Export und Import von Benutzer- und Gruppendaten

enaio® 11.0 »

Die Daten aus dem Sicherheitssystem von enaio® – Benutzer- und Gruppendaten sowie dazugehörige Workflowinformationen – können exportiert und importiert werden. So ist es beispielsweise möglich, Daten aus einem Produktivsystem zu exportieren, in einem Testsystem zu bearbeiten und danach wieder in das Produktivsystem zu importieren.

Export und Import sind als Automatische Aktionen realisiert. Automatische Aktionen binden Sie über die Registerkarte 'Zusätze' ein. Danach können Sie Konfigurationen für die Aktionen erstellen und diese über enaio® administrator oder zeitgesteuert über enaio® start ausführen (siehe 'Automatische Aktionen einrichten').

Für die Aktionen benötigen Sie keinen zusätzlichen Lizenzschlüssel.

Die Eigenschaft 'Einmalpasswort' ist nicht Bestandteil der Daten beim Import und Export von Benutzerdaten. Neu importierte Benutzer erhalten diese Eigenschaft, wenn diese vorher in enaio® enterprise-manager aktiviert wurde. Bestehende Benutzer erhalten diese Eigenschaft nicht. Technische Benutzer sollten diese Eigenschaft nicht erhalten.

Export von Benutzer- und Gruppendaten

Für die Aktion 'Benutzer/Gruppen Export' binden Sie die Bibliothek axacdirectorysync.dll ein.

Danach fügen Sie die Aktion über den Dialog Automatische Aktionen hinzu und erstellen eine Konfiguration.

Konfigurationsdaten

Über den Konfigurationsdialog geben Sie einen Konfigurationsnamen an. Der Name muss eindeutig sein. Sonderzeichen sind möglich.

Dann geben Sie Pfad und Namen für die Exportdatei an und optional einen Pfad für eine Logdatei. Die Logdatei wird nur erzeugt, wenn Sie das Kontrollkästchen Logdatei schreiben aktivieren. Die Logdatei erhält die gleiche Bezeichnung wie die Exportdatei und zusätzlich die Endung 'log'. Exportdatei wie Logdatei haben eine XML-Struktur.

Diese Protokollierung erfolgt unabhängig von der Protokollierung im enaio®-System.

enaio_pic

Führen Sie eine Konfiguration aus, wird eine Exportdatei erzeugt. Besteht bereits eine Exportdatei am angegebenen Ort, wird diese überschrieben.

Aktivieren Sie das Kontrollkästchen bestehende Exportdatei umbenennen, wird diese nicht überschrieben, sondern der Bezeichnung der bestehenden Exportdatei das Erstellungsdatum als Zeitstempel vorangestellt.

Exportdaten

Über den Bereich Exportdatenauswahl markieren Sie die Daten, die Sie exportieren wollen. Aufgelistet sind dort alle Gruppen, Benutzer und die Objekttypen für die Zuordnung aus dem Sicherheitssystem.

Gruppen und Objektzuordnungen

Sie markieren einzelne oder alle Gruppen, deren Daten Sie exportieren wollen.

Die exportierten Daten zu einer Gruppe bestehen aus der Bezeichnung, der Beschreibung und der Profilzuordnung.

Alle weiteren Daten müssen Sie für den Export ausdrücklich angeben:

  • Gruppen sind Objekttypen zugeordnet. Diese Zuordnungsdaten werden exportiert, wenn Sie Objektzuordnungen (alle) markieren.

  • Den Objekttypen sind Objektrechte – Zugriffsrechte – zugeordnet. Wollen Sie diese Daten exportieren, dann markieren Sie Objektrechte exportieren.

  • Objektrechte können über Objektklauseln von Bedingungen abhängig sein. Wollen Sie diese Daten exportieren, dann markieren Sie das Kontrollkästchen Objektklauseln exportieren.

    Die Schreibweise der Feldbezeichnungen von Klauseln - Datenbankname, interner Name oder Name bei gleichen Spracheinstellungen - müssen mit den Daten eines Systems, in das importiert wird, übereinstimmen.

  • Einer Gruppe kann ein Profil zugeordnet sein. Ist das der Fall, dann können ebenfalls die Benutzerdaten des zugeordneten Profils mit exportiert werden. Markieren Sie dazu Profilrelationen von Benutzern und Gruppen exportieren.

