/
LOGINUSEACTIVEDIRECTORY - Detailbeschreibung

LOGINUSEACTIVEDIRECTORY - Detailbeschreibung

Facility Management Header.png

Überblick

Parameter:LOGINUSEACTIVEDIRECTORY
Kategorie: Login
Standardwert: 1
Produkt: eTASK.Login

Was macht dieser Parameter?

Dieser Parameter aktiviert oder deaktiviert die Anmeldung über Microsoft Active Directory im eTASK-Portal. Wenn der Parameter aktiviert ist, können sich Benutzer mit ihren Active Directory-Anmeldedaten (Domänenbenutzername und Kennwort) authentifizieren. Die Authentifizierung erfolgt über LDAP gegen die im System konfigurierte Active Directory-Domäne. Ist der Parameter deaktiviert, steht nur die lokale Portal-Authentifizierung zur Verfügung.

Wofür wird dieser Parameter verwendet?

  • Integration der Unternehmens-Identitätsverwaltung in das eTASK-Portal

  • Zentrale Benutzerverwaltung über Active Directory statt lokaler Portal-Konten

  • Einheitliche Anmeldedaten für Benutzer (keine separaten Portal-Passwörter erforderlich)

  • Nutzung bestehender Active Directory-Sicherheitsrichtlinien (Passwortlänge, Komplexität, Ablauf)

  • Vereinfachte Benutzerverwaltung durch zentrale Deaktivierung bei Mitarbeiteraustritt

  • Vorbereitung für Single Sign-On (SSO) in Kombination mit anderen Parametern

  • Compliance mit Unternehmensrichtlinien zur zentralen Authentifizierung

Technische Details (für Administratoren)

Format: Ganzzahl (Integer) als String
Standardwert: 1

Gültige Werte:

  • 1 = Active Directory-Anmeldung aktiviert - Benutzer können sich mit Domänenanmeldedaten anmelden

  • 0 = Active Directory-Anmeldung deaktiviert - nur lokale Portal-Authentifizierung verfügbar

Wichtige Hinweise:

  • Der Parameter wirkt nur, wenn gleichzeitig eine gültige Active Directory-Domäne konfiguriert ist

  • Die Authentifizierung erfolgt über LDAP-Protokoll gegen die konfigurierte Domäne

  • Bei aktivierter AD-Anmeldung wird auf der Login-Seite ein entsprechender Link angezeigt

  • Der Benutzername im Portal muss mit dem Active Directory-Benutzernamen übereinstimmen

  • Mehrere Domänen können konfiguriert werden - die Authentifizierung erfolgt in der angegebenen Reihenfolge

  • Im Debug-Modus ist der Standardwert automatisch auf 1 gesetzt

Zusammenspiel mit anderen Parametern:

  • ACTIVEDIRECTORYDOMAIN: Definiert die FQDN der Active Directory-Domäne(n) - beide Parameter müssen konfiguriert sein

  • AUTOLOGIN: Ermöglicht automatische Windows-Anmeldung ohne Eingabe von Anmeldedaten

Wann sollten Sie diesen Wert ändern?

Wert auf 1 belassen (Standard), wenn:

  • Active Directory in der Organisation vorhanden ist

  • Zentrale Benutzerverwaltung gewünscht ist

  • Benutzer sich mit ihren Windows-Anmeldedaten anmelden sollen

  • Einheitliche Sicherheitsrichtlinien durchgesetzt werden sollen

  • Standard-Szenario für Unternehmensumgebungen

Wert auf 0 setzen (Deaktivieren), wenn:

  • Keine Active Directory-Infrastruktur vorhanden ist

  • Ausschließlich lokale Portal-Konten verwendet werden sollen

  • Externe Benutzer ohne AD-Zugang sich anmelden müssen

  • Test- oder Entwicklungsumgebungen ohne AD-Anbindung betrieben werden

  • Temporäre Deaktivierung bei AD-Wartungsarbeiten erforderlich ist

  • Cloud-basiertes Deployment ohne lokales Active Directory

Wichtige Hinweise

  1. Abhängigkeit von ACTIVEDIRECTORYDOMAIN
    Dieser Parameter allein reicht nicht aus. Die Active Directory-Domäne muss im Parameter ACTIVEDIRECTORYDOMAIN konfiguriert sein, sonst hat die Aktivierung keine Wirkung.

