For å knytte brukeren opp mot Buypass-systemer, må brukerens mobilnummer være registrert i LDAP- eller annen brukerkatalog som kan nås over HTTP. For å gjøre tilknytningen sterkere, kan også App-ID registreres. Notér at bruk av App-ID bestemmes pr LDAP / HTTP konfigurasjon.

Brukerstedet er selv ansvarlig for at brukere får tilgang til å bruke BP Code i sine autentiseringsløsninger.

Prioritering

Oppslag i LDAP / HTTP kataloger gjøres i den rekkefølge de vises i listen. Gjennom å bruke opp- og ned knappene kan rekkefølgen endres. Oppslag for en bruker gjøres først i den cachede brukerkatalog. Hvis brukeren ikke fins, gjøres oppslaget ihht definert rekkefølge. Ved eventuelle endringer av prioritert rekkefølge må cache tømmes. 

Tøm cache

Anchor
empty-cache empty-cache

Knappen Tøm cache nullstiller cache for alle brukere. Det er også mulig å tømme cache pr bruker under Brukere.

LDAP

Informasjonen her brukes for å opprette en kobling til LDAP, og for å vite hvilke attributter som skal være lenken mellom brukeren og Buypass Code. For å redigere selve LDAP konfigurasjonen klikkes det på Rediger under detaljer. For å endre på en sti klikkes det på ønsket sti som skal endres.

De feltene i LDAP katalogen som brukes for lagring av mobilnummer, App-ID og brukernavn er valgfritt. Dette er felter som brukerstedet må konfigurere i Buypass Code Manager, slik at Service Connector kan slå opp brukeren ved autentisering. 

Konfigurasjon

Image Removed

URL: URL som brukes til å finne LDAP serveren. Må være gyldig URI, dvs. på formen ldap://maskin.domene.no[:port]. Port må kun spesifiseres hvis den avviker fra standard port.

For eksempel: ldap://ldap.domene.no:10001

Brukernavn: Brukernavnet i kombinasjon med passord brukes til å autentisere seg mot AD/LDAP server, for å kunne hente ut brukerinformasjon. Brukeren bør fra et sikkerhetsperspektiv være en read-only bruker.

For eksempel: BPCodereadonlyuser

Passord: Passordet, i kombinasjon med brukernavn, brukes til å autentisere seg mot AD/LDAP server.

For eksempel: verysecretpassword117788

Tel.nr. attributt: Angir hvilken attributt i LDAP katalogen som brukes til å lagre telefonnummer for bruk i Buypass Code. I kombinasjon med App-ID attributtet brukes dette til å finne ut hvilke brukere som har tilgang til å logge seg på. Standardverdien for dette feltet er ”telephoneNumber”. For å søke i flere attributter separeres disse med ”;” og prioriteres i rekkefølgen de er definert. Dette vil si at hvis oppsettet er slik; ”telephoneNumber;pager”, vil nummeret som finnes i telephoneNumber attributtet brukes. Hvis telephoneNumber er tomt, vil nummeret som finnes i pager brukes. Hvis telefonnummeret som blir funnet savner landskode, vil standard landskode for brukerstedet brukes.

For eksempel: telefonNummer;pager

App-ID attributt: Angir hvilket attributt i AD/LDAP katalogen som brukes til å lagre App-ID’er for bruk i Buypass Code. I kombinasjon med Tel.nr. attributt brukes dette til å finne ut hvilke brukere som har tilgang til å logge seg på. Gjennom å angi App-ID attributt aktiveres kravet at App-ID skal finnes for denne LDAP katalogen. Det betyr at hvis en bruker ikke har App-ID spesifisert i LDAP katalogen, får brukeren ikke logget på.  

For eksempel: driverLicenseNo

LDAP sti konfigurasjon

Image Removed

Informasjonen her benyttes for å finne en bruker i en gitt LDAP katalog.

Prioritet: Stiene vil bli brukt i rekkefølgen de har i listen.

LDAP sti: Stien brukes for å finne gyldige brukere i AD/LDAP som Buypass Code skal bruke for å matche telefonnummer og/eller App-ID mot.

Stiene må være på en angitt form: basedn[sti-til-gruppe-brukeren-finnes-i],filter[attributter-som-det-skal-sjekkes-på]. Hvis strengen innenfor basedn klammene avsluttes med ”(*)”, vil et rekursivt søk bli brukt. Filter-strengen må inneholde ”#USER#” som brukes for å matche det brukernavn brukeren har angitt mot et eller annet attributt i AD/LDAP.

Eksempel 1:

basedn[OU=Brukere,DC=domene,DC=net],filter[samAccountName=#USER#]

Definerer at Buypass Code skal lete etter gyldige brukere i gruppen ”Brukere” under active directory-domenet ”domene.net”, for å siden matche brukernavnet mot attributtet ”samAccountName”.

Eksempel 2:

basedn[OU=Brukere,DC=domene,DC=net(*)],filter[samAccountName=#USER#]

Definerer at Buypass Code skal lete etter gyldige brukere rekursivt i alle undergrupper under gruppen ”Brukere” under active directory-domenet ”domene.net”, for å siden matche brukernavnet mot attributtet ”samAccountName”.

Eksempel 3:

basedn[CN=bedrift],filter[userName=#USER#,vpnAllowed=true]

Definerer at Buypass Code skal lete etter gyldige brukere under basedn ”bedrift”, for å siden matche brukernavnet mot attributtet ”userName”, men kun hvis attributtet ”vpnAllowed” har verdien ”true”.

Eksempel 4:

basedn[OU=OU_name,DC=example,DC=com(*)],filter[(&(samAccountName=#USER#)(memberof=CN=group_name,CN=Users,DC=example,DC=com))] 
Oppslag med ”memberof” – for å tillate gruppehåndtering i AD.

Sikker kommunikasjon med LDAP

Service Connector kan slå opp brukerinformasjon fra brukerkatalogen med kryptert LDAP. Man må da lage en ny LDAP konfigurasjon i Code Manager. En kryptert LDAP-forbindelse settes opp ved å sette URL parameteren til å bruke ldaps protokollen. (For eksempel ldaps://myldap.hostname). Hvis man velger å ikke skrive inn et portnummmer vil ldaps protokollen bruke port 636. Dersom sertifikatet på LDAP serveren ikke er fra en CA (Certificate Authority) godkjent av Java må dette sertikatet importeres i Javas sertifikatlager.

Nedenfor er et eksempel på hvordan man importer et sertikat med navn ldaps-cert.cer

Åpne et kommandoprompt som administrator på datamaskinen som kjører Service Connector.

Endre gjeldende katalog som følger:

cd \bps\jre\lib\security

Importér sertifikatet med følgende kommando:

\bps\jre\bin\keytool -importcert -trustcacerts -alias root -keystore cacerts -file ldaps-cert.cer
Enter keystore password: changeit
Trust this certificate? [no]: yes

HTTP

HTTP-oppslag for Buypass Code gjør det mulig for et brukersted å slå opp brukere over HTTP istedet for i LDAP-katalog. Notér at HTTP-oppslag krever Service Connector version 8.0.3.0 eller nyere.