Benutzer und Objektzuordnungen

Sie markieren einzelne oder alle Benutzer, deren Daten Sie exportieren wollen.

Die exportierten Daten zu einem Benutzer enthalten die Daten, die beim Anlegen von Benutzern auf der Registerkarte Benutzerdaten angegeben werden. Das Passwort ist verschlüsselt.

Ebenfalls exportiert werden die Daten zu den zugeordneten Systemrollen, Daten zu den Gruppenmitgliedschaften und die Information, ob das Benutzerkonto frei oder gesperrt ist.

  • Benutzer, deren Konto gesperrt ist, werden nur exportiert, wenn Sie gesperrte Benutzer exportieren markieren.

  • Benutzer mit der Systemrolle 'DMS: Supervisor' werden nur exportiert, wenn Sie DMS - Supervisor exportieren markieren.

  • Ist einem Benutzer ein Profil zugeordnet, dann können ebenfalls die Benutzerdaten des zugeordneten Profils mit exportiert werden. Markieren Sie dazu Profilrelationen von Benutzern und Gruppen exportieren.

  • Die Daten zu den Gruppenmitgliedschaften der Benutzer enthalten nur die Gruppenbezeichnung. Markieren Sie Gruppenrelationen von Benutzern exportieren, dann werden zusätzlich die Beschreibungen und die Profilzuordnungen der Gruppen exportiert, in denen die exportierten Benutzer Mitglied sind.

  • Wie Gruppen, kann Benutzern ein Profil zugeordnet sein. Markieren Sie Profilrelationen von Benutzern und Gruppen exportieren, werden die Daten der Benutzer mit exportiert, die nur als Profile für exportierte Benutzer angelegt sind.

Bestätigen Sie die Konfiguration über die Schaltfläche OK. Die Daten werden gespeichert, die Konfiguration kann sofort über enaio® administrator oder zeitgesteuert über enaio® start ausgeführt werden.

Import von Benutzer- und Gruppendaten

Für die Aktion 'Benutzer/ Gruppen Import' binden Sie die Bibliothek axacdirectorysync.dll ein.

Danach fügen Sie die Aktion über den Dialog Automatische Aktionen hinzu und erstellen eine Konfiguration.

Sichern Sie vor dem Import von Benutzer- und Gruppendaten immer die kompletten aktuellen Benutzer- und Gruppendaten. Der Import von Daten, die fehlerhaft konfiguriert oder bearbeitet wurden, kann Verstöße gegen Datenschutzbestimmungen ermöglichen.
Ein Import von Benutzer- und Gruppendaten ist nicht möglich, wenn Sie Bereiche für die dezentrale Benutzeradministration eingerichtet haben.

Konfigurationsdaten

Über den Konfigurationsdialog geben Sie einen Konfigurationsnamen an. Der Name muss eindeutig sein, Sonderzeichen sind möglich.

Dann geben Sie Pfad und Namen der Importdatei an. Sie können ein Namensschema mit Hilfe von Platzhaltern angeben. Geben Sie einen Ordner an, überprüft der Import alle XML-Dateien aus dem Ordner.

Sie können nur Benutzer- und Gruppendaten aus einer Datei importieren, die über die Aktion 'Benutzer- und Gruppenexport' erzeugt wurden.

Ein Pfad für eine Logdatei ist optional. Die Logdatei wird nur erzeugt, wenn Sie das Kontrollkästchen Logdatei schreiben markieren. Die Logdatei erhält die gleiche Bezeichnung wie die Importdatei, zusätzlich wird 'log' vorangestellt. Die Logdatei hat eine XML-Struktur.

Diese Protokollierung erfolgt unabhängig von der Protokollierung im enaio®-System.

enaio_pic

Markieren Sie Importdatei nach der Verarbeitung umbenennen, wird jeder Importdatei nach dem Import das aktuelle Datum als Zeitstempel vorangestellt.

Importdaten

Haben Sie genau eine Importdatei angegeben, können Sie diese Daten über die Schaltfläche Importdaten einlesen im Bereich Importdatenauswahl anzeigen lassen.

