Einrichtung der AD-Anbindung
Die Anbindung an ein Active Directory erfolgt im Produktivsystem. Die Mitarbeiterdatensätze werden durch den automatischen Mitarbeiterabgleich in die vorgeschalteten Systeme (Entwicklungssystem und QS- bzw. Testsystem) übertragen. Die Pflege von Gruppenzuordnen in den vorgeschalteten Systemen muss manuell oder durch eine Spiegelung erfolgen.
Aufbau der Verbindung
Für die Nutzung der Active Directory-Anbindung müssen in den Systemeinstellungen diverse Informationen hinterlegt werden. Je nach Typ (Active Directory oder Entra ID) werden unterschiedliche Felder befüllt. Es empfiehlt sich, über den Button “Verbindungsaufbau prüfen” die Verbindung zu testen.
Konfiguration der AD-Anbindung in den Systemeinstellungen
Definition der Gruppen
Der Umfang der Synchronisation wird durch die Angabe von einer oder mehreren Gruppen bzw. Pfaden aus dem Active Directory eingeschränkt. Dabei werden die hierarchischen Strukturen kommasepariert angegeben, die niedrigste Hierarchiestufe wird zuerst genannt. Die Angabe von Gruppen ist notwendig, damit die Synchronisation erfolgren kann.
Beispiel Active Directory: OU=Users,OU=junit,DC=test,DC=cursor,DC=de
Beispiel Entra ID: 12a34b56-78cd-123a-456c-bc7894d21a6c
Zur Konfiguration der Gruppen gelangt man mithilfe des Buttons Bearbeiten. Der Eintrag in der obersten Eingabezeile im Dialog kann mit Enter bestätigt und in die unten stehende Liste übernommen werden. Mit einem Klick auf den Text in der jeweiligen Zeile kann der Eintrag nachträglich verändert werden.
Beispielkonfiguration zweier Gruppen aus dem Active Directory
Einrichtung des Timers
Für eine regelmäßige Synchronisation des Active Directory ist die Einrichtung eines Timers vom Typ Script-Klasse notwendig. Dabei trägt die ID des Timers den Namen der Skript-Klasse SC0EmployeeSyncLogic sowie mit einem . abgetrennt den Namen der Methode startEmployeeSync.
Wie oft der Abgleich stattfinden soll, kann mittels Zeitplan festgelegt werden.
Anlage des Timers für den AD-Abgleich
Der Timer muss durch einen User ausgeführt werden, der die notwendigen Berechtigungen (z.B. schreibenden Zugriff auf die Mitarbeiterdaten und Gruppen) hat.
Überprüfung des Synchronisationsumfangs
Vor der Aktivierung der AD-Anbindung sollten die in der Standardausprägung des Moduls synchronisierten Daten überprüft werden. Sollten im CRM-System andere Felder für die synchronisierten Informationen genutzt werden oder notwendige Informationen im Active Directory bzw. Entra ID in anderen Feldern stehen, müssen die zugehörigen Skriptmethoden übersteuert werden.
Die synchronisierten Informationen werden in der Tabelle im Artikel Umfang der AD-Synchronisation aufgeführt.
Synchronisation von Gruppen
Die Synchronisation von Gruppen erfolgt über ein Matching der AD-Gruppe(n) über eine Referenznummer. Die Referenznummer muss in der jeweiligen CRM-Gruppe im Feld Synchronisations-ID SyncId.Groups eingetragen werden. Bei Active Directory handelt es sich um die objectsid, im Falle von EntraID die id.
Aktuell umfängt das Modul nur die Zuordnung von Gruppen, nicht aber die Neuanlage von Gruppen im CRM-System.
Durchführung eines Testlaufs
Es ist möglich, die Veränderungen der Mitarbeiterdatensätze, die durch die Synchronisation erfolgen, vor einer tatsächlichen AD-Synchronisation zu prüfen. Hierfür wurde eine eigene Skriptmethode createProtocolActivity geschaffen, welche die Veränderung (z.B. Neuanlage von Mitarbeiterdatensätzen) in einer csv-Datei protokolliert, ohne sie tatsächlich durchzuführen.
Die Protokoll-Datei führt dabei die Datensätze auf, an denen Änderungen bei der Synchronisation vorgenommen werden würden bzw. bei denen die Synchronisation nicht durchgeführt werden kann. Das Protokoll beschränkt sich auf die wesentlichen Informationen, die zur Identifikation des betreffenden Mitarbeiter-Datensatzes notwendig sind und zählt nicht alle gesamtheitlich Felder auf, an denen Änderungen vorgenommen werden.
Die Protokoll-Datei wird einer Aktivität namens “Protocol Employee Synchronisation” mit dem jeweiligen Zeitstempel der Ausführung des Testlaufs angehängt und kann darüber aufgerufen werden. Im Protokoll werden folgende Informationen aufgeführt:
Spalte | Beschreibung |
|---|---|
Status | Art der Veränderung am Mitarbeiter, z.B. Neuanlage oder Änderung |
User SyncId | ID des betreffenden Users im Active Directory / Entra ID |
User LastName | Nachname des betreffenden Users im Active Directory / Entra ID |
User FirstName | Vorname des betreffenden Users im Active Directory / Entra ID |
User Email | E-Mail des betreffenden Users im Active Directory / Entra ID |
User SystemOwnerName | Systembetreiber des betreffenden Users im Active Directory / Entra ID |
Pk.Employee | PK des betreffenden Users im CRM im Falle von Änderungen oder Fehlern; bei Mitarbeiter-Neuanlagen bleibt dieser Wert leer, da der Testlauf die Neuanlage tatsächlich nicht durchführt |
SyncId.Employee | Synchronisations-ID des betreffenden Users im CRM |
Email.Employee | Aktualisierte E-Mail des betreffenden Users im CRM |
LastName.Employee | Aktualisierter Nachname des betreffenden Users im CRM |
FirstName.Employee | Aktualisierter Vorname des betreffenden Users im CRM |
ShortCut.Employee | Kürzel des neuen Users im CRM; bei Änderungen an bestehenden Mitarbeiter-Datensätzen bleibt dieser Wert leer, da das Kürzel bei Aktualisierungen nicht überschrieben wird |
OfficePKKey.Employee | Aktualisierte Geschäftsstelle des betreffenden Users im CRM |
Analog zur Einrichtung des Timers für den AD-Abgleich kann die Methode per Timer als eine Art “Testlauf” ausgeführt werden (Timer-Name = SC0EmployeeSyncLogic.createProtocolActivity). Der Timer muss durch einen User ausgeführt werden, der die notwendigen Rechte hat (z.B. einen lesenden Zugriff auf die Mitarbeiterdaten). Es ist auch möglich, diese Methode aus einem BPM-Prozess heraus aufzurufen.
Der Testlauf protokolliert die Veränderungen der Mitarbeiterdaten. Änderungen an Gruppenzuordnungen werden aktuell nicht protokolliert.