/
ACTIVEDIRECTORYDOMAIN - Detailbeschreibung

ACTIVEDIRECTORYDOMAIN - Detailbeschreibung

Facility Management Header.png

Überblick

Parameter:ACTIVEDIRECTORYDOMAIN
Kategorie: Login
Standardwert: ZENTRALE.ETASK.DE
Produkt: eTASK.Login

Was macht dieser Parameter?

Dieser Parameter definiert die vollständig qualifizierten Domänennamen (FQDN) der Active Directory-Domänen, über die sich Benutzer am eTASK FM-Portal anmelden können. Das System verwendet LDAP zur Authentifizierung und unterstützt mehrere Domänen für Organisationen mit verteilten Active Directory-Strukturen.

Wofür wird dieser Parameter verwendet?

  • Festlegung der primären Active Directory-Domäne für die Benutzeranmeldung

  • Konfiguration mehrerer Anmeldedomänen für mandantenfähige Umgebungen

  • Bereitstellung von Failover-Authentifizierung über mehrere Domänen

  • Zentrale Steuerung der LDAP-Authentifizierungsquellen für Portal, OData-API und REST-Services

  • Unterstützung verschiedener Anmeldeformate (Username oder DOMÄNE\Username)

Technische Details (für Administratoren)

Format: Vollständig qualifizierter Domänenname (FQDN) im Format DOMAIN.BEISPIEL.DE
Standardwert: ZENTRALE.ETASK.DE

Gültige Werte:
- Einzelne Domäne: ZENTRALE.ETASK.DE
- Mehrere Domänen (Pipe-getrennt): DOMAIN1.BEISPIEL.DE|DOMAIN2.BEISPIEL.DE|DOMAIN3.BEISPIEL.DE

Wichtige Hinweise:

  • Der Parameter nutzt LDAP-Protokoll für die Authentifizierung

  • Bei mehreren Domänen erfolgt eine sequenzielle Authentifizierung (nicht parallel)

  • Die erste erfolgreiche Authentifizierung wird verwendet

  • Benutzer können sich alternativ im Format DOMÄNE\Username anmelden (überschreibt den Parameter)

  • Ein leerer Wert deaktiviert die Active Directory-Authentifizierung vollständig

  • Der Parameter wirkt nur, wenn LOGINUSEACTIVEDIRECTORY auf 1 gesetzt ist

Wann sollten Sie diesen Wert ändern?

Wert auf eine einzelne Domäne setzen, wenn:

  • Ihre Organisation eine zentrale Active Directory-Domäne verwendet

  • Sie die Anmeldung auf eine spezifische Domäne beschränken möchten

  • Sie von einer alten zu einer neuen AD-Struktur migriert sind

Mehrere Domänen konfigurieren (Pipe-getrennt), wenn:

  • Ihre Organisation mehrere eigenständige Active Directory-Domänen betreibt

  • Sie Benutzer aus verschiedenen Unternehmenseinheiten mit separaten Domänen haben

  • Sie Redundanz durch Failover-Authentifizierung sicherstellen möchten

  • Nach Fusionen oder Übernahmen mehrere AD-Strukturen parallel existieren

Wichtige Hinweise

  1. Sequenzielle Authentifizierung bei mehreren Domänen
    Das System versucht die Authentifizierung nacheinander bei jeder konfigurierten Domäne über LDAP. Die erste erfolgreiche Authentifizierung wird verwendet. Nicht erreichbare Domänen führen zu Timeouts und können die Anmeldezeit deutlich verlängern.

  2. Netzwerkverbindung und LDAP-Verfügbarkeit
    Der Portal-Server muss eine aktive Netzwerkverbindung zu allen konfigurierten Domänen-Controllern haben. Stellen Sie sicher, dass LDAP-Ports (389/636) erreichbar sind.

  3. Abhängigkeit von anderen Parametern
    - LOGINUSEACTIVEDIRECTORY muss auf 1 gesetzt sein, damit dieser Parameter wirksam wird - AUTOLOGIN kann für automatische Windows-Authentifizierung genutzt werden - Bei Azure AD-Anmeldung werden andere Parameter verwendet (AZURECLIENTID, AZURETENANTID)

  4. Username-Format und Domänen-Override
    Benutzer können sich auch im Format DOMÄNE\Username anmelden. In diesem Fall wird die im Username angegebene Domäne verwendet und der konfigurierte Parameter überschrieben.