Aufgelistet sind dort dann alle Gruppen und Benutzer aus der Importdatei. Sie können genau die Benutzer und Gruppen markieren, deren Daten Sie importieren wollen.

Geben Sie nur einen Pfad oder ein Namensschema an, dann können Sie alle Gruppen oder alle Benutzer markieren.

Gruppen

Gruppendaten bestehen aus der Bezeichnung, der Beschreibung und der Profilzuordnung. Sie können Objektzuordnungen enthalten, Daten zu Objektrechten und Objektklauseln. Objektzuordnungen werden immer mit importiert, wenn die Objekte im Importsystem bestehen.

Zu Gruppen legen Sie folgendes fest:

  • Sie geben an, ob die Daten existierender Gruppen aktualisiert werden sollen.

    Markieren Sie diese Option nicht, werden Gruppendaten nicht mit importiert, wenn eine Gruppe mit gleicher Bezeichnung schon existiert.

  • Sie geben an, ob Objektklauseln importiert werden sollen.

    Werden Objektzuordnungen und Objektrechte importiert, dann können Sie ebenfalls die Klauseln importieren. Markieren Sie dazu Objektklauseln importieren.

    Klauseln beziehen Sich auf Objektfelder. Existieren diese Objektfelder im Importsystem nicht, werden die Klauseln nicht importiert.

    Bei einem Active Directory Abgleich muss diese Option deaktiviert sein.

  • Sie geben an, ob Objektrechte importiert werden sollen.

    Enthalten die Importdaten Objektzuordnungen, werden diese immer mit importiert. Zuordnungen zu Objekten, die im Importsystem nicht existieren, werden nicht übernommen. Die Rechte auf diese Objekte werden nur mit importiert, wenn Sie Objektrechte importieren markieren.

    Bei einem Active Directory-Abgleich muss diese Option deaktiviert sein.

  • Sie geben an, ob Profilrelationen von Gruppen importiert werden sollen.

    Gruppen kann ein Profil zugeordnet sein. Ist das der Fall, werden die Daten des Benutzers benötigt, der als Profil dient. Liegen die Daten nicht vor, muss die Profileigenschaft für die importierte Gruppe gelöscht werden, um Inkonsistenzen zu vermeiden.

    Sind die Profilbenutzerdaten Bestandteil der Importdaten, können Sie den entsprechenden Benutzer bei der Importdatenauswahl markieren oder die Option Profilrelationen von Benutzern und Gruppen importieren markieren, um automatisch auch die Daten der Benutzer zu importieren, die als Profil für andere Gruppen oder Benutzer dienen.

    Sind die Profilbenutzerdaten nicht Bestandteil der Importdaten, wird beim Import überprüft, ob die notwendigen Profilbenutzerdaten bereits in der Benutzerverwaltung vorliegen. Ist das der Fall, wird die Profileigenschaft beibehalten, sonst wird die Profileigenschaft gelöscht.

Benutzer

Benutzerdaten enthalten Daten, die beim Anlegen von Benutzern auf der Registerkarte Benutzerdaten angegeben werden und ebenfalls die eindeutige GUID eines Benutzers. Das Passwort ist verschlüsselt. Daten zu den zugeordneten Systemrollen und Daten zu den Gruppenmitgliedschaften werden ebenfalls importiert.

Zu Benutzern legen Sie folgendes fest:

  • Sie geben an, ob die Daten existierender Benutzer aktualisiert werden sollen.

    Markieren Sie diese Option nicht, werden keine Benutzerdaten importiert, wenn bereits ein Benutzer mit gleichem Anmeldenamen existiert.

  • Sie geben an, ob Benutzer mit der Systemrolle 'DMS: Supervisor' importiert oder aktualisiert werden sollen.

  • Sie geben an, ob Benutzer importiert werden, deren Konto gesperrt ist.

    Markieren Sie diese Option nicht, werden nur Benutzer importiert, deren Konto nicht gesperrt ist.

    Importieren Sie solche Benutzer, können Sie mit der Option gesperrte Benutzer freigeben deren Konto freigeben.

  • Sie geben an, ob Profilrelationen von Benutzern importiert werden sollen.

    Benutzern kann ein Profil zugeordnet sein. Ist das der Fall, werden die Daten des Benutzers benötigt, der als Profil dient. Liegen die Daten nicht vor, dann muss die Profileigenschaft für die importierte Gruppe gelöscht werden, um Inkonsistenzen zu vermeiden.

