4. Das ginlo Management Cockpit (B)

Hinweis

Dieses Kapitel richtet sich an Technische Administratoren.

IT-Administratoren können sich auf der ginlo Website über das ginlo Management Cockpit informieren.

Dazu können Sie ginlo Business zuächst für 30 Tage kostenlos ausprobieren, indem Sie einen der KOSTENLOS TESTEN Buttons betätigen; Sie gelangen zum Testformular.

Wollen Sie Lizenzen sofort erwerben, wählen Sie den Button MEHR ERFAHREN im Bereich Basislizenz auf den Unterseiten für Unternehmen, Praxen und Kanzleien bzw. Bildungseinrichtungen. Durch die Order wird automatisch ein Account für das ginlo Management Cockpit erzeugt.

In beiden Fällen sind neben Daten zum Unternehmen auch personenbezogene Daten wie Ihr Name, Ihre E-Mail-Adresse und Ihre Mobilrufnummer erforderlich.

Hinweis

Idealerweise verwenden Sie für den Cockpit-Admin-Account eine neutrale E-Mail-Adresse, die nicht direkt einer Person zugeordnet ist - z.B. ginlo_cockpit@IhreFirmenDomain.com

Auf Basis dieser Daten erhalten Sie per E-Mail ein persönliches Browser-Zertifikat sowie per SMS das entsprechende Zertifikat-Passwort zur 2-Faktor-Authentifizierung über getrennte Kanäle. Während Ihr Name und Ihre E-Mail-Adresse künftig der Kommunikation zwischen Ihnen und der ginlo.net GmbH dienen, wird Ihre Mobilrufnummer nach der Authentifizierung verschlüsselt und im Klartext nicht wieder herstellbar in unserem System abgelegt.

4.1. Zertifikat installieren

4.1.1. Was ist ein Browser-Zertifikat und wozu wird es benötigt?

Das ginlo Management Cockpit ist aus Sicherheitsgründen mit einem persönlichen Browser-Zertifikat gesichert. Mit diesem Zertifikat wird beispielsweise geprüft und sichergestellt, ob bzw. dass es sich bei Ihrer Anmeldung im ginlo Management Cockpit auch wirklich um die richtige Website handelt.

4.1.2. Browser-Zertifikat aus der Willkommens-E-Mail speichern

Nach der Registrierung Ihres Unternehmens erhalten Sie eine E-Mail mit Ihrem persönlichen Browser-Zertifikat im Anhang. Laden Sie sich das angehängte Zertifikat herunter und speichern Sie es lokal in einem Ordner Ihrer Wahl.

4.1.3. Browser-Zertifikat für das ginlo Management Cockpit installieren

Die Installation des Zertifikats hängt von Ihrem Betriebssystem (Windows oder macOS) und Ihrem verwendeten Webbrowser ab. Das hört sich komplizierter an als es ist. Wir zeigen Ihnen, wie die Installation in den gängigen Webbrowsern unter Windows und macOS funktioniert.

Wichtig

Verwenden Sie stets die aktuellste Version Ihres Webbrowsers.

Sollten Sie bereits - z.B. zu Testzwecken - in der Vergangenheit ein Zertifikat installiert haben, müssen diese Einträge komplett aus dem Downloadordner und Ihrem Brwoser gelöscht werden. Leeren Sie dazu auch den Cache Ihres Browsers, schließen und starten Sie diese Anwendung neu!

4.1.3.1. Windows | Google Chrome und Microsoft Edge

  1. Öffnen Sie unsere E-Mail mit dem Betreff Ihr persönliches Browser-Zertifikat. Im Anhang befindet sich die Datei zertifikat.p12.

  2. Doppelklicken Sie auf diese Zertifikatsdatei - ein Pop-up Fenster öffnet sich.

  3. Wählen Sie Datei speichern und bestätigen Sie mit OK.

  4. Wählen Sie nun im sich öffnenden Fenster einen geeigneten Ort zum Speichern, z.B. den Ordner Downloads. Merken Sie sich diesen Ort. Optional können Sie unter Dateiname die Datei umbenennen, z.B. in Zertifikat_ginlo_Cockpit. Bestätigen Sie mit Speichern.