  2. Benutzername-Synchronisation
    Der Benutzername im eTASK-Portal muss exakt mit dem Active Directory-Benutzernamen (ohne Domänenanteil) übereinstimmen. Abweichungen führen zu fehlgeschlagenen Anmeldungen.

  3. Netzwerkverbindung erforderlich
    Das Portal benötigt Netzwerkzugriff auf die Active Directory-Domain Controller. Firewall-Regeln müssen LDAP-Verkehr (Port 389/636) zulassen.

  4. Fallback auf lokale Authentifizierung
    Auch bei aktivierter AD-Anmeldung können Benutzer mit lokalen Portal-Konten (ohne AD-Zuordnung) sich weiterhin anmelden. Die Systeme arbeiten parallel.

  5. Keine automatische Benutzererstellung
    Die Aktivierung erstellt nicht automatisch Portal-Benutzer aus dem Active Directory. Benutzer müssen im Portal angelegt sein - nur die Authentifizierung erfolgt über AD.

  6. Performance-Aspekte
    Jede Anmeldung erfordert eine LDAP-Anfrage an den Domain Controller. Bei langsamen Netzwerkverbindungen kann dies die Anmeldezeit verlängern.

Sicherheit

Hat eine Änderung dieses Parameters Auswirkungen auf die Sicherheit?

Ja, dieser Parameter hat erhebliche Auswirkungen auf die Sicherheit des Systems.

Positive Aspekte:

  • Zentrale Passwortverwaltung durch Active Directory-Richtlinien

  • Automatische Deaktivierung bei Mitarbeiteraustritt über AD-Deaktivierung

  • Nutzung etablierter Unternehmens-Sicherheitsinfrastruktur

  • Einheitliche Authentifizierungsmethode über alle Systeme hinweg

  • Passwortrichtlinien (Komplexität, Ablauf, Historie) werden zentral durchgesetzt

Zu beachten:

  • LDAP-Verkehr sollte verschlüsselt erfolgen (LDAPS, Port 636) statt unverschlüsseltem LDAP

  • Kompromittierte AD-Anmeldedaten ermöglichen Zugriff auf das Portal

  • Bei AD-Ausfall ist keine Anmeldung möglich, außer über lokale Konten

  • Fehlerhafte Konfiguration kann AD-Lockouts durch wiederholte Fehlversuche verursachen

  • Netzwerk-Segmentierung zwischen Portal und Domain Controller wichtig

Best Practices:

  • Verwenden Sie LDAPS (Port 636) für verschlüsselte Authentifizierung

  • Richten Sie dedizierte Service-Accounts für LDAP-Abfragen ein (falls erforderlich)

  • Überwachen Sie fehlgeschlagene AD-Anmeldeversuche

  • Testen Sie AD-Authentifizierung vor Produktivschaltung gründlich

  • Halten Sie mindestens einen Benutzer mit lokalem Konto als Notfall-Administrator bereit

Empfehlung: Aktivieren Sie diesen Parameter in Unternehmensumgebungen mit Active Directory. Stellen Sie sicher, dass die Netzwerkverbindung zuverlässig ist und verwenden Sie verschlüsselte LDAP-Verbindungen. Behalten Sie einen Notfall-Administrator mit lokalem Konto für den Fall von AD-Ausfällen.

