Help

Questions & Answers

baginski
I'm new here
‎01-31-2013 08:54 AM

Benutzer aus externen (LDAP)-Gruppen auslesen ?

Hi

im SAP Netweaver-Portal-Umfeld nutzen wir die Möglichkeit, über ein Script zu ermitteln, welcher User Zugriff auf welche Seite hat und mit diesen einen Edit-Link auf die Seite zu erzeugen; dieses wird aus der Schreibberechtigung im Strukturbaum gezogen;

bei der Generierung wird mit diesem Script eine Datei erstellt, in dem die User zu der entsprechenden URL gemappt werden..

Das Script scheint mir micht zu funktionieren, wenn die User über externe Gruppen die Berechtigung zugewiesen bekommt; ich meine, sie sind de fakto auch dem Projekt nicht mehr zugewiesen; es klärt sich wohl in der Anmeldung welche Projekte er bekommt und welche Berechtigung er dort hat.

Frage: ist meine Vermutung richtig und gibt es eine Möglichkeit, so ein File auch mit AD-Gruppen zu erzeugen ?

Viele Grüße,

Michael Baginski

Labels
0 Kudos
5 Replies
baginski
I'm new here
‎02-06-2013 01:40 AM

Hallo,

gibt es wirklich keine Chance, über die API herauszufinden, welche Redakteure Mitglied einer spezifischen externen Gruppe sind ?

Danke & Gruß,

Michael

0 Kudos
Peter_Jodeleit
Crownpeak employee
Crownpeak employee
In response to baginski
‎02-06-2013 02:49 AM

Die einzige Möglichtkeit ist, über alle Benutzer zu iterieren und pro Benutzer fragen, ob dieser Mitglied der entsprechenden externen Gruppe ist. Dies ist aber jedesmal eine LDAP-Abfrage. Gibt es keinen alternativen Lösungs-Ansatz, den du beschreiten kannst?

Peter
0 Kudos
baginski
I'm new here
In response to Peter_Jodeleit
‎02-06-2013 03:08 AM

Hmm; den Anwendungsfall habe ich oben beschrieben - ich bräuchte auf Knotenebene die Berechtigung auf User-Ebene (da in dem Zielsystem keine FirstSpirit-Gruppen-Zugehörigkeit getestet werden kann..)

denkbar wäre, dass ich mir initial eine Map mit jeder Gruppe und deren User fülle und dann im Einzelfall dagegen teste (ginge zumindest schneller als jedesmal eine LDAP-Abfrage)

Was macht FirstSpirit beim Login ? Werden dort nicht alle erstmal Gruppen ermittelt für den Abgleich der Berechtigung im Client - dann wäre obiger Weg zumindest denkbar..

0 Kudos
Peter_Jodeleit
Crownpeak employee
Crownpeak employee
In response to baginski
‎02-06-2013 03:47 AM

Üblicherweise prüft man für einen Benutzer beim Zugriff, ob er in Mitglied in den entsprechenden Gruppen ist - anstatt einen Snapshot eine LDAP-Baums zu machen.

Beim Login werden die Gruppen des Benutzers ermittelt und sind dann über die API zugreifbar (ohne das eine erneute LDAP-Abfrage stattfindet).

Peter
0 Kudos
baginski
I'm new here
In response to Peter_Jodeleit
‎02-06-2013 03:59 AM

Ah o.k, danke für die Info - ist wohl auch sinnvoller, da in großen Unternehmen die Anzahl der zugehörigen Gruppen nicht zwingend gering ist..

Wir haben nach interner Diskussion und Prüfungen einen anderen Ansatz gefunden, der vielversprechender erscheint; das LDAP ist genauso an das Portal angebunden und die Gruppenzugehörigkeit über die dort vorhandene API transparent; somit ist es ausreichend, die Information auf Gruppen-Ebene rauszuschreiben und die entsprechende Zugehörigkeit im Portal zu verifizieren.

Vielen Dank aber für die Hinweise, es hat mir Denkanstöße gegeben! Smiley Happy

0 Kudos