  5. Klicken Sie auf Durchsuchen, und wählen Sie die Zertifikatsdatei aus. Klicken Sie dann auf Weiter.

  6. Geben Sie das Zertifikats-Passwort in das Feld Kennwort ein. Das Passwort haben wir Ihnen per SMS zugeschickt. Klicken Sie danach auf Weiter.

  7. Verwenden Sie die Voreinstellung Zertifikatspeicher automatisch auswählen und klicken Sie auf Weiter.

  8. Klicken Sie auf Fertigstellen, um das Zertifikat zu importieren.

  9. Bestätigen Sie die Meldung Der Importvorgang war erfolgreich mit OK.

Ihr Browser-Zertifikat ist jetzt im Zertifikatspeicher von Google Chrome bzw. Microsoft Edge gespeichert. Weiter geht’s für Sie mit Im ginlo Management Cockpit registrieren.

4.1.3.2. Windows | Mozilla Firefox

  1. Öffnen Sie Firefox und klicken Sie oben rechts auf das Hamburger-Menü.

  2. Wählen Sie Einstellungen -> Datenschutz & Sicherheit und scrollen Sie auf dieser Seite nach unten bis Sie den Abschnitt Zertifikate sehen.

  3. Klicken Sie hier auf Zertifikate anzeigen.

  4. Klicken Sie im Fenster Zertifikatverwaltung auf Importieren, und wählen Sie Ihre zuvor gespeicherte Zertifikatsdatei aus.

  5. Geben Sie das Zertifikats-Passwort (PIN) ein, das wir Ihnen per SMS zugeschickt haben, und bestätigen Sie mit OK.

Ihr Browser-Zertifikat ist jetzt im Zertifikatspeicher von Mozilla Firefox gespeichert. Weiter geht’s für Sie mit Im ginlo Management Cockpit registrieren.

4.1.3.3. macOS | Safari, Google Chrome und Microsoft Edge

  1. Doppelklicken Sie auf das Zertifikat in Ihrer Willkommens-E-Mail.

  2. Geben Sie das Zertifikats-Passwort in das Feld Passwort ein. Das Passwort (PIN) haben wir Ihnen per SMS zugeschickt. Klicken Sie danach auf OK.

  3. Die Passwortverwaltung Schlüsselbunde wird geöffnet. Doppelklicken Sie hier auf das Browser-Zertifikat für das ginlo Management Cockpit.

  4. Öffnen Sie die Drop-down-Liste Vertrauen und ändern Sie den Status von Bei Verwendung dieses Zertifikats auf Immer vertrauen!

Ihr Browser-Zertifikat ist jetzt im Zertifikatspeicher von Safari bzw. Google Chrome oder Microsoft Edge gespeichert. Weiter geht’s für Sie mit Im ginlo Management Cockpit registrieren.

4.1.3.4. macOS | Mozilla Firefox

Die Installation des Browser-Zertifikats in Mozilla Firefox unter macOS ist identisch mit der Installation unter macOS | Safari, Google Chrome und Microsoft Edge (siehe Schritte 1 bis 4 im vorherigen Abschnitt).

Zusätzlich sind in Mozilla Firefox noch die fünf Schritte wie in Windows | Mozilla Firefox beschrieben auszuführen.

4.1.4. Im ginlo Management Cockpit registrieren

Nach der Installation Ihres Browser-Zertifikats melden Sie sich erstmals über Ihren persönlichen Zugangslink aus der Willkommens-E-Mail im ginlo Management Cockpit an.

  1. Öffnen Sie den Link aus Ihrer Willkommens-E-Mail in dem Webbrowser, in dem Sie das Browser-Zertifikat installiert haben, z. B. Google Chrome.

