Active Directory mit LDAP
Coupa kann mit jeweils einem LDAP integriert werden. Kunden mit mehreren LDAPs müssen eine virtuelle/Proxy-Schicht über mehreren LDAPs erstellen.
Einleitung
Coupa unterstützt die Verwendung eines externen LDAP- oder Microsoft ActiveDirectory-Servers zur Authentifizierung. Dies ermöglicht es Benutzern, sich mit den gleichen Anmeldeinformationen bei Coupa anzumelden, die ihnen den Zugriff auf seine Intranet-Anwendungen ermöglichen.
Coupa kann mit jeweils einem LDAP integriert werden. Kunden mit mehreren LDAPs müssen eine virtuelle/Proxy-Schicht über mehreren LDAPs erstellen.
Vorteile
Die Integration Ihrer Coupa-Instanz in Ihren Verzeichnisserver bietet mehrere Vorteile, darunter:
- Benutzer müssen sich kein neues Passwort für Coupa merken
- Passwortänderungen werden sofort in Coupa angezeigt
- Erzwingen Sie die in Ihrem Verzeichnisserver definierten Passwortrichtlinien
- Zentralisieren Sie die Kontosteuerung über Ihren Verzeichnisserver
Implementierungsdetails
- Melden Sie sich als das angegebene nicht privilegierte Konto beim Verzeichnisserver an.
- Führen Sie eine Suche nach dem Benutzer durch, der versucht, sich anzumelden:
- Coupa ordnet
sAMAccountNameden vom Benutzer angegebenen Anmeldeinformationen zu - Coupa vergleicht
objectClassmitorganizationalPerson
- Coupa ordnet
- Coupa bindet sich an den Verzeichnisserver unter Verwendung des Distinguished Name des Benutzers, den wir gefunden haben, und des vom Benutzer bereitgestellten Kennworts.
- Lassen Sie den Benutzer in Coupa, wenn Schritt 3 erfolgreich war.
Erforderliche Informationen
| Information | Details | Bereitgestellt von |
|---|---|---|
| IP-Adressen des Coupa-Servers | Bestimmte Coupa-IPs, mit denen der Kunde eine Verbindung herstellt. Verwenden Sie die IP-Adressen, um die Firewall-Regeln so restriktiv wie möglich zu halten. | Coupa |
| Host | Die Server-IP und der Hostname, mit dem eine Verbindung hergestellt werden soll | Kunde |
| Port | Der Port, mit dem eine Verbindung hergestellt werden soll. Coupa verwendet LDAPS-Verbindungen, die üblicherweise über Port 636 erfolgen. Ein TLS-Zertifikat ist erforderlich, damit LDAPS ordnungsgemäß funktioniert. | Kunde |
| Basis | Basis-DN für die Suche nach LDAP | Kunde |
| Domäne | Die Active Directory-Domäne | Kunde |
| Benutzername | Der Benutzername des Benutzers, mit dem er sich anmelden möchte, dieser Benutzer sollte außer zum Binden und Suchen keine Berechtigung haben | Kunde |
| Kennwort |
Das Passwort für den oben genannten Benutzer |
Kunde |
Einschränkungen
Unsere Erfahrung hat einige Einschränkungen aufgedeckt, die für Ihr Unternehmen ein Problem darstellen können oder auch nicht:
- Möglicherweise muss eine Firewall-Regel erstellt werden, damit der Coupa-Server eine Verbindung zum Verzeichnisserver herstellen kann, wenn sich dieser in einem Firewall-geschützten Intranet befindet
- Es muss ein nicht privilegiertes Konto erstellt werden, damit der Coupa-Server an den Verzeichnisserver gebunden ist, um die Authentifizierung durchzuführen
- Anmeldeinformationen werden außerhalb des Intranets gesendet (obwohl die gesamte Netzwerkkommunikation mit Coupa mit einer hochwertigen SSL-Verschlüsselung geschützt ist)
Ab Coupa R23 erzwingen wir die Zertifikatsvalidierung für die LDAP-Serververbindung. Dies bedeutet, dass Sie keine IP-Adresse mehr verwenden können, um sich über LDAP zu verbinden, aber Sie müssen einen gültigen FQDN verwenden (d. h. myldapserver.mydomain.com )
Dies bedeutet auch, dass das Zertifikat auf dem Computer, mit dem wir eine Verbindung herstellen, mit dem Namen des Servers übereinstimmen sollte.
Bitte bestätigen Sie dies mit Ihrer internen IT-Abteilung und öffnen Sie bei Fragen ein Support-Ticket, bevor Sie Ihre Produktionsinstanz auf R23 aktualisieren.
Bitte beachten Sie auch unseren FAQ-Artikel zum Single Sign-On (SSO).