Praktisches Beispiel

Ausgangssituation: Ein mittelständisches Unternehmen mit 300 Mitarbeitern führt eTASK ein. Bisher nutzen alle Mitarbeiter Windows-Clients und melden sich täglich an ihrem Active Directory-Konto an. Die IT-Abteilung möchte vermeiden, separate Portal-Passwörter für eTASK pflegen zu müssen.

Anforderungen: - Zentrale Benutzerverwaltung über bestehendes Active Directory - Keine zusätzlichen Passwörter für Benutzer - Automatische Deaktivierung bei Mitarbeiteraustritt - Nutzung bestehender Passwortrichtlinien (mindestens 12 Zeichen, Ablauf nach 90 Tagen)

Konfiguration: - LOGINUSEACTIVEDIRECTORY = 1 (aktiviert) - ACTIVEDIRECTORYDOMAIN = "unternehmen.lokal" - Alle Portal-Benutzer haben identische Benutzernamen wie im Active Directory

Nach der Aktivierung:

  • Benutzer melden sich mit ihrem Windows-Benutzernamen und Kennwort an

  • Keine Pflege von separaten Portal-Passwörtern erforderlich

  • Passwortänderungen im AD wirken sofort auch für eTASK

  • Mitarbeiter, die das Unternehmen verlassen, werden im AD deaktiviert und können sich automatisch nicht mehr am Portal anmelden

  • IT-Abteilung spart Zeit bei Benutzerverwaltung

Ergebnis: Die Integration mit Active Directory vereinfacht die Benutzerverwaltung erheblich. Benutzer profitieren von einheitlichen Anmeldedaten, während die IT-Abteilung zentral alle Zugriffe über das Active Directory steuern kann. Die Passwort-Sicherheitsrichtlinien des Unternehmens gelten automatisch auch für den eTASK-Zugang.

Alternative Szenarien:

Szenario A - Gemischte Umgebung:

  • LOGINUSEACTIVEDIRECTORY = 1

  • Interne Mitarbeiter: AD-Authentifizierung

  • Externe Partner/Dienstleister: Lokale Portal-Konten ohne AD-Zuordnung

  • Beide Authentifizierungsmethoden parallel verfügbar

Szenario B - Cloud-Deployment ohne AD:

  • LOGINUSEACTIVEDIRECTORY = 0

  • SaaS-Betrieb ohne lokales Active Directory

  • Alle Benutzer mit lokalen Portal-Konten

  • Alternative: Umstellung auf Azure AD mit AZURELOGINACTIVE-Parameter

Empfohlene Einstellung

Für Standard-Installationen:1(Aktiviert)

Begründung:

  • Nutzt vorhandene Active Directory-Infrastruktur

  • Vereinfacht Benutzerverwaltung erheblich

  • Erhöht Sicherheit durch zentrale Passwortverwaltung

  • Entspricht Best Practices in Unternehmensumgebungen

  • Reduziert administrativen Aufwand

Empfehlungen nach Umgebung:

  • On-Premise mit AD: 1 (Standard - nutzt vorhandene Infrastruktur)

  • Cloud ohne AD: 0 (keine AD-Infrastruktur vorhanden)

  • Hybrid-Umgebungen: 1 (mit Azure AD Connect oder ähnlicher Synchronisation)

  • Test-/Entwicklungsumgebungen: 0 oder 1 (je nach Verfügbarkeit von Test-AD)

Wichtig: Wenn Sie diesen Parameter aktivieren, stellen Sie sicher, dass ACTIVEDIRECTORYDOMAIN korrekt konfiguriert ist und das Portal Netzwerkzugriff auf die Domain Controller hat. Testen Sie die Anmeldung zunächst mit einem Testbenutzer, bevor Sie es produktiv schalten.

Tipp: In Produktionsumgebungen sollten Sie immer mindestens einen Benutzer mit lokalem Portal-Konto (ohne AD-Zuordnung) als Administrator-Notfall-Zugang behalten. Sollte die Active Directory-Anbindung ausfallen, können Sie sich weiterhin am Portal anmelden und das Problem beheben.

IC0000