruppe sind, sowie alle Benutzer aus dessen Untergruppen, konsolidiert auf einer Seite auf. Atlassian nennt diese Liste "abgeflachte" Gruppe. Dies ist erforderlich weil viele integrierte Applikationen nicht das Konzept der verschachtelten Gruppen verstehen. Aus diesem Grund macht Crowd die verschachtelten Gruppen für die integrierten Applikationen transparent.
Use Case: Confluence fragt eine Benutzerliste der "Confluence-Users" Gruppe an
Eine Crowd-integrierte Confluence-Instanz sieht die Benutzer in den Untergruppen als Mitglieder der übergeordneten Gruppen, somit wird es Administratoren ermöglicht die verschachtelten Gruppen für die Verwaltung der Berechtigungen zu benutzen. (Dies wirkt sich nicht auf Confluence-Instanzen aus, die nicht Crowd-aktiviert sind.)
Beispiel:
- In LDAP haben wir die Gruppen "engineering-group" und "payroll-group". Wir möchten beiden Gruppen den Zugriff auf unsere Confluence-Site geben.
- Mit Crowd fügen wir eine Gruppe namens "confluence-users" zum LDAP-Verzeichnis hinzu.
- Fügen Sie die "engineering-group" Gruppe als Untergruppe der "confluence-users" Gruppe hinzu.
- Fügen Sie die "payroll-group" Gruppe als Untergruppe der "confluence-users" Gruppe hinzu.
- Die Gruppen-Mitgliedschaften sind nun:
- confluence-users - Untergruppen: engineering-group, payroll-group
- engineering-group - Untergruppen: dev-a, dev-b; Benutzer: pblack
- dev-a - Benutzer: jsmith, sbrown
- dev-b - Benutzer: jsmith, dblue
- payroll-group - Benutzer: rgreen
- Wenn Confluence eine Liste mit Benutzern der "confluence-users" Gruppe anfragt, präsentiert Crowd die folgende Liste:
- pblack
- jsmith
- sbrown
- dblue
- rgreen
Diagramm: Veranschaulichung von abgeflachten Listen mit Benutzern für die integrierten Applikationen.
Benutzerverwaltung über integrierte Applikationen
Empfehlung: Aktivieren Sie die externe Benutzerverwaltung
Wenn Sie Jira, Confluence, Bitbucket Server, Bamboo, Fisheye oder Crucible mit Crowd verbunden haben und Sie verschachtelte Gruppen in Ihrem Verzeichnis haben, dann empfehlen wir Ihnen die externe Benutzerverwaltung über die Administrationsseite der integrierten Applikation zu aktivieren. Dadurch vermeiden Sie Verwirrung auf den Benutzerverwaltungs-Seiten der integrierten Applikation, da diese Applikationen nicht das Konzept der verschachtelten Gruppen verstehen.
Use Case: Eine Applikation fügt einen Benutzer zu einer Gruppe hinzu
Wenn eine integrierte Applikation einen Benutzer zu einer abgeflachten Gruppe hinzufügt, wird der Benutzer zu der bestimmten Gruppe und nicht zu dessen Untergruppen hinzugefügt.
Use Case: Eine Applikation entfernt einen Benutzer aus einer Gruppe
Wenn eine integrierte Applikation dabei ist einen Benutzer aus einer abgeflachten Gruppe zu entfernen, wird Crowd folgendes tun:
- Wenn der Benutzer Mitglied der obersten Gruppe in der Hierarchie (Baum-Struktur) der Gruppen in der abgeflachten Liste (z. B. confluence-users) ist, dann entfernt Crowd den Benutzer.
- Andernfalls wird Crowd eine Fehlermeldung zurückgeben, in der es heißt, dass der Benutzer nicht ein direktes Mitglied der Gruppe ist.
Weitere Hinweise zu Crowds Vorgehensweise
- Crowd handhabt Referenzen zirkulär - zum Beispiel: "group1" ist Mitglied von "group2", "group2" ist Mitglied von "group3" und "group3" ist wiederum Mitglied von "group1".
- Crowd ignoriert Mitglieder, die nicht Benutzer oder Gruppen sind - Gruppen-Mitglieder könnten z. B. Computer, Drucker, etc. sein.
- Crowd handhabt nicht erreichbare Gruppen elegant - Es gibt womöglich Referenzen zu Gruppen oder Mitgliedern, die Crowd nicht spezifizieren kann. Die Ursache dafür könnte sein, dass die referenzierte Gruppe nicht mehr existiert oder die LDAP-Gruppenstruktur nicht vollständig konsistent ist. Crowd ignoriert solche Gruppen und schreibt eine Warnung in die Log-Datei.