End User Self Service

6.1.3. End User Self Service#

Allgemeine Informationen über den End User Self Service finden Sie unter End User Self Service im Nubus Handbuch 1.x [4]. Dieser Abschnitt beschreibt die Konfiguration des End User Self Service, die spezifisch für Nubus für UCS ist.

Auf dieser Seite finden Sie die folgenden Abschnitte:

6.1.3.1. Installation und Aktivierung#

Um Benutzern zu ermöglichen, ihre Passwörter eigenständig über den End User Self Service zu verwalten, müssen Sie die folgenden UCS-Komponenten über das App Center in Ihrer UCS-Domäne installieren:

  • Self Service Backend

  • Self Service

Endpunkt:

https://{fqdn-to-ucs-appliance}/univention/selfservice/

Sie können die folgenden Univention Configuration Registry Variablen verwenden, um einzelne Funktionen der End User Self Service Passwortverwaltung zu aktivieren oder zu deaktivieren. Sie aktivieren oder deaktivieren auch die entsprechenden Einträge im Portal. Zusätzlich können Sie die Portal-Einträge manuell anpassen, da es sich nur um normale Portal-Einträge handelt.

self-service/backend-server#

Definiert das UCS-System, auf dem die App Self Service Backend installiert ist.

Standardwert:

nicht definiert

Typ:

Zeichenkette

umc/self-service/passwordreset/backend/enabled#

Aktiviert die Funktionalität Passwort vergessen im End User Self Service.

Sie müssen diese Einstellung auf dem Nubus für UCS Knoten bereitstellen, den Sie über die UCR-Variable self-service/backend-server als Self Service Backend definiert haben, da der End User Self Service Anfragen zum Zurücksetzen des Passworts an das konfigurierte Backend weiterleitet.

Standardwert:

true

Typ:

Boolesche Variable

umc/self-service/protect-account/backend/enabled#

Aktiviert die Funktionalität Konto schützen im End User Self Service.

Sie müssen diese Einstellung auf dem Nubus für UCS Knoten bereitstellen, den Sie über die UCR-Variable self-service/backend-server als Self Service Backend definiert haben, da der End User Self Service Anfragen zum Schutz von Konten an das konfigurierte Backend weiterleitet.

Standardwert:

true

Typ:

Boolesche Variable

umc/self-service/service-specific-passwords/backend/enabled#

Aktiviert dienst-spezifische Passwörter im End User Self Service.

Nubus unterstützt nur den RADIUS-Dienst. Weitere Informationen finden Sie unter Dienst-spezifisches Passwort.

Standardwert:

true

Typ:

Boolesche Variable

Siehe auch

Portale verwalten

im Nubus Handbuch 1.x [4] für Informationen darüber, wie Portal-Einträge bearbeitet werden.

6.1.3.2. Kontaktinformationen#

Benutzer können ihre eigenen Kontaktinformationen über den End User Self Service anzeigen und aktualisieren. Administratoren kontrollieren, welche Attribute Benutzer ändern können und welche schreibgeschützt sind.

Um die Kontaktinformationen im End User Self Service zu konfigurieren, verwenden Sie die folgenden UCR-Variablen:

self-service/ldap_attributes#

Diese Variable konfiguriert die LDAP Attribute, die Benutzer in ihrem eigenen Benutzerkonto ändern können. Sie müssen die Variable auf dem UCS Primary Directory Node und dem UCS Backup Directory Node in Ihrer Nubus für UCS Domäne setzen. Auf dem Primary Directory Node generiert und aktiviert das UCR Modul die ACL-Definitionsliste im Verzeichnisdienst.

Standardwert:

jpegPhoto,mail,telephoneNumber,roomNumber,departmentNumber,st,c,homePhone,mobile,homePostalAddress

Typ:

Liste von Zeichenketten, durch Kommas getrennt

self-service/udm_attributes#

Definiert eine kommagetrennte Liste von UDM Attributen, die der Self Service auf der Seite Kontaktinformationen anzeigt, wo Benutzer ihr Benutzerkonto ändern können.

Sie müssen diese UCR-Variable auf allen Nubus für UCS-Systemen setzen, auf denen Sie die App Self Service installiert haben, und auf dem UCS Primary Directory Node.

Standardwert:

nicht definiert

Typ:

Liste von Zeichenketten, durch Kommas getrennt

self-service/udm_attributes/read-only#

Definiert die UDM Attribute als kommagetrennte Liste von Zeichenketten, die der Self Service auf den Kontaktinformationen als schreibgeschützt kennzeichnet. Die UCR-Variable self-service/udm_attributes muss die UDM Attribute enthalten.