  5. Verwendung in verschiedenen Authentifizierungswegen
    Der Parameter wird verwendet bei: Standard-Login, AutoLogin, Basic Authentication, Token-basierter Authentifizierung und OData/REST-API-Zugriffen.

Sicherheit

Hat eine Änderung dieses Parameters Auswirkungen auf die Sicherheit?

Ja, dieser Parameter ist sicherheitsrelevant.

  • Die korrekte Konfiguration stellt sicher, dass nur Benutzer aus autorisierten Domänen Zugriff erhalten

  • Fehlerhafte oder nicht erreichbare Domänennamen blockieren legitime Anmeldungen

  • Bei mehreren Domänen müssen alle Domänen denselben Sicherheitsstandards entsprechen

  • Ein leerer Parameter-Wert deaktiviert AD-Authentifizierung vollständig (Sicherheitsmechanismus)

  • Unbefugte Änderungen könnten den Zugriff komplett blockieren oder unerwünschte Domänen ermöglichen

Datenschutzrechtliche Bewertung:

  • Der Parameter selbst speichert keine personenbezogenen Daten

  • Die LDAP-Authentifizierung erfolgt über die konfigurierten Active Directory-Domänen

  • Anmeldeversuche werden im Applikationslog protokolliert (siehe LOGINSTATISTICPERIODDAYS)

Fazit: Änderungen sollten nur von autorisierten Administratoren durchgeführt werden. Testen Sie neue Konfigurationen immer in einer Testumgebung, bevor Sie sie produktiv einsetzen.

Praktisches Beispiel

Ausgangssituation:
Ein Unternehmen fusioniert mit einer Tochtergesellschaft. Beide Organisationen betreiben eigene Active Directory-Domänen: HAUPTFIRMA.LOCAL und TOCHTER.LOCAL. Mitarbeiter beider Unternehmen sollen sich am gemeinsamen eTASK Portal anmelden können.

Konfiguration:

ACTIVEDIRECTORYDOMAIN = HAUPTFIRMA.LOCAL|TOCHTER.LOCAL

Nach der Änderung:

  • Benutzer der Hauptfirma melden sich mit max.mustermann oder HAUPTFIRMA\max.mustermann an

  • Das System versucht zunächst die LDAP-Authentifizierung über HAUPTFIRMA.LOCAL

  • Bei Erfolg ist der Benutzer angemeldet

  • Benutzer der Tochterfirma melden sich mit anna.schmidt an

  • Das System versucht zunächst HAUPTFIRMA.LOCAL (schlägt fehl), dann TOCHTER.LOCAL (erfolgreich)

  • Beide Benutzergruppen haben Zugriff auf das Portal

Ergebnis:
Nahtlose Integration beider Organisationen ohne Notwendigkeit einer AD-Migration. Benutzer behalten ihre gewohnten Anmeldedaten.

Alternative Szenarien:

Szenario A - Migration mit Übergangszeitraum: - Während der Migrationsphase: ALTE-DOMAIN.DE|NEUE-DOMAIN.DE - Benutzer können sich über beide Domänen anmelden - Nach abgeschlossener Migration: NEUE-DOMAIN.DE

Szenario B - Geografisch verteilte Standorte: - Europa: EU.FIRMA.COM - Amerika: US.FIRMA.COM - Konfiguration: EU.FIRMA.COM|US.FIRMA.COM - Mitarbeiter beider Regionen können sich anmelden

Empfohlene Einstellung

Für Standard-Installationen:Ihr-FQDN(spezifisch für Ihre Organisation)

Begründung: - Verwenden Sie den vollständigen FQDN Ihrer primären Active Directory-Domäne - Der Wert muss exakt der tatsächlichen AD-Infrastruktur entsprechen - Bei Unsicherheit wenden Sie sich an Ihren Netzwerk-Administrator

Ausnahmen (Multi-Domänen-Umgebungen): - Fusionen oder Übernahmen mit mehreren eigenständigen AD-Strukturen - Geografisch verteilte Standorte mit lokalen Domänen - Parallelbetrieb von Test- und Produktivdomänen - Schrittweise Migration zwischen Domänen

Tipp: Beginnen Sie mit einer einzelnen Domäne und fügen Sie weitere nur bei tatsächlichem Bedarf hinzu. Jede zusätzliche Domäne kann die Anmeldezeit bei fehlgeschlagenen Authentifizierungsversuchen verlängern.

IC2860