Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

 



Image Removed
Column
width62%

To connect the user with the Buypass Systems, the user’s mobile phone number must be registered in LDAP or another user catalog that is available through HTTP. To make the connection stronger it is also possible to register the App-ID. Note that the use of App-ID is configured for each LDAP / HTTP configuration.

It is the customer sites own responsibility enabling BP Code for their users in their authentication solutions.

Prioritering

Oppslag i LDAP / HTTP kataloger gjøres i den rekkefølge de vises i listen. Gjennom å bruke opp- og ned knappene kan rekkefølgen endres. Oppslag for en bruker gjøres først i den cachede brukerkatalog. Hvis brukeren ikke fins, gjøres oppslaget ihht definert rekkefølge. Ved eventuelle endringer av prioritert rekkefølge må cache tømmes. 

Tøm cache

Prioritization

Queries in the LDAP / HTTP directories are performed in the order they are shown in the list. By using the up- and down buttons the order can be changed. Queries are first done in the cached user catalogue. If the user is not found in the cache, the queries are performed in the defined order. If changes are done to the preferred query order, the cache must be cleared.

Clear the cache 
Anchor
empty-cache
empty-cache

Knappen Tøm cache nullstiller cache for alle brukere. Det er også mulig å tømme cache pr bruker under Brukere.

LDAP

Informasjonen her brukes for å opprette en kobling til LDAP, og for å vite hvilke attributter som skal være lenken mellom brukeren og Buypass Code. For å redigere selve LDAP konfigurasjonen klikkes det på Rediger under detaljer. For å endre på en sti klikkes det på ønsket sti som skal endres.

De feltene i LDAP katalogen som brukes for lagring av mobilnummer, App-ID og brukernavn er valgfritt. Dette er felter som brukerstedet må konfigurere i Buypass Code Manager, slik at Service Connector kan slå opp brukeren ved autentisering. 

Konfigurasjon

Image Removed

URL: URL som brukes til å finne LDAP serveren. Må være gyldig URI, dvs. på formen ldap://maskin.domene.no[:port]. Port må kun spesifiseres hvis den avviker fra standard port.

For eksempelThe button “Clear cache” will empty the cache for all users. It is also possible to clear the cache for individual users in the Users menu.

LDAP

The information here is used to create an LDAP connection, and to know which attributes are used to create the link between the user and Buypass Code. To edit the LDAP configuration press the “Edit” button under the detailed view of the LDAP connection. To edit a LDAP path press the chosen path to be edited.

The fields in the LDAP catalogue that are used for storing the mobile phone number, App-ID and username is decided by the customer. These fields must be configured in the Buypass Code Manager, so that the Service Connector can look up the user when authentication is performed.

Configuration


URL: URL that is used to find the LDAP server. This must be a valid URI, in the form of ldap://machine.domain.no[port]. The port number is only required if it is different from the standard port.

E.g.: ldap://ldap.domene.no:10001

Brukernavn: Brukernavnet i kombinasjon med passord brukes til å autentisere seg mot Username: Username of the service account that in combination with a password are used to authenticate against the AD/LDAP server , for å kunne hente ut brukerinformasjon. Brukeren bør fra et sikkerhetsperspektiv være en for querying the user information. The user account should from a security perspective be a read-only brukeruser.

For eksempelE.g.: BPCodereadonlyuser

PassordPassword: Passordet, i kombinasjon med brukernavn, brukes til å autentisere seg mot  The password, in combination with the username, is used to authenticate against the AD/LDAP server.

For eksempelE.g.: verysecretpassword117788

TelPhone.nrno. attributt: Angir hvilken attributt i LDAP katalogen som brukes til å lagre telefonnummer for bruk i Buypass Code. I kombinasjon med App-ID attributtet brukes dette til å finne ut hvilke brukere som har tilgang til å logge seg på. Standardverdien for dette feltet er ”telephoneNumber”. For å søke i flere attributter separeres disse med ”;” og prioriteres i rekkefølgen de er definert. Dette vil si at hvis oppsettet er slik; ”telephoneNumber;pager”, vil nummeret som finnes i telephoneNumber attributtet brukes. Hvis telephoneNumber er tomt, vil nummeret som finnes i pager brukes. Hvis telefonnummeret som blir funnet savner landskode, vil standard landskode for brukerstedet brukes.For eksempel: telefonNummerattribute: Defines which attribute in the LDAP catalogue is used to store the telephone number used by Buypass Code. In combination with the App-ID attribute this is used to decide who is allowed to log on with Buypass Code. The default setting for this is the attribute "telephoneNumber". For searching in additional attributes these are separated with ";" and will be prioritized in the order they are defined. This means that if the configuration is the following: ”telephoneNumber;pager”, the number in the telephoneNumber attribute be used. If telephoneNumber is empty, the number found in pager will be used. If the number that is found is missing Country Code, the standard Country Code for the Customer Site will be used

E.g.: telephoneNumber;pager

App-ID attributt: Angir hvilket attributt i attribute: Defines which attribute in AD/LDAP katalogen som brukes til å lagre catalogue that is used to store App-ID’er ID for bruk i use in Buypass Code. I kombinasjon med Tel.nr. attributt brukes dette til å finne ut hvilke brukere som har tilgang til å logge seg på. Gjennom å angi App-ID attributt aktiveres kravet at App-ID skal finnes for denne LDAP katalogen. Det betyr at hvis en bruker ikke har App-ID spesifisert i LDAP katalogen, får brukeren ikke logget på.  

