Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

 


Column
width62%

For å knytte brukeren opp mot Buypass-systemer, må brukerens mobilnummer være registrert i LDAP- eller annen brukerkatalog som kan nås over HTTP. For å gjøre tilknytningen sterkere, kan også App-ID registreres. Notér at bruk av App-ID bestemmes pr LDAP / HTTP konfigurasjon.

Brukerstedet er selv ansvarlig for at brukere får tilgang til å bruke BP Code i sine autentiseringsløsninger.

Prioritering

Oppslag i LDAP / HTTP kataloger gjøres i den rekkefølge de vises i listen. Gjennom å bruke opp- og ned knappene kan rekkefølgen endres. Oppslag for en bruker gjøres først i den cachede brukerkatalog. Hvis brukeren ikke fins, gjøres oppslaget ihht definert rekkefølge. Ved eventuelle endringer av prioritert rekkefølge må cache tømmes. 

Tøm cache
Anchor
empty-cache
empty-cache

Knappen Tøm cache nullstiller cache for alle brukere. Det er også mulig å tømme cache pr bruker under Brukere.

LDAP

Informasjonen her brukes for å opprette en kobling til LDAP, og for å vite hvilke attributter som skal være lenken mellom brukeren og Buypass Code. For å redigere selve LDAP konfigurasjonen klikkes det på Rediger under detaljer. For å endre på en sti klikkes det på ønsket sti som skal endres.

De feltene i LDAP katalogen som brukes for lagring av mobilnummer, App-ID og brukernavn er valgfritt. Dette er felter som brukerstedet må konfigurere i Buypass Code Manager, slik at Service Connector kan slå opp brukeren ved autentisering. 

Konfigurasjon

URL: URL som brukes til å finne LDAP serveren. Må være gyldig URI, dvs. på formen ldap://maskin.domene.no[:port]. Port må kun spesifiseres hvis den avviker fra standard port.

For eksempel: ldap://ldap.domene.no:10001

Brukernavn: Brukernavnet i kombinasjon med passord brukes til å autentisere seg mot AD/LDAP server, for å kunne hente ut brukerinformasjon. Brukeren bør fra et sikkerhetsperspektiv være en read-only bruker.

For eksempel: BPCodereadonlyuser

Passord: Passordet, i kombinasjon med brukernavn, brukes til å autentisere seg mot AD/LDAP server.

For eksempel: verysecretpassword117788

Tel.nr. attributt: Angir hvilken attributt i LDAP katalogen som brukes til å lagre telefonnummer for bruk i Buypass Code. I kombinasjon med App-ID attributtet brukes dette til å finne ut hvilke brukere som har tilgang til å logge seg på. Standardverdien for dette feltet er ”telephoneNumber”. For å søke i flere attributter separeres disse med ”;” og prioriteres i rekkefølgen de er definert. Dette vil si at hvis oppsettet er slik; ”telephoneNumber;pager”, vil nummeret som finnes i telephoneNumber attributtet brukes. Hvis telephoneNumber er tomt, vil nummeret som finnes i pager brukes. Hvis telefonnummeret som blir funnet savner landskode, vil standard landskode for brukerstedet brukes.

For eksempel: telefonNummer;pager

App-ID attributt: Angir hvilket attributt i AD/LDAP katalogen som brukes til å lagre App-ID’er for bruk i Buypass Code. I kombinasjon med Tel.nr. attributt brukes dette til å finne ut hvilke brukere som har tilgang til å logge seg på. Gjennom å angi App-ID attributt aktiveres kravet at App-ID skal finnes for denne LDAP katalogen. Det betyr at hvis en bruker ikke har App-ID spesifisert i LDAP katalogen, får brukeren ikke logget på.  

For eksempel: driverLicenseNo

LDAP sti konfigurasjon

Informasjonen her benyttes for å finne en bruker i en gitt LDAP katalog.

Prioritet: Stiene vil bli brukt i rekkefølgen de har i listen.

LDAP sti: Stien brukes for å finne gyldige brukere i AD/LDAP som Buypass Code skal bruke for å matche telefonnummer og/eller App-ID mot.

Stiene må være på en angitt form: basedn[sti-til-gruppe-brukeren-finnes-i],filter[attributter-som-det-skal-sjekkes-på]. Hvis strengen innenfor basedn klammene avsluttes med ”(*)”, vil et rekursivt søk bli brukt. Filter-strengen må inneholde ”#USER#” som brukes for å matche det brukernavn brukeren har angitt mot et eller annet attributt i AD/LDAP.

Eksempel 1:

basedn[OU=Brukere,DC=domene,DC=net],filter[samAccountName=#USER#]

Definerer at Buypass Code skal lete etter gyldige brukere i gruppen ”Brukere” under active directory-domenet ”domene.net”, for å siden matche brukernavnet mot attributtet ”samAccountName”.

Eksempel 2:

basedn[OU=Brukere,DC=domene,DC=net(*)],filter[samAccountName=#USER#]

Definerer at Buypass Code skal lete etter gyldige brukere rekursivt i alle undergrupper under gruppen ”Brukere” under active directory-domenet ”domene.net”, for å siden matche brukernavnet mot attributtet ”samAccountName”.