Sie müssen diese UCR-Variable auf allen Nubus für UCS-Systemen setzen, auf denen Sie die App Self Service installiert haben und auf dem UCS Primary Directory Node.

Um sicherzustellen, dass diese Variable wie beabsichtigt funktioniert, entfernen Sie die LDAP Attribute, die in der UCR-Variable self-service/ldap_attributes angegeben sind, die Sie schreibgeschützt haben möchten. Andernfalls behalten diese LDAP Attribute die entsprechenden UDM Attribute schreibbar.

Standardwert:

nicht definiert

Typ:

Liste von Zeichenketten, durch Kommas getrennt

umc/self-service/profiledata/enabled#

Setzen Sie den Wert dieser Variable auf allen beteiligten Nubus für UCS-Systemen auf true, um den Profildaten-Mechanismus zu aktivieren.

Standardwert:

true

Typ:

Boolesche Variable

umc/self-service/allow-authenticated-use#

Diese Variable definiert, ob der End User Self Service Benutzernamen und Passwort verlangt, wenn Benutzer ihr eigenes Benutzerprofil öffnen und ändern, wenn sie sich bereits im Portal angemeldet haben.

Der Self Service setzt den Wert automatisch auf true während der Installation. true bedeutet, dass der End User Self Service eine bestehende Portal-Sitzung verwendet und nicht nach Benutzernamen und Passwort fragt, wenn sich der Benutzer bereits angemeldet hat.

Standardwert:

true

Typ:

Boolesche Variable

Wichtig

Die Variablen self-service/ldap_attributes und self-service/udm_attributes müssen einander entsprechen. Sie können die Attributnamen und ihre Zuordnung über den Befehl in Listing 6.2 abrufen.

Listing 6.2 Attributnamen und Zuordnung abrufen#
$ python3 -c 'from univention.admin.handlers.users.user import mapping; \
  print("\n".join( \
  map("{0[0]:>30s} {0[1][0]:<30s}".format, sorted(mapping._map.items()))) \
  )'

Siehe auch

Kontaktinformationen

im Nubus Handbuch 1.x [4] für Informationen zum Ändern von Benutzer-Kontaktinformationen.

6.1.3.3. Benutzer-Registrierung#

Der End User Self Service ermöglicht es Benutzern, sich selbst zu registrieren. Die Registrierung erstellt ein Benutzerkonto, das der Benutzer per E-Mail verifizieren muss.

Siehe auch

Selbstregistrierung

im Nubus Handbuch 1.x [4] für Informationen zur Verwendung der Selbstregistrierung.

6.1.3.3.1. Registrierungsformular#

Sie können die Eigenschaften der Seite Konto erstellen und die Kontoerstellung selbst mit den folgenden Univention Configuration Registry (UCR)-Variablen konfigurieren.

Wichtig

Sie müssen diese UCR-Variablen auf dem Nubus für UCS System setzen, das Self Service Backend über die UCR-Variable self-service/backend-server definiert hat, da die Selbstservice-Registrierung Anfragen an das Self Service Backend weiterleitet.

umc/self-service/account-registration/backend/enabled#

Aktiviert die Backend-Funktionalität für die Kontoerstellung.

Standardwert:

false

Typ:

Boolesche Variable

umc/self-service/account-registration/usertemplate#

Definiert den DN der Benutzervorlage, die der Self Service verwendet, um ein Konto über die Seite Konto erstellen zu erstellen.

Wenn die Variable keinen Wert hat, verwendet der Self Service keine Benutzervorlage.

Für Informationen zu Benutzerkonto-Vorlagen siehe Benutzerkonto-Vorlagen im Nubus Handbuch 1.x [4].

Standardwert:

nicht definiert

Typ:

Zeichenkette

umc/self-service/account-registration/usercontainer#

Definiert den DN des Containers im Verzeichnisdienst, in dem der Self Service die über die Seite Konto erstellen erstellten Objekte für Benutzerkonten speichert.

Wenn die Variable keinen Wert hat, verwendet der Self Service den Standard-Container cn=self registered users,$ldap_base für Benutzerkonto-Objekte.

Standardwert:

nicht definiert

Typ:

Zeichenkette

umc/self-service/account-registration/udm_attributes#

Definiert eine kommagetrennte Liste von UDM Attributen, die der Self Service auf der Seite Konto erstellen anzeigt.

Standardwert:

nicht definiert

Typ:

Liste von Zeichenketten, durch Kommas getrennt

umc/self-service/account-registration/udm_attributes/required#

Definiert die UDM Attribute als kommagetrennte Liste von Zeichenketten, die der Self Service auf der Seite Konto erstellen als erforderlich kennzeichnet. Die UCR-Variable umc/self-service/account-registration/udm_attributes muss die UDM Attribute enthalten.

Standardwert:

nicht definiert

Typ:

Liste von Zeichenketten, durch Kommas getrennt

6.1.3.3.2. E-Mail-Verifizierung#

Wenn sich Benutzer über den Self Service registrieren, erhalten sie eine E-Mail zur Verifizierung mit einem Token, um ihre E-Mailadresse zu bestätigen. Dieser Abschnitt beschreibt die Konfiguration der E-Mail zur Verifizierung und Token-Eigenschaften.

Sie können die Eigenschaften der E-Mail zur Verifizierung und des Tokens über die folgenden Univention Configuration Registry-Variablen konfigurieren. Für Informationen zum Verifizierungsprozess siehe E-Mail zur Bestätigung im Nubus Handbuch 1.x [4].

Wichtig

Sie müssen diese UCR-Variablen auf dem Nubus für UCS System setzen, das Self Service Backend über die UCR-Variable self-service/backend-server definiert hat, da die Selbstservice-Registrierung Anfragen an das Self Service Backend weiterleitet.

umc/self-service/account-verification/email/webserver_address#

Definiert den host-Teil für den Link zur Verifizierung. Der Standardwert verwendet den vollständig qualifizierten Domänennamen des Self Service Backend, wie durch die UCR-Variable self-service/backend-server definiert.

Standardwert:

Vollständig qualifizierter Domänenname des Self Service Backend

Typ:

Zeichenkette

umc/self-service/account-verification/email/sender_address#

Definiert die Absenderadresse der E-Mail für die Verifizierung.

Standardwert:

Account Verification Service <noreply@FQDN>

Typ:

Zeichenkette

umc/self-service/account-verification/email/server#

Definiert den Servernamen oder die IP-Adresse des zu verwendenden Mail-Servers.

Standardwert:

localhost

Typ:

Zeichenkette

umc/self-service/account-verification/email/text_file#

Definiert den Pfad zu einer Textdatei, die der Self Service für den Textinhalt für die E-Mail zur Verifizierung verwendet. Der Text kann die folgenden Zeichenketten enthalten. Der Self Service ersetzt sie entsprechend.

{link}

URL zur Seite Self Service.

{token}

Die Token-Zeichenkette, die Benutzer auf der Seite Self Service eingeben können, um ihre E-Mailadresse zu verifizieren.

{tokenlink}

URL zur Seite Self Service, die bereits das {token} enthält.

{username}

Der Benutzername des Benutzerkontos.

Standardwert:

/usr/share/univention-self-service/email_bodies/verification_email_body.txt

Typ:

Zeichenkette

umc/self-service/account-verification/email/token_length#

Definiert die Anzahl der Zeichen, die der Self Service für den Token zur Verifizierung verwendet.

Standardwert:

64

Typ:

Ganze Zahl ohne Vorzeichen

6.1.3.3.3. Konto-Aktivierung#

Wenn der Benutzer auf den Verifizierungslink in der E-Mail klickt, zeigt der Webbrowser die Seite Konto-Verifizierung des Self Service. Für Informationen zum Verifizieren des registrierten Benutzerkontos siehe Kontobestätigung im Nubus Handbuch 1.x [4].

Dieser Abschnitt bietet Informationen zur Konfiguration der Konto-Verifizierung.

Wichtig

Sie müssen diese UCR-Variablen auf dem Nubus für UCS System setzen, das Self Service Backend über die UCR-Variable self-service/backend-server definiert hat, da die Selbstservice-Registrierung Anfragen an das Self Service Backend weiterleitet.

umc/self-service/account-verification/backend/enabled#

Aktiviert die Funktionalität Konto-Verifizierung im Self Service.

Standardwert:

false

Typ:

Boolesche Variable

Behandeln Sie die Anmeldung für Benutzerkonten mit nicht verifizierten E-Mail-Adressen

Sie können Single Sign-On so konfigurieren, dass selbst registrierte Benutzer zuerst ihre E-Mailadresse verifizieren müssen.

Verwenden Sie die UCR-Variable ucs/self/registration/check_email_verification.

