Willkommen zu unserem dritten Ausflug in die Welt der Univention-Apps! In dieser Blog-Reihe präsentieren wir regelmäßig spannende Anwendungen aus unserem App Center. In diesem Artikel stellen wir den Self Service vor – die App nimmt UCS-Admins jede Menge Verwaltungsaufgaben ab und delegiert bestimmte Jobs an die Anwender*innen.

Funktionsumfang der Self Service App

Benutzer von Univention Corporate Server können jederzeit über das Portal Ihr Kennwort ändern: Über das Hamburger-Menü / Benutzereinstellungen / Ihr Passwort ändern ist das schnell erledigt. Einzige Voraussetzung: Die Person muss eingeloggt sein und sich an das alte Passwort erinnern. Wer das Kennwort vergessen (und hoffentlich nicht auf einem Post-it oder auf der Schreibtischunterlage notiert) hat, muss aber auch nicht den Support kontaktieren.

Denn mit der App Self Service sorgen Admins dafür, dass die UCS-Benutzer*innen die eigene Vergesslichkeit nicht zum Job für das Helpdesk-Team machen. Über die App richten Administrator*innen unter anderem einen Passwort-Reset ein. Benutzer*innen erhalten per Mausklick eine E-Mail an die hinterlegten Kontaktdaten, um selbstständig ihr Passwort zurückzusetzen. Die App kann aber noch mehr: Systemverwalter*innen geben auch das Ändern der Benutzerprofile frei und genehmigen sogar das Anlegen bzw. Löschen von Konten in der UCS-Umgebung.

Backend und Frontend: Self Service installieren

Der Self Service besteht genau genommen aus zwei Komponenten: dem Backend und dem Frontend. Bei der Installation der App aus unserem App Center weist das System den Admin darauf hin, dass das Self Service Backend automatisch installiert wird. Im nächsten Schritt gilt es zu entscheiden, auf welchen UCS-Rechnern in der Domäne die jeweilige App eingespielt wird. Der Installationsassistent schlägt passende Rechner in der Domäne für Frontend und Backend vor, die Admins über das Drop-down-Menü anpassen oder per Klick auf Fortfahren bestätigen können.

Installation der Self Service App

Die Konfiguration des Dienstes findet über verschiedene UCR-Variablen statt, die Sie über das Modul System / Univention Configuration Registry erreichen. Die nächsten Abschnitte gehen auf ein paar dieser Stellschrauben ein; eine vollständige Auflistung samt Beispielen finden Sie in unserem Handbuch (Kapitel Benutzer Selbstverwaltung).

Self-Service-Module auf der Portalseite

Alle Self-Service-Module sind über die Adresse https://www.example.com/univention/selfservice/ erreichbar. Je nach Konfiguration erscheinen dort unterschiedliche Kacheln. So tauchen die beiden Kacheln zur Selbstregistrierung und zum Löschen von Konten nur dann auf, wenn Administrator*innen die Funktion explizit aktiviert haben (siehe Abschnitt Selbstregistrierung: der Weg zum eigenen Benutzerkonto).

Überblick über die Self-Service-Module

Passwörter mit dem Self Service verwalten

Um den Wiederherstellungs-Prozess für Kennwörter für Benutzer freizugeben, reicht es aus, die App zu installieren – das Feature steht direkt danach zur Verfügung, denn die UCR-Variable umc/self-service/passwordreset/backend/enabled auf dem Backend (in unserem Fall also auf dem Primary Directory Node) hat den Wert true.

Self-Service-Funktion Passwort vergessen

Nach einem Klick auf Passwort vergessen? verschickt das System eine E-Mail an die vergessliche Benutzerin gabi. Aus Sicherheitsgründen steht in der Mail nicht etwa ein neues Kennwort, sondern einen Link zu einem sogenannten Token sowie das Token selbst im Klartext, das die Benutzerin zum Setzen des neuen Passworts verwendet. In der Voreinstellung ist das Token 64 Zeichen lang, was Admins aber über die UCR-Variable umc/self-service/passwordreset/email/token_length verändern können. Das Token ist eine Stunde lang gültig, was die UCR-Variable umc/self-service/passwordreset/token_validity_period definiert.

Self-Service-Funktion Neues Passwort setzen

Das Versenden der Mail an die Benutzer setzt voraus, das auf dem UCS-Rechner das Mailsystem korrekt konfiguriert ist. Der Mailserver muss in der Lage sein, E-Mails ohne Passwort zu akzeptieren und weiterzuleiten. Alternativ arbeitet der Self Service auch mit externen Programmen wie einem SMS-Gateway zusammen. Diverse UCR-Variablen, deren Namen mit umc/self-service/passwordreset/sms beginnt, richten den Versand von Textnachrichten ein.

Profile verwalten leicht gemacht

Alle Benutzerkonten im LDAP-Verzeichnisdienst speichern nicht nur den Namen und die Mailadresse, sondern auch andere persönliche Daten. Dazu gehören beispielsweise Profilbilder, private Adressen und weitere Kontaktinformationen. Der Univention Directory Manager (UDM) ermöglicht den Zugriff auf die Inhalte im LDAP-Verzeichnisdienst, also z. B. das Betrachten, Verändern, Löschen und Verschieben von Objekten (Benutzer, Gruppen, Rechner, Drucker, Freigaben usw.). Alle diese Daten darf in der Voreinstellung nur der Admin ändern. Der Self Service sorgt für mehr Flexibilität: Admins schalten gezielt Felder frei, die Benutzer dann selbst anpassen dürfen.

