Untergeordnete Seiten
  • Crowd Dokumentation - Effektive Mitgliedschaften mit mehreren Verzeichnissen
Zum Ende der Metadaten springen
Zum Anfang der Metadaten


Diese Seite beschreibt wie Crowd die Gruppen-Zugehörigkeiten für eine integrierte Applikation ermittelt, die zu mehreren Verzeichnissen zugewiesen ist, in denen duplizierte Benutzernamen und Gruppennamen übergreifend benutzt werden.

Wenn eine Applikation nur ein Verzeichnis benutzt, dann ist diese Seite darauf nicht anwendbar.

In Crowd 2.8 und neuer gibt es zwei verschiedene Schemen, die Crowd mit mehreren Verzeichnissen benutzen kann. Atlassian nennt diese "aggregierende Mitgliedschaft" und "nicht-aggregierende Mitgliedschaft" und Sie finden deren Erklärungen unten.

Diese Schemen werden nur für die Ermittlung der Gruppen-Zugehörigkeiten verwendet, die die integrierte Applikation für Autorisierungszwecke benutzt. Die Authentifizierung wird anhand der Gruppen-Zuweisungen zu einer integrierten Applikation geprüft. Lesen Sie für weitere Informationen die Seite über das Definieren welche Gruppen auf eine Applikation zugreifen können.

Wenn Sie mehrere Verzeichnisse zu einer integrierten Applikation (mit duplizierten Benutzernamen) zuweisen, dann wird automatisch die "nicht-aggregierende Mitgliedschaft" angewendet. Die Verwendung der aggregierenden Mitgliedschaft in der Applikation können Sie ganz einfach, wie unten beschrieben, konfigurieren.


Nicht-aggregierende Mitgliedschaft

Das ist der "Maskierungsvorgang". Crowd blickt auf die zu einer Applikation zugewiesenen Verzeichnisse von oben nach unten und ermittelt, angefangen vom am höchsten priorisierten Verzeichnis bis zum niedrigsten, die effektiven Gruppenzugehörigkeiten anhand der ersten Instanz, die von einem Benutzer gefunden wird. Vorkommnisse eines Benutzers in einem niedrig priorisierten Verzeichnis werden "maskiert" und sind nicht gültig.

Zum Beispiel wird Crowd den Benutzer Sam nur als Mitglied der Admin-Gruppe erachten, wenn diese Mitgliedschaft im ersten Verzeichnis existiert, in dem Sam gefunden wird. Wenn Sam im ersten Verzeichnis, in dem er gefunden wird, nicht Mitglied der Admin-Gruppe ist, dann wird Crowd ihn nicht als Mitglied erachten, selbst wenn Sam in einem niedrigeren Verzeichnis Mitglied der Admin-Gruppe ist.

Beachten Sie, dass die Prioritätsrangfolge der zugewiesenen Verzeichnisse essenziell für dieses Schema ist. Lesen Sie mehr darüber auf der Seite über das Definieren der Verzeichnis-Reihenfolge für eine Applikation.

In dem Diagramm über die nicht-aggregierende Mitgliedschaft unten, werden die Benutzer oder Gruppen in Verzeichnissen mit niedrigen Prioritäten "maskiert".


Bei nicht-aggregierenden Mitgliedschaften:

Der Benutzer ist effektiv nur Mitglied der Gruppen, zu welchen er im höchsten Verzeichnis zugewiesen ist.

In diesem Diagramm ist:

- Benutzer A nur Mitglied der Gruppe A.
- Benutzer B nur Mitglied der Gruppe A.
- Benutzer C nur Mitglied der Gruppe B.

Die Mitglieder einer Gruppe sind alle die "obersten" Benutzer, die zu einer Gruppe gehören. Wenn eine Gruppe Benutzer in einem "niedrigeren" Verzeichnis beinhaltet, dann werden diese Mitgliedschaften "maskiert" und somit ungültig.

Also beinhaltet in diesem Diagramm:

- Die Gruppe A die Benutzer A und B.
- Die Gruppe B nur den Benutzer C.


Aggregierende Mitgliedschaft

Das ist der "Vermischungsvorgang". Crowd blickt durch alle zu einer Applikation zugewiesenen Verzeichnisse und ermittelt die effektiven Gruppen-Zugehörigkeiten anhand eines Bundes der Verzeichnisse.

Wenn der Benutzer Sam zum Beispiel Mitglied der Admin-Gruppe in irgendeinem Verzeichnis ist, dann wird Sam als Mitglied der Admin-Gruppe erachtet.

In dem unten stehenden Diagramm über die aggregierenden Mitgliedschaften ist die effektive Mitgliedschaft eine Mischung aus den Zugehörigkeiten aller zugewiesenen Verzeichnissen.


Bei aggregierenden Mitgliedschaften:

Gehört der Benutzer effektiv zu allen Gruppen, in denen er Mitglied in irgendeinem Verzeichnis ist.

In dem Diagramm ist:

- Benutzer A Mitglied der Gruppen A und B.
- Benutzer B Mitglied der Gruppen A und B.
- Benutzer C Mitglied der Gruppe B.


Eine Gruppe enthält effektiv alle Benutzer, die in irgendeinem Verzeichnis zu dieser Gruppe gehören.


Deshalb beinhaltet in dem Diagramm:

- Die Gruppe A die Benutzer A und B.
- Die Gruppe B die Benutzer A, B und C.


Konfigurieren Sie das Aggregations-Schema für eine Applikation

Wenn Sie in Crowd mehrere Verzeichnisse zu einer integrierten Applikation zuweisen, dann wird standardmäßig die nicht-aggregierte Mitgliedschaft angewendet.

Sie können das Aggregations-Schema für jede integrierte Applikation ändern, indem Sie die "Aggregate group memberships..." Checkbox im Directories Tab der Applikation entweder aus- oder abwählen:

(Info) Das Aggregations-Schema ist für alle Verzeichnisse, die zu der Applikation zugewiesen wurden, gültig.


Aktualisierungsvorgänge des Verzeichnisses

Wenn ein Benutzer zu einer Gruppe hinzugefügt wird, wird er nur zu dem ersten Verzeichnis in der Prioritätsreihenfolge hinzugefügt, das beschrieben werden darf. Das gilt für das aggregierende sowie das nicht-aggregierende Mitglieds-Schema.

Wird ein Benutzer aus einer Gruppe entfernt, hängt das Verhalten vom Mitglieds-Schema ab:

  • Mit der nicht-aggregierenden Mitgliedschaft wird der Benutzer nur aus der Gruppe des ersten Verzeichnisses entfernt, in dem er gefunden wird.
  • Mit der aggregierenden Mitgliedschaft wird der Benutzer aus der Gruppe in allen Verzeichnissen entfernt, in denen er gefunden wird.


Inaktive Benutzer

Die Mitgliedschafts-Schemen, wie sie oben beschrieben stehen, werden nicht benutzt, wenn Crowd prüft, ob ein Benutzer sich authentifizieren kann.

Crowd überprüft bei der Authentifizierung nur ob der Benutzer in dem ersten Verzeichnis (der höchsten Priorität) aktiv ist, in dem er als erstes gefunden wird.

Nehmen wir an, dass eine Applikation in Crowd zu zwei Verzeichnissen zugewiesen ist: Crowds internem Verzeichnis (primär) und einem AD delegierten Authentifizierungs-Verzeichnis (sekundär).

  • Benutzer A ist im primären Verzeichnis inaktiv.
  • Benutzer A ist im sekundären Verzeichnis aktiv.

Das Ergebnis: Crowd weist den Zugriff (Authentifizierung) zurück, weil der Benutzer A im primären und gleichzeitig dem Verzeichnis, in dem er zuerst gefunden wurde, inaktiv ist.




Crowd Dokumentation Übersicht:



Crowd Doku

  • Keine Stichwörter