    Wenn die Profilbenutzerdaten Bestandteil der Importdaten sind, können Sie den entsprechenden Benutzer bei der Importdatenauswahl markieren oder die Option Profilrelationen von Benutzern und Gruppen importieren markieren, um automatisch auch die Daten der Benutzer zu importieren, die als Profil für andere Benutzer oder Gruppen dienen. Bei der Profilzuweisung werden die Standardeinstellungen verwendet, d. h. Systemrollen werden überschrieben und Gruppenmitgliedschaften hinzugefügt. Das Standardverhalten kann nicht geändert werden.

    Sind die Profilbenutzerdaten nicht Bestandteil der Importdaten, dann wird beim Import überprüft, ob die notwendigen Profilbenutzerdaten bereits in der Benutzerverwaltung vorliegen. Ist das der Fall, dann wird die Profileigenschaft beibehalten, sonst wird die Profileigenschaft gelöscht.

    Hat ein Benutzer im Importsystem eine Profilfunktion, wird aber durch eine Importaktualisierung zu einem Benutzer ohne Profilfunktion, dann müssen Sie existierende Profilbenutzer ablösen markieren. Dann werden diese Profilzuordnungen gelöscht. Benutzer, denen dieses Profil zugeordnet war, verlieren allerdings keine Einstellungen. Nur der Benutzer, der jetzt keine Profilfunktion mehr hat, verliert die Profilfunktion.

    Markieren Sie existierende Profilbenutzer ablösen nicht, dann werden Daten von Profilbenutzern nicht durch Daten von Benutzern, die keine Profilfunktion haben, aktualisiert.

  • Markieren Sie Gruppenrelationen von Benutzern importieren, dann werden die Beschreibungen und die Profilzuordnungen der Gruppen importiert, in denen die importierten Benutzer Mitglied sind.

  • Markieren Sie Gruppenzuweisungen von Benutzern nur ergänzen, dann werden Zuweisungen zu bisher nicht vorhandenen Gruppen ergänzt, bestehende Gruppenzuweisungen aber nicht geändert.

  • Sie geben an, ob die Workflowinformationen der Benutzer importiert werden sollen.

    In der zu importierenden XML-Datei werden für die eindeutige Zuordnung der Benutzer zur Workfloworganisation folgende Informationen benötigt: wf-name, wf-surname, wf-email, wf-login, is-wf-user, wf-organisation (name, wf-org-id, wf-user-id), wf-role (name, wf-role-id, wf-org-id). Die Workflowinformationen werden ergänzt.

    Beim Import müssen die Workfloworganisationsstrukturen und die internen IDs der Workflowobjekte von Ausgangs- und Zielsystem identisch sein. Andernfalls werden die enaio®-Benutzer ohne Workflowinformationen importiert, weil eine eindeutige Zuordnung der Benutzer zur Workfloworganisation nicht möglich ist.

    Zum Übertragen der Workfloworganisationsstruktur in das Zielsystem können Sie die Export-/Importfunktion von enaio® editor-for-workflow verwenden.

  • Sie geben an , ob die Workflowrollen der Benutzer aktualisiert werden sollen.

    Gegenüber der Option Workflow-Benutzer importieren / aktualisieren werden Zuordnungen bei bereits vorliegenden Benutzern nicht nur ergänzt sondern gegebenenfalls auch entfernt.

Bestätigen Sie die Konfiguration über die Schaltfläche OK. Die Daten werden gespeichert, die Konfiguration kann sofort über enaio® administrator oder zeitgesteuert über enaio® start ausgeführt werden.

Für die Synchronisation von Daten aus LDAP-fähigen Verzeichnisdiensten wie Windows Active Directory Services mit der enaio®-Benutzerverwaltung steht die automatische Aktion 'XSLT-Verzeichnis-Synchronisation' zur Verfügung.
Für die Synchronisation von Daten aus Microsoft Entra ID steht enaio® directory-sync zur Verfügung. enaio® directory-sync wird als Bestandteil einer Aktionsfolge aus 'Benutzer/Gruppen Export' und 'Benutzer/Gruppen Import' konfiguriert.