For eksempel: driverLicenseNo

LDAP sti konfigurasjon

Image Removed

Informasjonen her benyttes for å finne en bruker i en gitt LDAP katalog.

Prioritet: Stiene vil bli brukt i rekkefølgen de har i listen.

LDAP sti: Stien brukes for å finne gyldige brukere i AD/LDAP som Buypass Code skal bruke for å matche telefonnummer og/eller App-ID mot.

Stiene må være på en angitt form: basedn[sti-til-gruppe-brukeren-finnes-i],filter[attributter-som-det-skal-sjekkes-på]. Hvis strengen innenfor basedn klammene avsluttes med ”(*)”, vil et rekursivt søk bli brukt. Filter-strengen må inneholde ”#USER#” som brukes for å matche det brukernavn brukeren har angitt mot et eller annet attributt i AD/LDAP.

Eksempel In combination with telephoneNumber attribute this is used to find which users are allowed logging on with Buypass Code. By defining the App-ID attribute the requirement for having stored the correct App-ID in AD/LDAP is activatet. This means that if a user does not have the App-ID stored in the LDAP catalogue the user is not allowed to log on.  

E.g.: driverLicenseNo

LDAP path configuration

The information here defines how to find the users in a given LDAP catalogue.

Priority: The paths will be used in the order they have in the list.

LDAP path: The path is used to find valid users in the AD/LDAP that Buypass Code will use to match mobile phone number and/or AppID against.

The paths must be in the form of: basedn[path-to OU-containing-the-user],filter[attributes-to-validate-users-against]. If the string within the basedn brackets ends with a " * ", recursive searching will be performed. The Filter-string must contain "#USER" which is used to match the username against the defined attribute in AD/LDAP.

Example 1:

basedn[OU=BrukereUsers,DC=domenedomain,DC=net],filter[samAccountName=#USER#]

Definerer at Buypass Code skal lete etter gyldige brukere i gruppen ”Brukere” under active directory-domenet ”domene.net”, for å siden matche brukernavnet mot attributtet ”samAccountName”.

Eksempel Defines that Buypass Code shall search for valid users in the OU «Users» in the Active Directory domain «domain.net», and then match the username against the attribute “samAccountName”

Example 2:

basedn[OU=BrukereUsers,DC=domenedomain,DC=net(*)],filter[samAccountName=#USER#]

Definerer at Buypass Code skal lete etter gyldige brukere rekursivt i alle undergrupper under gruppen ”Brukere” under active directory-domenet ”domene.net”, for å siden matche brukernavnet mot attributtet ”samAccountName”.

Eksempel Defines that Buypass Code shall search for valid users recursive in the OU Users inclusive all sub-OUs, in the domain “domain.net”, and then match the username against the attribute “samAccountName”.

Example 3:

basedn[CN=bedriftcompany],filter[userName=#USER#,vpnAllowed=true]

Definerer at Buypass Code skal lete etter gyldige brukere under basedn ”bedrift”, for å siden matche brukernavnet mot attributtet ”userName”, men kun hvis attributtet ”vpnAllowed” har verdien ”true”.

Eksempel Defines that Buypass Code shall look for valid users in the basedn «company», and then match the username against the attribute “userName”, but only if the attribute “vpnAllowed” has the value “true”.

Example 4:

basedn[OU=OU_name,DC=example,DC=com(*)],filter[(&(samAccountName=#USER#)(memberof=CN=group_name,CN=Users,DC=example,DC=com))] 
Oppslag med ”memberof” – for å tillate gruppehåndtering i AD.

Sikker kommunikasjon med LDAP

Service Connector kan slå opp brukerinformasjon fra brukerkatalogen med kryptert LDAP. Man må da lage en ny LDAP konfigurasjon i Code Manager. En kryptert LDAP-forbindelse settes opp ved å sette URL parameteren til å bruke ldaps protokollen. (For eksempel ldaps  
Query with "memberof" for allowing group managed access in Active Directory.

Secure communication with LDAP

The Service Connector can perform queries in the user catalogue with encrypted LDAP. This is done by creating a new LDAP configuration in Code Manager. An encrypted LDAP-connection is created by configuring the URL parameter to use the LDAPS protocol. (e.g. ldaps://myldap.hostname). Hvis man velger å ikke skrive inn et portnummmer vil ldaps protokollen bruke port 636. Dersom sertifikatet på LDAP serveren ikke er fra en If no port number is chosen the default port 636 is used. If the certificate on the LDAP server is not from a CA (Certificate Authority) godkjent av Java må dette sertikatet importeres i Javas sertifikatlager.Nedenfor er et eksempel på hvordan man importer et sertikat med navn approved by Java the certificate must be imported into the Java certificate storage.