Welche Attribute die Anwender*innen für ihre Konten setzen dürfen, konfigurieren diese beiden UCR-Variablen:

  • self-service/ldap_attributes: LDAP-Attribute, die Benutzer selbst ändern können; Variable muss auf dem Primary Directory Node (und den Backup Directory Nodes) gesetzt sein.
  • self-service/udm_attributes: Benutzer dürfen diese UDM-Attribute bearbeiten; Variable muss auf allen Servern gesetzt sein, auf denen die Self-Service-App installiert ist (einschl. Primary Directory Node).

Als Werte der jeweiligen Variable folgt eine durch Kommata getrennte Liste der Attribute. In der Voreinstellung sind bereits alle Felder freigegeben, sodass Sie die Liste leicht an eigene Bedürfnisse anpassen können.

Darüber hinaus ist es möglich, einen Schreibschutz für bestimmte UDM-Attribute einzurichten. Auch diese definieren Admins als Liste in der Variablen self-service/udm_attributes/read-only – und zwar auf allen Hosts, auf denen die App installiert ist (inkl. Primary Directory Node). Zusätzlich sollten die dazugehörigen LDAP-Attribute aus der UCR-Variablen self-service/ldap_attributes entfernt werden, damit sie den Schreibschutz der UDM-Attribute nicht aushebeln.

In der Voreinstellung müssen sich Anwender*innen vor dem Bearbeiten des Profils mit ihrem Benutzernamen und dem Passwort authentisieren. Wer diese Sicherheitsvorkehrung deaktivieren möchte, setzt einfach die UCR-Variable umc/self-service/allow-authenticated-use auf false.

Selbstregistrierung: der Weg zum eigenen Benutzerkonto

Mit der Self-Service-App können Systemverwalter*innen neuen Benutzern erlauben, ein Konto für die UCS-Umgebung zu registrieren. Während das Feature eher selten in Unternehmen oder Schulen zum Einsatz kommt, ist es ideal für Community-Projekte geeignet, die ein Identity and Access Management (IAM) mit dieser Funktion benötigen. Das Feature ist nach der Installation der App deaktiviert; Admins müssen dieses explizit einschalten. Zur Konfiguration dienen diverse UCR-Variablen auf dem Backend, deren Name mit umc/self-service/account-registration/ beginnt:

  • umc/self-service/account-registration/backend/enabled: (De)aktiviert die Selbstregistrierung auf dem Backend (Voreinstellung: false).
  • umc/self-service/account-registration/frontend/enabled: (De)aktiviert die Kachel Konto erstellen des Self-Service auf dem Frontend.
  • umc/self-service/account-registration/udm_attributes: Enthält eine durch Kommata getrennte Liste von UDM-Attributen, welche der Dialog Konto erstellen anzeigt; muss auf dem Backend gesetzt werden.
  • umc/self-service/account-registration/udm_attributes/required: Definiert eine Liste von UDM-Attributen, die zwingend erforderlich sind (Backend).

Im Self-Service-Portal taucht nach der Aktivierung eine neue Kachel Konto erstellen auf, die einen Dialog öffnet, in dem neue Benutzer eine Mailadresse, ein Passwort, den Namen sowie den Benutzernamen eintragen. Ein Klick auf Konto erstellen verschickt eine Mail, die ein Token zur Verifizierung enthält. Mit diesem in der Voreinstellung 64 Zeichen langen Token können sich die Benutzer nun anmelden.

Self-Service-Funktion Konto erstellen

Eine zusätzliche Sicherheitsebene für SSO (Single Sign-on) gibt es ebenfalls: Es ist möglich, den SSO-Login für unverifizierte, selbst registrierte Konten zu verbieten. Admins konfigurieren dazu die UCR-Variable saml/idp/selfservice/check_email_verification auf dem Primary Directory Node und auf auf allen Backup Directory Nodes. Konten, die ein UCS-Admin erstellt, bleiben von dieser Einstellung unberührt.

Benutzerkonten selbst löschen

Wenn Admins die Variable umc/self-service/account-deregistration/enabled auf true setzen, erscheint in den Profileinstellungen der Benutzer (Dialog Mein Profil) ein neuer Button Mein Konto löschen. Nach einem Klick darauf und nach dem Bestätigen der Sicherheitsabfrage wird das UCS-Konto entfernt.

Self-Service-Funktion Konto löschen

Auf eigene Verantwortung

Wie viel von Ihren Verwaltungsaufgaben möchten Sie an die Benutzer der UCS-Domäne abgeben? Sollen diese einfach nur vergessene Kennwörter zurücksetzen können? Oder erlauben Sie auch das Ändern von Profilbildern, Mailadressen, Telefonnummern usw.? Gestatten Sie sogar, dass neue Benutzer sich selbst registrieren und eigene Konten auch wieder löschen können? Mit der Self Service ab können Sie alle diese Jobs delegieren und ganz genau festlegen, wer was darf. Damit ist die App eine echte Arbeitserleichterung für Admins und Mitarbeitende im Helpdesk.

Welche Erfahrungen haben Sie mit dem Self Service gemacht? Empfinden Sie die App als Erleichterung und geben gerne Jobs an Anwender*innen ab? Teilen Sie Ihre Erfahrungen mit uns und der Community.

Kommentieren Sie diesen Beitrag und besuchen Sie das Forum Univention Help!

 

Bild-Quelle: Icon created by Freepic from flaticon.com

UCS Core Edition jetzt kostenfrei einsetzen!
Zum Downloadbereich

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert