Active Directory unter Verwendung von LDAP
Coupa kann mit jeweils einem LDAP integriert werden. Kunden mit mehreren LDAP-Systemen müssen eine virtuelle/Proxy-Ebene über mehreren LDAP-Systemen erstellen.
Einleitung
Coupa unterstützt die Verwendung eines externen LDAP- oder Microsoft ActiveDirectory-Servers für die Authentifizierung. Dies ermöglicht es Benutzern, sich mit denselben Anmeldeinformationen bei Coupa anzumelden, die ihnen Zugriff auf seine Intranetanwendungen gewähren.
Coupa kann mit jeweils einem LDAP integriert werden. Kunden mit mehreren LDAP-Systemen müssen eine virtuelle/Proxy-Ebene über mehreren LDAP-Systemen erstellen.
Vorteile
Die Integration Ihrer Coupa-Instanz in Ihren Directory Server bietet mehrere Vorteile, darunter:
- Benutzer müssen sich kein neues Kennwort für Coupa merken
- Kennwortänderungen werden sofort in Coupa angezeigt
- Kennwortrichtlinien durchsetzen, die in Ihrem Directory Server definiert sind
- Zentrale Kontoverwaltung über Ihren Directory Server
Implementierungsdetails
- Melden Sie sich beim Verzeichnisserver als das bereitgestellte Konto ohne Privilegien an.
- Führen Sie eine Suche für den Benutzer durch, der versucht, sich anzumelden:
- Coupa stimmt mit
sAMAccountNameden vom Benutzer bereitgestellten Anmeldeinformationen überein - Coupa stimmt mit
objectClassübereinorganizationalPerson
- Coupa stimmt mit
- Coupa bindet sich mit dem Distinguished Name des gefundenen Benutzers und dem vom Benutzer bereitgestellten Kennwort an den Verzeichnisserver.
- Lassen Sie den Benutzer in Coupa, wenn Schritt 3 erfolgreich war.
Erforderliche Informationen
| Info | Details | Bereitgestellt von |
|---|---|---|
| Coupa Server-IP-Adressen | Bestimmte Coupa-IPs, mit denen sich der Kunde verbinden wird. Verwenden Sie die IP-Adressen, um die Firewall-Regeln so restriktiv wie möglich zu halten. | Coupa |
| Host | Die Server-IP und der Hostname, mit denen die Verbindung hergestellt werden soll | Kunde |
| Port | Der Anschluss, mit dem die Verbindung hergestellt werden soll. Coupa verwendet LDAPS-Verbindungen, die üblicherweise über Port 636 laufen. Damit LDAPS ordnungsgemäß funktioniert, ist ein TLS-Zertifikat erforderlich. | Kunde |
| Basis | Die Basis-DN für die LDAP-Suche | Kunde |
| Domäne | Die Active Directory-Domäne | Kunde |
| Benutzername | Der Benutzername des Benutzers, bei dem der Benutzer sich anmelden soll, dieser Benutzer sollte außer zum Binden und Suchen keine Berechtigung haben | Kunde |
| Passwort |
Das Kennwort für den oben genannten Benutzer |
Kunde |
Einschränkungen
Unsere Erfahrung hat einige Einschränkungen aufgedeckt, die Ihr Unternehmen betreffen können oder nicht:
- Möglicherweise muss eine Firewall-Regel erstellt werden, damit der Coupa-Server eine Verbindung zum Directory Server herstellen kann, wenn sich dieser in einem durch die Firewall geschützten Intranet befindet
- Ein nicht privilegiertes Konto muss erstellt werden, damit der Coupa-Server an den Verzeichnisserver binden kann, um die Authentifizierung durchzuführen
- Anmeldeinformationen werden außerhalb des Intranets gesendet (obwohl alle Netzwerkkommunikationen mit Coupa durch eine hochwertige SSL-Verschlüsselung geschützt sind)
Ab Coupa R23 erzwingen wir die Zertifikatvalidierung für die LDAP-Serververbindung. Dies bedeutet, dass Sie keine IP-Adresse mehr verwenden können, um eine Verbindung über LDAP herzustellen. Aber Sie müssen einen gültigen FQDN verwenden (z. B. myldapserver.mydomain.com)
Dies bedeutet auch, dass das Zertifikat auf dem Computer, mit dem wir uns verbinden, mit dem Namen des Servers übereinstimmen sollte.
Validieren Sie dies mit Ihrer internen IT-Abteilung, und öffnen Sie bei Fragen ein Support-Ticket, bevor Sie ein Upgrade Ihrer Produktionsinstanz auf R23 vornehmen.
Bitte lesen Sie auch unseren FAQ-Artikelzu Single Sign-On (SSO) .
Parts or all of this page might have been machine-translated. We apologize for any inaccuracies.