LDAP / HTTP oppslag

Owned by Heidi R. (Deactivated)
Last updated: Sept 20, 2022 by Lise Kristoffersen
4 min read


For å knytte brukeren opp mot Buypass-systemer, må brukerens mobilnummer være registrert i LDAP- eller annen brukerkatalog som kan nås over HTTP. For å gjøre tilknytningen sterkere, kan også App-ID registreres. Notér at bruk av App-ID bestemmes pr LDAP / HTTP konfigurasjon.

Brukerstedet er selv ansvarlig for at brukere får tilgang til å bruke BP Code i sine autentiseringsløsninger.

Prioritering

Oppslag i LDAP / HTTP kataloger gjøres i den rekkefølge de vises i listen. Gjennom å bruke opp- og ned knappene kan rekkefølgen endres. Oppslag for en bruker gjøres først i den cachede brukerkatalog. Hvis brukeren ikke fins, gjøres oppslaget ihht definert rekkefølge. Ved eventuelle endringer av prioritert rekkefølge må cache tømmes. 

Tøm cache

Knappen Tøm cache nullstiller cache for alle brukere. Det er også mulig å tømme cache pr bruker under Brukere.

LDAP

Informasjonen her brukes for å opprette en kobling til LDAP, og for å vite hvilke attributter som skal være lenken mellom brukeren og Buypass Code. For å redigere selve LDAP konfigurasjonen klikkes det på Rediger under detaljer. For å endre på en sti klikkes det på ønsket sti som skal endres.

De feltene i LDAP katalogen som brukes for lagring av mobilnummer, App-ID og brukernavn er valgfritt. Dette er felter som brukerstedet må konfigurere i Buypass Code Manager, slik at Service Connector kan slå opp brukeren ved autentisering. 

Konfigurasjon


URL: URL som brukes til å finne LDAP serveren. Må være gyldig URI, dvs. på formen ldap://maskin.domene.no[:port]. Port må kun spesifiseres hvis den avviker fra standard port.

For eksempel: ldap://ldap.domene.no:10001

Brukernavn: Brukernavnet i kombinasjon med passord brukes til å autentisere seg mot AD/LDAP server, for å kunne hente ut brukerinformasjon. Brukeren bør fra et sikkerhetsperspektiv være en read-only bruker.

For eksempel: BPCodereadonlyuser

Passord: Passordet, i kombinasjon med brukernavn, brukes til å autentisere seg mot AD/LDAP server.

For eksempel: verysecretpassword117788

Tel.nr. attributt: Angir hvilken attributt i LDAP katalogen som brukes til å lagre telefonnummer for bruk i Buypass Code. I kombinasjon med App-ID attributtet brukes dette til å finne ut hvilke brukere som har tilgang til å logge seg på. Standardverdien for dette feltet er ”telephoneNumber”. For å søke i flere attributter separeres disse med ”;” og prioriteres i rekkefølgen de er definert. Dette vil si at hvis oppsettet er slik; ”telephoneNumber;pager”, vil nummeret som finnes i telephoneNumber attributtet brukes. Hvis telephoneNumber er tomt, vil nummeret som finnes i pager brukes. Hvis telefonnummeret som blir funnet savner landskode, vil standard landskode for brukerstedet brukes.

For eksempel: telefonNummer;pager

App-ID attributt: Angir hvilket attributt i AD/LDAP katalogen som brukes til å lagre App-ID’er for bruk i Buypass Code. I kombinasjon med Tel.nr. attributt brukes dette til å finne ut hvilke brukere som har tilgang til å logge seg på. Gjennom å angi App-ID attributt aktiveres kravet at App-ID skal finnes for denne LDAP katalogen. Det betyr at hvis en bruker ikke har App-ID spesifisert i LDAP katalogen, får brukeren ikke logget på.  

For eksempel: driverLicenseNo

LDAP sti konfigurasjon

Informasjonen her benyttes for å finne en bruker i en gitt LDAP katalog.

Prioritet: Stiene vil bli brukt i rekkefølgen de har i listen.

LDAP sti: Stien brukes for å finne gyldige brukere i AD/LDAP som Buypass Code skal bruke for å matche telefonnummer og/eller App-ID mot.

Stiene må være på en angitt form: basedn[sti-til-gruppe-brukeren-finnes-i],filter[attributter-som-det-skal-sjekkes-på]. Hvis strengen innenfor basedn klammene avsluttes med ”(*)”, vil et rekursivt søk bli brukt. Filter-strengen må inneholde ”#USER#” som brukes for å matche det brukernavn brukeren har angitt mot et eller annet attributt i AD/LDAP.