Eksempel 3:

basedn[CN=bedrift],filter[userName=#USER#,vpnAllowed=true]

Definerer at Buypass Code skal lete etter gyldige brukere under basedn ”bedrift”, for å siden matche brukernavnet mot attributtet ”userName”, men kun hvis attributtet ”vpnAllowed” har verdien ”true”.

Eksempel 4:

basedn[OU=OU_name,DC=example,DC=com(*)],filter[(&(samAccountName=#USER#)(memberof=CN=group_name,CN=Users,DC=example,DC=com))] 
Oppslag med ”memberof” – for å tillate gruppehåndtering i AD.

Sikker kommunikasjon med LDAP

Service Connector kan slå opp brukerinformasjon fra brukerkatalogen med kryptert LDAP. Man må da lage en ny LDAP konfigurasjon i Code Manager. En kryptert LDAP-forbindelse settes opp ved å sette URL parameteren til å bruke ldaps protokollen. (For eksempel ldaps://myldap.hostname). Hvis man velger å ikke skrive inn et portnummmer vil ldaps protokollen bruke port 636. Dersom sertifikatet på LDAP serveren ikke er fra en CA (Certificate Authority) godkjent av Java må dette sertikatet importeres i Javas sertifikatlager.

Nedenfor er et eksempel på hvordan man importer et sertikat med navn ldaps-cert.cer

Åpne et kommandoprompt som administrator på datamaskinen som kjører Service Connector.

Endre gjeldende katalog som følger:


Code Block
cd \bps\jre\lib\security


Importér sertifikatet med følgende kommando:


Code Block
\bps\jre\bin\keytool -importcert -trustcacerts -alias root -keystore cacerts -file ldaps-cert.cer
Enter keystore password: changeit
Trust this certificate? [no]: yes


HTTP

HTTP-oppslag for Buypass Code gjør det mulig for et brukersted å slå opp brukere over HTTP istedet for i LDAP-katalog. Notér at HTTP-oppslag krever Service Connector version 8.0.3.0 eller nyere.

Panel
borderColor#d7e0ea
bgColor#d7e0ea
titleColor#ffffff
borderWidth1
titleBGColor#d7e0ea
borderStylesolid

Include Page
INCLIB:_blue_box_style
INCLIB:_blue_box_style

Div
classblue-box-header

HTTP request og response


Div
classblue-box-bread

Request

Buypass sender en GET request til den angitte URLen med en parameter "user" som er brukernavnet til brukeren.

For eksempel: https://www.yoursite.no/lookup?user=myusername

Response

Mulige response scenarier:

HTTP status codeHTTP response bodyForklaring
200phone=XXXXXX&appid=YYYYYYYYYYYDersom brukeren finnes. "phone" og "appid" är exempel og disse specifieres pr konfigurasjon.
404 Dersom brukeren ikke er funnet
400 Dersom det er feil i input parametere
500 Vid intern feil



Konfigurasjon

URL: URL som brukes til å finne HTTP serveren. Må være gyldig URI, dvs. på formen https://domene.no.

For eksempel: https://www.yoursite.no/lookup

Brukernavn: Brukernavnet i kombinasjon med passord brukes til å autentisere seg mot HTTP server hvis basic access authentication benyttes.

For eksempel: BPCodereadonlyuser

Passord: Passordet i kombinasjon med brukernavn brukes til å autentisere seg mot HTTP server hvis basic access authentication benyttes.

For eksempel: verysecretpassword117788

Tel.nr. attributt: Angir hvilken response parameter som brukes til å returnere telefonnummer for bruk i Buypass Code. Hvis telefonnummeret som blir funnet savner landkode, vil standard landkode for brukerstedet brukes.

For eksempel: telefonNummer

App-ID attributt: Angir hvilken response parameter som brukes til å returnere App-ID’er for bruk i Buypass Code. I kombinasjon med Tel.nr. attributt brukes dette til å finne ut hvilke brukere som har tilgang til å logge seg på. Gjennom å angi App-ID attributt aktiveres kravet om at App-ID skal finnes for denne LDAP katalogen. Det betyr at hvis responsen for en bruker ikke inneholder App-ID får denne ikke logge på.  

For eksempel: appId

 

 


Column
width2%


Column
width26%


Div
classright-navigation

Innhold  

Page Tree
rootBpCode:@parent
startDepth2

Include Page
INCLIB:_right_navigation_style
INCLIB:_right_navigation_style



Column
width10%


Section


Column
width62%

Include Page
INCLIB:_bottom_bar
INCLIB:_bottom_bar


Column
width2%


Column
width26%
 


Column
width10%



Include Page
INCLIB:_navigation_buttons_style
INCLIB:_navigation_buttons_style
Include Page
INCLIB:doc_center_style
INCLIB:doc_center_style
 
Include Page
INCLIB:_template_style
INCLIB:_template_style