To connect the user with the Buypass Systems, the user’s mobile phone number must be registered in LDAP or another user catalog that is available through HTTP. To make the connection stronger it is also possible to register the App-ID. Note that the use of App-ID is configured for each LDAP / HTTP configuration.
It is the customer sites own responsibility enabling BP Code for their users in their authentication solutions.
Prioritization
Queries in the LDAP / HTTP directories are performed in the order they are shown in the list. By using the up- and down buttons the order can be changed. Queries are first done in the cached user catalogue. If the user is not found in the cache, the queries are performed in the defined order. If changes are done to the preferred query order, the cache must be cleared.
Clear the cache
The button “Clear cache” will empty the cache for all users. It is also possible to clear the cache for individual users in the Users menu.
LDAP
The information here is used to create an LDAP connection, and to know which attributes are used to create the link between the user and Buypass Code. To edit the LDAP configuration press the “Edit” button under the detailed view of the LDAP connection. To edit a LDAP path press the chosen path to be edited.
The fields in the LDAP catalogue that are used for storing the mobile phone number, App-ID and username is decided by the customer. These fields must be configured in the Buypass Code Manager, so that the Service Connector can look up the user when authentication is performed.
Configuration
URL: URL that is used to find the LDAP server. This must be a valid URI, in the form of ldap://machine.domain.no[port]. The port number is only required if it is different from the standard port.
E.g.: ldap://ldap.domene.no:10001
Username: Username of the service account that in combination with a password are used to authenticate against the AD/LDAP server for querying the user information. The user account should from a security perspective be a read-only user.
E.g.: BPCodereadonlyuser
Password: The password, in combination with the username, is used to authenticate against the AD/LDAP server.
E.g.: verysecretpassword117788
Phone.no. attribute: Defines which attribute in the LDAP catalogue is used to store the telephone number used by Buypass Code. In combination with the App-ID attribute this is used to decide who is allowed to log on with Buypass Code. The default setting for this is the attribute «telephoneNumber». For searching in additional attributes these are separated with «;» and will be prioritized in the order they are defined. This means that if the configuration is the following: ”telephoneNumber;pager”, the number in the telephoneNumber attribute be used. If telephoneNumber is empty, the number found in pager will be used. If the number that is found is missing Country Code, the standard Country Code for the Customer Site will be used
E.g.: telephoneNumber;pager
App-ID attribute: Defines which attribute in AD/LDAP catalogue that is used to store App-ID for use in Buypass Code. In combination with telephoneNumber attribute this is used to find which users are allowed logging on with Buypass Code. By defining the App-ID attribute the requirement for having stored the correct App-ID in AD/LDAP is activatet. This means that if a user does not have the App-ID stored in the LDAP catalogue the user is not allowed to log on.
E.g.: driverLicenseNo
LDAP sti konfigurasjon
Informasjonen her benyttes for å finne en bruker i en gitt LDAP katalog.
Prioritet: Stiene vil bli brukt i rekkefølgen de har i listen.
LDAP sti: Stien brukes for å finne gyldige brukere i AD/LDAP som Buypass Code skal bruke for å matche telefonnummer og/eller App-ID mot.
Stiene må være på en angitt form: basedn[sti-til-gruppe-brukeren-finnes-i],filter[attributter-som-det-skal-sjekkes-på]. Hvis strengen innenfor basedn klammene avsluttes med ”(*)”, vil et rekursivt søk bli brukt. Filter-strengen må inneholde ”#USER#” som brukes for å matche det brukernavn brukeren har angitt mot et eller annet attributt i AD/LDAP.
Eksempel 1:
basedn[OU=Brukere,DC=domene,DC=net],filter[samAccountName=#USER#]
Definerer at Buypass Code skal lete etter gyldige brukere i gruppen ”Brukere” under active directory-domenet ”domene.net”, for å siden matche brukernavnet mot attributtet ”samAccountName”.
Eksempel 2:
basedn[OU=Brukere,DC=domene,DC=net(*)],filter[samAccountName=#USER#]
Definerer at Buypass Code skal lete etter gyldige brukere rekursivt i alle undergrupper under gruppen ”Brukere” under active directory-domenet ”domene.net”, for å siden matche brukernavnet mot attributtet ”samAccountName”.