Below is an example on how to import a certificate named ldaps-cert.cerÅpne et kommandoprompt som administrator på datamaskinen som kjører .

Open a command prompt as administrator on the computer running the Service Connector.

Endre gjeldende katalog som følgerChange current working directory:


Code Block
cd \bps\jre\lib\security


Importér sertifikatet med følgende kommandoImport the certificate with the following command:


Code Block
\bps\jre\bin\keytool -importcert -trustcacerts -alias root -keystore cacerts -file ldaps-cert.cer
Enter keystore password: changeit
Trust this certificate? [no]: yes


HTTP

HTTP-oppslag requests for Buypass Code gjør det mulig for et brukersted å slå opp brukere over HTTP istedet for i LDAP-katalog. Notér at HTTP-oppslag krever Service Connector version 8.0.3.0 eller nyeremakes it possible for the customer sites to query users over HTTP instead of LDAP catalogue.

INCLIB:_blue_box_style
Panel
borderColor#d7e0ea
bgColor#d7e0ea
titleColor#ffffff
borderWidth1
titleBGColor#d7e0ea
borderStylesolid
Include Page


INCLIB:_blue_box_style
Div
classblue-box-header

HTTP request og and response


Div
classblue-box-bread

Request

Buypass sender en GET request til den angitte URLen med en sends a GET request to the defined URL with the parameter "user" som er brukernavnet til brukeren.For eksempelwhich is the username of the user.

E.g.: https://www.yoursite.no/lookup?user=myusername

Response

Mulige Possible response scenarierscenarios:

HTTP status codeHTTP response bodyForklaring
200phone=XXXXXX&appid=YYYYYYYYYYYDersom brukeren finnesIf the user exists. "phone" og and "appid" är exempel og disse specifieres pr konfigurasjonare examples and are specified for each configuration.
404 
Dersom brukeren ikke er funnetIf the user is not found.
400 
Dersom det er feil i input parametereIf the input parameters are invalid.
500 Vid intern feil

Konfigurasjon

URL: URL som brukes til å finne HTTP serveren. Må være gyldig URI, dvs. på formen 

If there is an internal error.



Configuration

URL: The URL used to find the HTTP server. Must be a valid URI, e.g. https://domene.no.

For eksempel: httpsE.g.  https://www.yoursite.no/lookup

Brukernavn: Brukernavnet i kombinasjon med passord brukes til å autentisere seg mot HTTP server hvis basic access authentication benyttes.

For eksempel: BPCodereadonlyuser

Passord: Passordet i kombinasjon med brukernavn brukes til å autentisere seg mot HTTP server hvis basic access authentication benyttes.

For eksempel: verysecretpassword117788

Tel.nr. attributt: Angir hvilken response parameter som brukes til å returnere telefonnummer for bruk i Buypass Code. Hvis telefonnummeret som blir funnet savner landkode, vil standard landkode for brukerstedet brukes.

For eksempel: telefonNummer

App-ID attributt: Angir hvilken response parameter som brukes til å returnere App-ID’er for bruk i Buypass Code. I kombinasjon med Tel.nr. attributt brukes dette til å finne ut hvilke brukere som har tilgang til å logge seg på. Gjennom å angi App-ID attributt aktiveres kravet om at App-ID skal finnes for denne LDAP katalogen. Det betyr at hvis responsen for en bruker ikke inneholder App-ID får denne ikke logge på.  

For eksempel: appId

 

 

Username: The username in combination with the password is used to authenticate against the HTTP server if basic autentication is used.

E.g.: BPCodereadonlyuser

Password: The password in combination with the username is used to authenticate against the HTTP server if basic autentication is used.

E.g.: verysecretpassword117788

Phone.no. attribute: Defines the response parameter used for returning the telephone number used by Buypass Code. If the number found is missing the country code, the standard country code for the merchant site is used.

E.g.: telephoneNumber

App-ID attribute: Defines which response parameter is used for returning the App-ID used by Buypass Code. In combination with Phone.no this is used to find which users have permission to log on. By definng the App-ID attribute the requirement for the App-ID is activated. This means that if the response for a user does not contain the App-ID the user is not allowed to log on.

E.g.: appId




Column
width2%


Column
width26%


Div
classright-navigation

Innhold  

Page Tree
root@parent
startDepth2
Include Page
INCLIB:_right_navigation_styleINCLIB:_right_navigation_style




Column
width10%


Section


INCLIB:_bottom_bar 

Column
width62%

Include Page
INCLIB:_bottom_bar


Column
width2%


Column
width26%
 


Column
width10%
Include PageINCLIB:_navigation_buttons_styleINCLIB:_navigation_buttons_style Include PageINCLIB:doc_center_styleINCLIB:doc_center_style  Include PageINCLIB:_template_styleINCLIB:_template_style