Beheer van AD-gebruikers in WGP

WGP Beheer heeft via de Internet Information Services (IIS) van Windows verbinding met Active Directory (AD) en hierdoor zijn daar de AD-gebruikers en AD-gebruikersgroepen beschikbaar. In WGP kun je gebruikers individueel of per groep importeren, waarna je ze als WGP-gebruiker kunt configureren. Voor het verwijderen van gebruikers, individueel of groepsgewijs, gebruik je ook weer de gebruikers en groepen die in AD beschikbaar zijn. Bij het toevoegen en verwijderen van WGP-gebruikers gaat het steeds om een combinatie van gebruiker én groep, waarbij de groep voor de autorisatie van kaarten kan worden gebruikt. 

ADFS-authenticatie

WGP kun je nu zo configureren dat de authenticatie van de gebruikers via Active Directory Federation Services (ADFS) verloopt. In dat geval heeft WGP geen rechtstreekse verbinding met de Active Directory (AD). De gegevens uit de AD-directory, zoals gebruikersgroepen en gebruikersnamen, zullen daarom in WGP niet beschikbaar zijn. De AD-gebruikers moeten in dat geval handmatig aan WGP worden toegevoegd. Zie onderdeel Authenticatie via Active Directory Federation Services (ADFS).

In WGP Beheer is pagina Gebruikers en Rollen aangepast om gebruikers uit de AD te kunnen beheren. Boven de onderdelen Bestaande gebruikers en Bestaande rollen is het onderdeel Active directory-gebruikers en -groepen verschenen.

Met deze functie kun je de groepen en gebruikers uit de AD opvragen en als WGP-gebruikers toevoegen of verwijderen. Je kunt de gebruikers individueel of per groep afhandelen. Voor de AD-groep waaruit nieuwe WGP-gebruikers zijn gehaald, wordt in WGP Beheer een gebruikersrol aangemaakt die de naam draagt van de groep en die automatisch aan de nieuwe WGP-gebruikers wordt toegekend.

Attentie!

Zodra je op de WGP-server de authenticatie-instelling van IIS hebt gewijzigd in Windows Authentication, wordt de AD-interface van WGP voor SSO-authenticatie automatisch geactiveerd.

De rollen in WGP die ontleend zijn aan de AD-groepen ('AD-rollen') worden niet in de lijst met de Bestaande rollen getoond. Indien je daarvoor voldoende rechten hebt, zijn deze groepen wel te zien bij het wijzigen van gebruikers en bij de autorisatie van een kaart. Bij de kaartautorisatie staan ze onder de standaard WGP-rol 'Anonymous'.

Groepen ophalen en gebruikers tonen

Je hebt in WGP Beheer via de gebruikersgroepen toegang tot de Active Directory (AD) en je vraagt de AD-gebruikers via deze groepen op. Dus voordat je AD-gebruikers aan WGP toevoegt of uit WGP verwijdert, moet je eerst de AD-groep ophalen waarin de gewenste gebruikers zitten. Vervolgens kun je van de geselecteerde groep de gebruikers laten weergeven.
Je kunt in WGP Beheer op de volgende manier een groep uit AD ophalen en hiervan de gebruikers laten weergeven:

  1. Vul in het zoekveld bij Groepen ophalen de gewenste AD-groep in. Je kunt hierbij de asterisk (*) als jokerteken gebruiken. Met alléén een asterisk vraag je alle groepen op.

  2. Klik op de knop Groepen ophalen. In de lijst eronder verschijnen de groepen waarvan de namen overeenkomen met wat je in het zoekveld hebt ingevuld. Door op een keuzerondje te klikken kun je een groep selecteren. Je kunt niet meer dan één groep selecteren.
  3. Druk op de knop Toon gebruikers. Aan de rechterkant van het scherm verschijnen alle gebruikers van de geselecteerde groep.

    De aangevinkte selectievakjes geven aan welke gebruikers uit deze groep al aan WGP zijn toegevoegd. Dit zijn de WGP-gebruikers met de gebruikersnaam uit de AD én met bovendien de rol die overeenkomt met de naam van de geselecteerde groep. Deze gebruikers kunnen ook in andere groepen zijn aangevinkt omdat ze ook rollen kunnen hebben die aan die andere groepen zijn ontleend.

Gebruikers toevoegen aan WGP en verwijderen uit WGP

Nadat je een groep uit de AD hebt opgehaald en de gebruikers uit die groep hebt laten weergeven, kun je deze gebruikers aan WGP toevoegen door ze te selecteren en vervolgens op de groene knop Samenstelling opslaan te drukken. Het worden dan WGP-gebruikers met de naam van de AD-gebruiker waaraan een rol gekoppeld wordt die overeenkomt met de naam van de groep. Indien deze gebruikers al via een andere groep aan WGP waren toegevoegd, krijgen zij de rol van de huidige groep erbij.

Opmerking

Alle gebruikers worden vanuit de AD aan WGP toegevoegd en hebben het prefix '<domein>\' waarbij '<domein>' staat voor de naam van het Windows-domein waarbinnen de SSO-authenticatie van toepassing is.