  2. Wählen Sie das zuvor gespeicherte Browser-Zertifikat für das ginlo Management Cockpit aus und bestätigen Sie mit OK.

  3. Vergeben Sie jetzt selbst Ihr persönliches Login-Passwort für das ginlo Management Cockpit. Das Passwort muss aus mindestens 8 Zeichen bestehen. Es muss Klein- und Großbuchstaben und mindestens eine Ziffer oder ein Sonderzeichen enthalten. Speichern Sie Ihr Passwort und merken Sie es sich gut!

Wichtig

Nach dem ersten Login erhalten Sie automatisch per E-Mail einen Recovery Code.

Bewahren Sie diesen sicher und geschützt auf. Er ist bei Verlust des regulären Passworts die einzige Möglichkeit zur Wiederherstellung des Administrator-Accounts!

Nach der Registrierung ist das ginlo Management Cockpit über die URL https://cockpit.ginlo.net aufrufbar.

4.1.5. Sie haben noch Fragen?

Sollten Sie weitere Hilfe benötigen, antworten Sie bitte einfach auf die Willkommens-E-Mail. Mit Ihrer Registrierung haben wir automatisch ein Support-Ticket für Sie eröffnet, um Ihnen bei Fragen schnell unterstützen zu können.

4.2. Cockpit einrichten

Dieser Teil der Dokumentation gibt einen Überblick über das ginlo Management Cockpit, wie man die App konfigurieren, den Rollout von ginlo Business für die Mitarbeiter des Unternehmens ideal vorbereiten und den Einsatz des Messengers effektiv steuern kann.

Das ginlo Management Cockpit erlaubt die Konfiguration der ginlo Business App entsprechend Ihrer Compliance-Anforderungen und eine intuitiv einfache Nutzer- und Lizenzverwaltung.

Über ein Web-Interface kann ein IT- Administrator die App im Unternehmen verteilen und zentral steuern. Neben App-Funktionen lassen sich dabei z.B. das Design anpassen und Nachrichten versenden.

Das innovative ginlo Management Cockpit verfügt u. a. über folgende Funktionen:

4.2.1. Startseite

Loggen Sie sich zuerst mit Ihrer E-Mail-Adresse und dem zuvor generierten Passwort in Ihr ginlo Management Cockpit ein. Rufen Sie dazu die Seite https://cockpit.ginlo.net auf.

../_images/00.de.png

Oben rechts kann die bevorzugte Sprache (DE für Deutsch und EN für Englisch) eingestellt werden. Rechts daneben befindet sich Buttons zu den Einstellungen und zum Logout.

Im Mittelbereich können Sie gezielt bestimmte Teilbereiche anwählen, über das linke Seitenmenü gelangen Sie zu den Untermenüs der App- und Nutzerverwaltung.

../_images/001.de.png

4.2.2. Einstellungen

In den Einstellungen oben rechts werden notwendige Informationen zum Unternehmen, administrative Angaben sowie die Nutzerverarbeitung für größere Unternehmen verwaltet. Außerdem erhalten Sie einen Überblick über Ihre gekauften Lizenzen.

4.2.2.1. Unternehmensinformationen

Tragen Sie den Namen und die Postanschrift Ihres Unternehmens ein und vervollständigen Sie die angegebenen Felder. Optional können Sie ein Firmenbild hochladen. Zur Kommunikation stehen zwei Möglichkeiten der Sprachauswahl zur Verfügung: Deutsch oder Englisch.

Ihre Unternehmensangaben werden später von uns zur Rechnungserstellung benötigt.

Bestätigen Sie Ihre Eingaben mit einem Klick auf den grünen Button Speichern unten rechts.

4.2.2.2. Administrator

Geben Sie Ihren Namen und Ihren Vornamen ein. Zusätzlich können Sie hier Ihr Zugangspasswort zu Ihrem ginlo Management Cockpit verwalten. Ihre E-Mail-Adresse und Ihre Handynummer wurden aus Ihrer Bestellung übernommen.

Ihre personenbezogenen Daten dienen zur Kontaktaufnahme durch unsere Supportabteilung.

Bestätigen Sie alle Angaben bzw. Änderungen mit einem Klick auf den grünen Button Speichern unten rechts.

4.2.2.3. Stellvertreter

Das ginlo Management Cockpit eines Unternehmens kann von mehreren Personen (Administratoren) verwaltet werden. Der zuerst angelegte Administrator des ginlo Management Cockpits kann hierzu Stellvertreter anlegen.

../_images/30.de.png

Klicken Sie dazu auf Stellvertreter bearbeiten und danach auf den grünen Button Neuen Stellvertreter anlegen unten rechts. Dazu müssen der Name, Vorname, E-Mail-Adresse und die Mobilnummer des stellvertretenden Kollegen hinterlegt werden.

Auch diese Daten werden lediglich zur Kontaktaufnahme verwendet.

Bemerkung

  • Die angegebene E-Mail-Adresse muss E-Mails mit Anlagen empfangen können (Zertifikat für die Anmeldung am ginlo Management Cockpit als P12-Datei).

  • Die Mobilrufnummer muss SMS (Zertifikat-Passwort) empfangen können.

Nach der Installation des Zertifikats kann der Stellvertreter ebenfalls auf das ginlo Management Cockpit zugreifen und Nutzer, Gruppen und Kanäle anlegen, bearbeiten und löschen.

Hinweis

Ein Stellvertreter kann keine weiteren Stellvertreter anlegen.

Es ist keine Obergrenze für die Anzahl der Stellvertreter definiert. Aus praktischen Gründen empfehlen wir, nicht mehr als 3 Stellvertreter zu benennen. In der Übersicht der Stellvertreter-Liste können Sie das Datum und die Uhrzeit der Aktivierung und der letzten Anmeldung nachvollziehen.

Ein aktiver Stellvertreter kann in der Detailansicht durch den Administrator des ginlo Management Cockpits auch deaktiviert oder gelöscht werden. Klicken Sie dazu auf Stellvertreter bearbeiten und danach in die entsprechende Zeile in der Übersicht. Oben rechts erscheinen der Löschbutton und ein gelber Button zum Deaktivieren.

Bei einer Deaktivierung wird der Zugang zum ginlo Management Cockpit gesperrt, die Benutzerdaten bleiben aber erhalten. Der Nutzer kann jederzeit wieder als Stellvertreter aktiviert werden.

Bei einer Löschung wird der Stellvertreter dagegen vom System gelöscht und entsprechend markiert. Soll er später noch einmal zum Stellvertreter ernannt werden, muss der Datensatz neu angelegt und der Prozess nochmals durchlaufen werden.

4.2.2.4. LDAP-Daten

Neben der manuellen Nutzeranlage und dem vereinfachten Importverfahren per CSV zur einmaligen Nutzeranlage bietet ginlo auch die Möglichkeit, Daten über automatisierte Prozesse in das ginlo Management Cockpit zu importieren, z. B. aus einem LDAP-Verzeichnis. Im Gegensatz zum vereinfachten Verfahren werden bei der LDAP-Aktualisierung die Nutzer automatisch angelegt, geändert oder auch gelöscht.

Weiterhin können Nutzer auf diesem Wege Gruppen und Kanälen automatisiert zugeordnet werden. Existieren die jeweiligen Gruppen oder Kanäle noch nicht, werden diese ebenfalls im Zuge des Imports angelegt.

Neben einem LDAP-Verzeichnis kann auch jedes andere System als Quellsystem verwendet werden, wenn die bereitgestellten Nutzerdaten der definierten Datenstruktur entsprechen. In den beiden folgenden Abschnitten finden Sie detaillierte Anleitungen für den zweistufigen Prozess bestehend aus LDAP-Import und -Export.