Eksempel 1:

basedn[OU=Brukere,DC=domene,DC=net],filter[samAccountName=#USER#]

Definerer at Buypass Code skal lete etter gyldige brukere i gruppen ”Brukere” under active directory-domenet ”domene.net”, for å siden matche brukernavnet mot attributtet ”samAccountName”.

Eksempel 2:

basedn[OU=Brukere,DC=domene,DC=net(*)],filter[samAccountName=#USER#]

Definerer at Buypass Code skal lete etter gyldige brukere rekursivt i alle undergrupper under gruppen ”Brukere” under active directory-domenet ”domene.net”, for å siden matche brukernavnet mot attributtet ”samAccountName”.

Eksempel 3:

basedn[CN=bedrift],filter[userName=#USER#,vpnAllowed=true]

Definerer at Buypass Code skal lete etter gyldige brukere under basedn ”bedrift”, for å siden matche brukernavnet mot attributtet ”userName”, men kun hvis attributtet ”vpnAllowed” har verdien ”true”.

Eksempel 4:

basedn[OU=OU_name,DC=example,DC=com(*)],filter[(&(samAccountName=#USER#)(memberof=CN=group_name,CN=Users,DC=example,DC=com))] 
Oppslag med ”memberof” – for å tillate gruppehåndtering i AD.

Sikker kommunikasjon med LDAP

Service Connector kan slå opp brukerinformasjon fra brukerkatalogen med kryptert LDAP. Man må da lage en ny LDAP konfigurasjon i Code Manager. En kryptert LDAP-forbindelse settes opp ved å sette URL parameteren til å bruke ldaps protokollen. (For eksempel ldaps://myldap.hostname). Hvis man velger å ikke skrive inn et portnummmer vil ldaps protokollen bruke port 636. Dersom sertifikatet på LDAP serveren ikke er fra en CA (Certificate Authority) godkjent av Java må dette sertikatet importeres i Javas sertifikatlager.

Nedenfor er et eksempel på hvordan man importer et sertikat med navn ldaps-cert.cer

Åpne et kommandoprompt som administrator på datamaskinen som kjører Service Connector.

Endre gjeldende katalog som følger:

cd \bps\jre\lib\security


Importér sertifikatet med følgende kommando:

\bps\jre\bin\keytool -importcert -trustcacerts -alias root -keystore cacerts -file ldaps-cert.cer
Enter keystore password: changeit
Trust this certificate? [no]: yes


HTTP

HTTP-oppslag for Buypass Code gjør det mulig for et brukersted å slå opp brukere over HTTP istedet for i LDAP-katalog. Notér at HTTP-oppslag krever Service Connector version 8.0.3.0 eller nyere.


HTTP request og response

Request

Buypass sender en GET request til den angitte URLen med en parameter "user" som er brukernavnet til brukeren.

For eksempel: https://www.yoursite.no/lookup?user=myusername

Response

Mulige response scenarier:

HTTP status codeHTTP response bodyForklaring
200phone=XXXXXX&appid=YYYYYYYYYYYDersom brukeren finnes. "phone" og "appid" är exempel og disse specifieres pr konfigurasjon.
404
Dersom brukeren ikke er funnet
400
Dersom det er feil i input parametere
500
Vid intern feil

Konfigurasjon

URL: URL som brukes til å finne HTTP serveren. Må være gyldig URI, dvs. på formen https://domene.no.

For eksempel: https://www.yoursite.no/lookup

Brukernavn: Brukernavnet i kombinasjon med passord brukes til å autentisere seg mot HTTP server hvis basic access authentication benyttes.

For eksempel: BPCodereadonlyuser

Passord: Passordet i kombinasjon med brukernavn brukes til å autentisere seg mot HTTP server hvis basic access authentication benyttes.

For eksempel: verysecretpassword117788

Tel.nr. attributt: Angir hvilken response parameter som brukes til å returnere telefonnummer for bruk i Buypass Code. Hvis telefonnummeret som blir funnet savner landkode, vil standard landkode for brukerstedet brukes.

For eksempel: telefonNummer

App-ID attributt: Angir hvilken response parameter som brukes til å returnere App-ID’er for bruk i Buypass Code. I kombinasjon med Tel.nr. attributt brukes dette til å finne ut hvilke brukere som har tilgang til å logge seg på. Gjennom å angi App-ID attributt aktiveres kravet om at App-ID skal finnes for denne LDAP katalogen. Det betyr at hvis responsen for en bruker ikke inneholder App-ID får denne ikke logge på.  

For eksempel: appId



Innhold