De gebruikers die al aangevinkt zijn wanneer je op de knop Toon gebruikers hebt gedrukt, zijn bestaande WGP-gebruikers met de rol die is ontleend aan de geselecteerde groep. Je kunt deze gebruikers en eventueel ook de rol van de groep uit WGP verwijderen door ze te deselecteren (het vinkje weg te halen) en daarna op de knop Samenstelling opslaan te drukken. Indien deze WGP-gebruikers ook andere rollen bezitten, worden ze niet verwijderd, maar wordt bij hen alleen de rol van de huidige groep verwijderd. Als je op deze manier de laatste gebruiker uit een groep verwijderd, dan verwijder je ook de rol van de groep uit WGP.

Met dezelfde knop kun je dus zowel gebruikers en rollen aan WGP toevoegen als gebruikers en rollen uit WGP verwijderen. Het volgende diagram geeft aan wat er gebeurt nadat je op de knop Samenstelling opslaan hebt gedrukt:


Je kunt op de volgende manier gebruikers uit de AD toevoegen aan WGP of verwijderen uit WGP:

  1. Haal de gebruikers uit een bepaalde AD-groep op. Zie onderdeel 'Groepen ophalen en gebruikers tonen'. De aangevinkte gebruikers in de groep zijn al als WGP-gebruiker aanwezig en hebben een rol die overeenkomt met de geselecteerde AD-groep. 

    Attentie!

    Gebruikers die niet aangevinkt zijn kunnen toch al in WGP aanwezig zijn, maar hebben dan een andere rol. Ze zijn dan vanuit een andere AD-groep aan WGP toegevoegd.

    In het volgende voorbeeld zijn direct nadat je op de knop hebt gedrukt de gebruikers Pim en Rieks uit AD-groep WebGISPublisher aangevinkt. Dit betekent dat zij als WGP-gebruikers staan geregistreerd en dat aan beiden de rol '<domeinnaam>\WebGISPublisher' is toegekend.



  2. Selecteer de gebruikers die je aan WGP wilt toevoegen door ze aan te vinken.
  3. Deselecteer de gebruikers die je uit WGP wilt verwijderen door het vinkje weg te halen.

    Je selecteert bijvoorbeeld de gebruikers Arjen en Sander als nieuwe WGP-gebruikers en deselecteert gebruikers Pim en Rieks om die uit WGP te verwijderen:



  4. Klik Samenstelling opslaan. Een venster verschijnt waarin je moet bevestigen dat je de geselecteerde gebruikers wilt toevoegen en de gedeselecteerde gebruikers wilt verwijderen.



  5. Klik in het bevestigingsvenster op OK.

    In principe worden nu de aangeklikte gebruikers aan WGP toegevoegd en de gebruikers bij wie het vinkje is weggehaald uit WGP verwijderd. Indien de rol van deze groep nog niet in WGP aanwezig was, wordt deze rol bij het toevoegen van gebruikers in WGP aangemaakt. Indien alle gebruikers van deze groep uit WGP worden verwijderd, wordt ook de rol van de groep verwijderd. Of je een gebruiker daadwerkelijk toevoegt of verwijdert is afhankelijk van de aanwezigheid van andere gebruikersrollen.

    De aangevinkte gebruikers worden WGP-gebruikers met de rol die voor de geselecteerde groep is gegenereerd. De gebruikers kunnen echter eerder via een andere groep aan WGP zijn toegevoegd. Deze gebruikers hebben dan al een andere rol (van een andere groep) en krijgen nu de rol van de huidige groep erbij.

    Je verwijdert de gebruikers bij wie het vinkje is weggehaald en die alleen de rol van de huidige groep bezitten uit WGP. Hun WGP-account wordt opgeheven. Je verwijdert echter niet de gebruikers die naast de rol van de hier geselecteerde groep ook nog andere rollen bezitten. Bij deze gebruikers wordt alleen de rol van de huidige groep verwijderd.

    Indien je alle gebruikers van een AD-groep uit WGP verwijdert, verwijder je ook de rol van die groep uit WGP.

Alle gebruikers van een AD-groep verwijderen

Je kunt alle gebruikers uit een bepaalde AD-groep in een keer uit WGP verwijderen. Je verwijdert dan meteen de rol uit WGP die voor deze groep is gegenereerd. Je doet dit op de volgende manier:

  1. Haal de gebruikers op uit een bepaalde AD-groep. Zie onderdeel 'Groepen ophalen en gebruikers tonen'. Bijvoorbeeld de gebruikers uit de groep WebGISPublisher.

  2. Druk op de rode knop Verwijder de groep <naam> met al zijn gebruikers. Een venster verschijnt waarin je het verwijderen van de groep en zijn gebruikers moet bevestigen.



  3. Klik in het bevestigingsvenster op OK.

    Je verwijdert nu de rol die ontleend is aan de geselecteerde AD-groep en alle gebruikers uit die groep met alleen deze rol uit WGP. WGP-gebruikers met ook nog een andere rol worden niet uit WGP verwijderd. Deze gebruikers verliezen alleen de rol van de huidige groep.