Für eine kontinuierliche LDAP-Synchronisation steht eine REST-API zur Verfügung. Beim automatisierten Anlegen von Mitarbeitern werden den Nutzern auch Lizenzen, Gruppen, Kanäle und Schlagworte zugewiesen. Existieren die Zuordnungseinheiten noch nicht im System, werden sie direkt über die Schnittstelle angelegt.

Durch die Vielzahl an abgedeckten Funktionen ist eine einfachere, individualisierte Anbindung eines Nutzerverzeichnisdienstes an das ginlo Management Cockpit (z. B. LDAP, AD) möglich, was die Verwaltung der eigenen Mitarbeiterstruktur vereinfacht. Gleichzeitig kann aus der eigenen Infrastruktur das Intervall zur Aktualisierung der Daten gesteuert werden.

Um eine erfolgreiche Authentifizierung gegen die Schnittstelle zu erzielen, ist es notwendig, die Funktion LDAP Synchronisation per API zu aktivieren.

../_images/26.de.png

Anschließend wird ein Zertifikat generiert und dem angemeldeten Administrator per E-Mail sowie das Zertifikat-Passwort per SMS zugesandt. Als zweiter Authentifizierungskanal dient eine Basic-Authentifizierung. Alle relevanten Zugangsdaten können über den Menüpunkt Einstellungen erreicht werden.

Die folgende Abbildung zeigt eine Übersicht über alle relevanten Daten:

../_images/27.de.png
  • Nutzername: erster Bestandteil der Basic-Authentifizierung

  • Passwort: zweiter Bestandteil der Basic-Authentifizierung

  • Fingerabdruck Nutzerzertifikat: Fingerabdruck des öffentlichen Zertifikats zur Validierung der Echtheit des zugesandten Zertifikats

  • Gültig bis: Enddatum der Gültigkeit des Zertifikats

  • Monitoring URL: Abfrage der Status der letzten 10 Importe, wofür keine Authentifizierung notwendig ist.

Durch Betätigen des Buttons Bearbeiten können Sie

  • ein neues Passwort generierten;

  • ein neues Zertifikat senden;

  • eine neue URL generieren;

Über die beiden Schließen-Buttons gelangen Sie zurück zu den ginlo Management Cockpit-Einstellungen.

4.2.2.4.1. LDAP Import

Die Anlage von LDAP-Daten ist ein zweistufiger Prozess bestehend aus LDAP-Import und Cockpit-Export. Diese Anleitung betrachtet den LDAP-Import.

Details zum LDAP-Export finden Sie im Abschnitt Schnittstellenbeschreibung.

  1. Klicken Sie im Reiter Nutzer oben rechts auf Importvorlage.

    ../_images/LDAP_31.png
  2. Wählen Sie Erweitertes CSV und befüllen Sie dies wie im Abschnitt Schnittstellen beschrieben.

    ../_images/LDAP_32.png
  3. Importieren Sie das befüllte CSV – die Daten werden zunächst geprüft und anschließend für den Import vorbereitet.

    ../_images/LDAP_33.png
  4. In der Vorabprüfung können Sie für Hinweise, Warnungen und Fehler den Prüfbericht exportieren oder den Import fortsetzen.

    ../_images/LDAP_34.png
  5. Der Importvorgang kann je nach Datengröße einen Moment dauern. Der Fortschrittsbalken zeigt dabei auch die verbleibende Restdauer.

    ../_images/LDAP_35.png
  6. Sobald alle Änderungen übernommen wurden, können Sie auch einen detaillierten Importbericht exportieren oder den Vorgang schließen.