Benachrichtigung für Benutzerkonten mit nicht verifizierten E-Mail-Adressen

Sie können die Benachrichtigung für Benutzer auf der Seite zum Single Sign-On für selbst registrierte Benutzerkonten mit nicht verifizierten E-Mailadressen konfigurieren. Verwenden Sie die folgenden UCR-Variablen:

Seit UCS 5.2 ist die App Keycloak der Standard-Identitätsanbieter. Für Informationen zu Einstellungen in Keycloak siehe Settings in Univention Keycloak app documentation [6].

6.1.3.4. Benutzer-Abmeldung#

Der Self Service ermöglicht es Benutzern, die Löschung ihres Benutzerkontos anzufordern.

6.1.3.4.1. Anfrage zur Abmeldung#

Wenn ein Benutzer die Löschung seines Kontos anfordert, löscht Nubus das Benutzerkonto nicht direkt, sondern deaktiviert es. Wenn der Benutzer eine PasswordRecoveryEmail definiert hat, benachrichtigt Nubus den Benutzer über E-Mail. Zusätzlich setzt Nubus die folgenden Attribute des Benutzerkontos:

Verwenden Sie die folgenden UCR-Variablen, um die Abmeldung des eigenen Kontos durch Benutzer zu konfigurieren.

umc/self-service/account-deregistration/enabled#

Aktiviert die Schaltfläche Mein Konto löschen auf der Seite Mein Profil des Self Service.

Standardwert:

nicht definiert

Typ:

Boolesche Variable

umc/self-service/account-deregistration/email/sender_address#

Definiert die Absenderadresse der E-Mail zur Benachrichtigung über eine Anfrage zur Löschung eines Benutzerkontos.

Standardwert:

Password Reset Service <noreply@FQDN>

Typ:

Zeichenkette

umc/self-service/account-deregistration/email/server#

Definiert den Servernamen als vollständig qualifizierten Domänennamen oder IP-Adresse des Mail-Servers zum Senden der E-Mail zur Benachrichtigung über eine Anfrage zur Löschung eines Benutzerkontos.

Standardwert:

nicht definiert

Typ:

Zeichenkette

umc/self-service/account-deregistration/email/text_file#

Definiert den Pfad zu einer Textdatei, die der Self Service für den Textinhalt der E-Mail zur Benachrichtigung verwendet. Der Text kann die folgenden Zeichenketten enthalten. Der Self Service ersetzt sie entsprechend.

{username}

Der Benutzername des Benutzerkontos.

Standardwert:

/usr/share/univention-self-service/email_bodies/deregistration_notification_email_body.txt

Typ:

Zeichenkette

6.1.3.4.2. Konto-Bereinigung#

Der Self Service bietet ein Skript unter /usr/share/univention-self-service/delete_deregistered_accounts.py, das Sie verwenden können, um alle users/user-Objekte zu löschen, bei denen das Attribut DeregisteredThroughSelfService auf TRUE gesetzt ist und deren Attribut DeregistrationTimestamp älter als eine angegebene Zeit ist.

Manuell abgemeldete Benutzerkonten löschen

Der Befehl in Listing 6.3 löscht Benutzerkonten, deren DeregistrationTimestamp älter als 5 Tage und 2 Stunden ist.

Listing 6.3 Beispiel zum Löschen abgemeldeter und deaktivierter Benutzerkonten#
$ /usr/share/univention-self-service/delete_deregistered_accounts.py \
  --timedelta-days 5 \
  --timedelta-hours 2
Skript-Argumente

Für die möglichen Argumente des Skripts siehe Listing 6.4.

Listing 6.4 Verfügbare Argumente für delete_deregistered_accounts.py#
$ /usr/share/univention-self-service/delete_deregistered_accounts.py --help
Geplante Löschung abgemeldeter Benutzerkonten

Sie können das Skript so planen, dass es regelmäßig läuft. Erstellen Sie einen Cron-Job über eine UCR-Variable, wie in Listing 6.5 gezeigt.

Listing 6.5 Planen Sie die Löschung abgemeldeter Benutzerkonten#
$ ucr set cron/delete_deregistered_accounts/command=\
/usr/share/univention-self-service/delete_deregistered_accounts.py\
' --timedelta-days 30'\
  cron/delete_deregistered_accounts/time='00 06 * * *'  # täglich um 06:00

Für weitere Informationen zum Einrichten von Cron-Jobs über UCR-Variablen siehe Definition eigener Cron-Jobs in Univention Configuration Registry.

Auf dieser Seite