Eksempel 3:
basedn[CN=bedrift],filter[userName=#USER#,vpnAllowed=true]
Definerer at Buypass Code skal lete etter gyldige brukere under basedn ”bedrift”, for å siden matche brukernavnet mot attributtet ”userName”, men kun hvis attributtet ”vpnAllowed” har verdien ”true”.
Eksempel 4:
basedn[OU=OU_name,DC=example,DC=com(*)],filter[(&(samAccountName=#USER#)(memberof=CN=group_name,CN=Users,DC=example,DC=com))]
Oppslag med ”memberof” – for å tillate gruppehåndtering i AD.
Sikker kommunikasjon med LDAP
Service Connector kan slå opp brukerinformasjon fra brukerkatalogen med kryptert LDAP. Man må da lage en ny LDAP konfigurasjon i Code Manager. En kryptert LDAP-forbindelse settes opp ved å sette URL parameteren til å bruke ldaps protokollen. (For eksempel ldaps://myldap.hostname). Hvis man velger å ikke skrive inn et portnummmer vil ldaps protokollen bruke port 636. Dersom sertifikatet på LDAP serveren ikke er fra en CA (Certificate Authority) godkjent av Java må dette sertikatet importeres i Javas sertifikatlager.
Nedenfor er et eksempel på hvordan man importer et sertikat med navn ldaps-cert.cer
Åpne et kommandoprompt som administrator på datamaskinen som kjører Service Connector.
Endre gjeldende katalog som følger:
cd \bps\jre\lib\security
Importér sertifikatet med følgende kommando:
\bps\jre\bin\keytool -importcert -trustcacerts -alias root -keystore cacerts -file ldaps-cert.cer Enter keystore password: changeit Trust this certificate? [no]: yes
HTTP
HTTP-oppslag for Buypass Code gjør det mulig for et brukersted å slå opp brukere over HTTP istedet for i LDAP-katalog. Notér at HTTP-oppslag krever Service Connector version 8.0.3.0 eller nyere.
Request
Buypass sender en GET request til den angitte URLen med en parameter "user" som er brukernavnet til brukeren.
For eksempel: https://www.yoursite.no/lookup?user=myusername
Response
Mulige response scenarier:
| HTTP status code | HTTP response body | Forklaring |
|---|---|---|
| 200 | phone=XXXXXX&appid=YYYYYYYYYYY | Dersom brukeren finnes. "phone" og "appid" är exempel og disse specifieres pr konfigurasjon. |
| 404 | Dersom brukeren ikke er funnet | |
| 400 | Dersom det er feil i input parametere | |
| 500 | Vid intern feil |
Konfigurasjon
URL: URL som brukes til å finne HTTP serveren. Må være gyldig URI, dvs. på formen https://domene.no.
For eksempel: https://www.yoursite.no/lookup
Brukernavn: Brukernavnet i kombinasjon med passord brukes til å autentisere seg mot HTTP server hvis basic access authentication benyttes.
For eksempel: BPCodereadonlyuser
Passord: Passordet i kombinasjon med brukernavn brukes til å autentisere seg mot HTTP server hvis basic access authentication benyttes.
For eksempel: verysecretpassword117788
Tel.nr. attributt: Angir hvilken response parameter som brukes til å returnere telefonnummer for bruk i Buypass Code. Hvis telefonnummeret som blir funnet savner landkode, vil standard landkode for brukerstedet brukes.
For eksempel: telefonNummer
App-ID attributt: Angir hvilken response parameter som brukes til å returnere App-ID’er for bruk i Buypass Code. I kombinasjon med Tel.nr. attributt brukes dette til å finne ut hvilke brukere som har tilgang til å logge seg på. Gjennom å angi App-ID attributt aktiveres kravet om at App-ID skal finnes for denne LDAP katalogen. Det betyr at hvis responsen for en bruker ikke inneholder App-ID får denne ikke logge på.
For eksempel: appId