    ../_images/LDAP_36.png
4.2.2.4.2. LDAP-Schnittstellenbeschreibung

— In Bearbeitung —

INHALTSVERZEICHNIS

I Einleitung

II CSV-Datenstruktur

1 Feldbeschreibung

2 Fehlerübersicht

3 CSV-Beispiele

III LDAP-Adapter

1 Überblick

2 Rahmenbedingungen

3 Verwendung

4 Statische Struktur

4.1 Paketstruktur

4.2 Klassenstruktur

5 Dynamische Struktur

6 Konfiguration

6.1 Anwendungskonfiguration

6.2 Mapping LDAP-Attribute

IV LDAP-Importer

1 Voraussetzungen

2 Cockpit REST-Client – Beispielimplementierung

2.1 Abhängigkeiten (Packages)

2.2 Verwendung eines Proxys

2.3 Überprüfung der Verbindung

2.4 Verwendung des Client-Zertifikats

2.5 Verwendung der Basic-Authentifizierung

2.6 Auslesen einer Importdatei

2.7 Beispieldurchführung eines Imports

2.8 Speichern des Ergebnisprotokolls

2.9 Speichern der Importübersicht

2.10 Automatisierungsmöglichkeit des LDAP-Importers

I Einleitung

Die vorliegende Schnittstellenbeschreibung richtet sich an Entwickler, um sie in die Lage zu versetzen, Nutzerdaten für ginlo Business automatisiert zur Verfügung zu stellen.

ginlo Business stellt hierfür eine CSV-basierte Schnittstelle zum Import von Nutzerdaten zur Verfügung.

Die Schnittstelle ermöglicht, Nutzer automatisiert anzulegen, zu ändern und zu löschen.

Weiterhin können Nutzer auf diesem Wege ginlo Gruppen und ginlo Kanälen zugeordnet werden.

Existieren die jeweiligen Gruppen oder Kanäle noch nicht, werden diese ebenfalls im Zuge des Imports angelegt.

In diesem Dokument wird das Format der CSV-Datenstruktur und der dazugehörigen Constraints beschrieben. Sie ist die Grundlage zur Realisierung eines Export-Adapters von Nutzerdaten.

Außerdem gibt es eine beispielhafte Implementierung eines LDAP-Adapters zum Export von Nutzerdaten aus OpenLDAP bzw. Microsoft AD LDS. Die beispielhafte Implementierung kann als Grundlage zur Realisierung eines LDAP-Adapters verwendet werden.

Unabhängig von LDAP-basierten Systemen kann auch jedes andere System als Quellsystem verwendet werden, wenn die bereitgestellten Nutzerdaten der hier definierten CSV-Datenstruktur entsprechen.

Zusätzlich behandelt dieses Dokument die Beschreibung eines automatischen LDAP-Imports. Mittels einer REST-Schnittstelle können die Daten des LDAP-Adapters in das ginlo Management Cockpit aufgenommen werden.

Eine explizite Beschreibung der Schnittstelle wird mit Hilfe einer sogenannten Swagger-Datei realisiert. Diese Beschreibung ermöglicht es, einen Client automatisch zu generieren und für seine Bedürfnisse anzupassen.

Im Weiteren finden sich die folgenden Informationen:

  • Im Kapitel II befindet sich die detaillierte Beschreibung der CSV-Datenstruktur. Sie ist für die Entwicklung eines Export-Adapters relevant.

  • Im Kapitel III.6.1 wird beschrieben, wie der LDAP-Server für den Adapter zu konfigurieren ist.

  • Im Kapitel III.6.2 wird das Mapping von LDAP-Feldern auf die Datenstruktur von ginlo Nutzer definiert.

  • Kapitel IV beschreibt technisch die REST-Schnittstelle für den Import von LDAP-Daten und zeigt an einer beispielhaften Implementierung, wie diese zu verwenden ist.

Dieser Abschnitt zeigt den Aufbau der Gesamtstruktur und stellt das Zusammenspiel der einzelnen Komponenten dar.

Der LDAP-Adapter wurde dazu entwickelt, Daten aus einem Microsoft Active Directory auszulesen und im CSV-Format bereitzustellen.

Die explizite Struktur des Formats ist in Kapitel II beschrieben.

Die durch den LDAP-Adapter erzeugte Datei bietet die Grundlage für den LDAP-Importer, welcher über die durch ginlo bereitgestellte REST-Schnittstelle mit dem Service des ginlo Management Cockpits kommunizieren und Nutzer, Gruppen, Kanäle und Keywords anlegen und aktualisieren kann sowie Zuordnungen dieser zu den Nutzern realisieren kann.

Das Ergebnis dieses Zusammenspiels stellt die direkte Abbildung des Inhalts des Active Directories im ginlo Management Cockpit dar. Die nachfolgende Darstellung zeigt den Prozess visuell auf.

../_images/LDAP_37.png

II CSV-Datenstruktur

Für den Import von Nutzern in das ginlo Management Cockpit muss eine CSV-Datei mit den Nutzerinformationen erstellt werden.

Dazu muss die CSV-Datei UTF8-kodiert sein und dem folgenden Format entsprechen:

"ACTION";"CREATED";"MODIFIED";"USER_ID";"DEPARTMENT";"PHONE";"EMAIL";"LAST_NAME";"FIRST_NAME"; "KEYWORDS";"CHANNELS";"GROUPS"

"INSERT";"2018-02-27T03:58:21";"2018-02-27T03:58:21";"BA9170A1341038489BED9BE23C0E11F4";"IT"; "+4991634000002";"max.mustermann-002@myldap.localhost";"Max Mustermann-002";"Max";"myldap GmbH, Verwaltung, IT";"myldap company channel, myldap it channel, myldap employee channel"; "myldap it group"

In der ersten Zeile der CSV-Datei müssen die obigen Feldbezeichnungen vollständig vorhanden und ausschließlich mit Semikolon (ohne zusätzliche Whitespaces) getrennt sein.

Außerdem müssen die Feldbezeichnungen in Anführungszeichen gesetzt sein.

Jede nachfolgende Zeile muss die Daten eines Nutzers enthalten. Auch die Nutzerdaten müssen in Anführungszeichen gesetzt und ausschließlich durch Semikolon (ohne zusätzliche Whitespaces) getrennt sein.

Für den Zeilenumbruch ist ein Linefeed (n) zu verwenden.

Bemerkung

In Textfeldern dürfen die folgenden Zeichen nicht verwendet werden:

; “ < > { } &

Leere Zeilen werden beim Import ignoriert.

Die verwendeten Felder innerhalb der CSV-Datenstruktur sind in der untenstehenden Tabelle im Überblick dargestellt.

Im nachfolgenden Kapitel werden die Felder und deren Constraints detailliert beschrieben.

Attribut

Beschreibung

ACTION

Beschreibt, ob es sich um eine Neuanlage, Modifikation oder Löschung handelt

Gültige Werte sind: INSERT, UPDATE, DELETE

CREATED

Datum der Nutzeranlage im LDAP-Provider

Format: <YYYY>-<MM>-<DD>T<HH>:<MM>:<SS>

MODIFIED

Datum der letzten Modifikation des Nutzers im LDAP-Provider

Format: <YYYY>-<MM>-<DD>T<HH>:<MM>:<SS>

USER_ID

ID des Nutzers im LDAP-Provider.

Das Format ist durch den jeweiligen LDAP-Provider definiert.

DEPARTMENT

Abteilung des Nutzers

PHONE

Telefonnummer des Nutzers

EMAIL

Mailadresse des Nutzers

LAST_NAME

Nachname des Nutzers

FIRST_NAME

Vorname des Nutzers

KEYWORDS

Für den Nutzer im LDAP-Provider hinterlegte ginlo Stichwörter

Format: kommaseparierte Liste

CHANNELS

Für den Nutzer im LDAP-Provider hinterlegte Kanäle

Format: kommaseparierte Liste

GROUPS

Für den Nutzer im LDAP-Provider hinterlegte Gruppen

Format: kommaseparierte Liste

Tabelle 1: CSV-Datenstruktur

1 Feldbeschreibung

  1. ACTION

    definiert, ob ein Nutzer angelegt, geändert oder gelöscht werden soll. Zulässige Werte sind INSERT, UPDATE und DELETE. Im Falle, dass ein Nutzer mit der Aktion

    • INSERT angelegt werden soll und bereits existiert, wird die Aktion als UPDATE interpretiert;

    • UPDATE angelegt werden soll und noch nicht existiert, wird die Aktion als INSERT interpretiert. Sind die zu aktualisierenden Daten identisch mit den Einträgen in der Importdatei wird die Aktion ignoriert und protokolliert.

    • DELETE gelöscht werden soll und nicht existiert, wird die Aktion ignoriert und protokolliert;

    Ein leerer Wert ist nicht zulässig. INSERT und UPDATE verhalten sich inhaltlich gleich. Lediglich die Meldung im erzeugten Report unterscheidet sich, je nachdem, ob der Datensatz vor dem Import vorhanden war oder nicht.

    Dieses Verhalten kann genutzt werden, um anhand der Protokolldatei einen Sanity Check durchzuführen.

  2. CREATED

    definiert den Anlagezeitpunkt des Nutzers im Quellsystem. Der Zeitstempel muss dem Format

    <YYYY>-<MM>-<DD>T<HH>-<MM>-<SS>

    entsprechen.

    Aktuell wird das Feld im Importprozess ignoriert. Ein leerer Wert ist zulässig.

  3. MODIFIED

    definiert den Änderungszeitpunkt des Nutzers im Quellsystem. Der Zeitstempel muss dem Format

    <YYYY>-<MM>-<DD>T<HH>-<MM>-<SS>

    entsprechen.

    Aktuell wird das Feld im Importprozess ignoriert. Ein leerer Wert ist zulässig.

  4. USER_ID

    ist die ID des Nutzers im Quellsystem. Die USER_ID wird als externe ID beim ginlo Nutzer gespeichert.

    Der Inhalt des Feldes muss eindeutig und darf nicht mehreren Nutzern zugeordnet sein. Wird eine Mehrdeutigkeit identifiziert, werden die Daten des Nutzers nicht verarbeitet.

    Die maximale Länge der USER_ID beträgt 100 Zeichen. Zulässig sind alle druckbaren ASCII-Zeichen. Ausgenommen sind die Zeichen < und >.

  5. DEPARTMENT

    definiert die Organisationseinheit, dem der Nutzer im Quellsystem zugeordnet ist. Die Organisationseinheit wird beim ginlo Nutzer als Abteilung hinterlegt. Ein leerer Wert ist zulässig.

  6. PHONE

    definiert die Mobilfunknummer des Nutzers. Die Mobilfunknummer muss einem der beiden folgenden Formate entsprechen:

    • +<Ländervorwahl><Nationale Vorwahl><Anschlusskennung>

    • <Nationale Vorwahl><Anschlusskennung>

    Das erste entspricht dabei dem E.164-Standard. Es muss eine gültige Mobilfunknummer übergeben werden, die maximal 15 Zeichen umfassen darf.

    Die Mobilfunknummer wird mit dem ginlo Nutzer gespeichert. Wurde keine Ländervorwahl angegeben, so wird die Vorwahl +49 angenommen. Ein leerer Wert ist zulässig.

    Der Inhalt des nicht-leeren Feldes muss eindeutig und darf nicht mehreren Nutzern zugeordnet sein. Wird eine Mehrdeutigkeit identifiziert, werden die Daten des Nutzers nicht verarbeitet.

  7. EMAIL

    muss eine gültige E-Mail-Adresse sein. Die E-Mail-Adresse wird mit dem ginlo Nutzer gespeichert. Ein leerer Wert ist zulässig.

    Der Inhalt des nicht-leeren Feldes muss eindeutig und darf nicht mehreren Nutzern zugeordnet sein. Wird eine Mehrdeutigkeit identifiziert, werden die Daten des Nutzers nicht verarbeitet.

  8. LAST_NAME

    definiert den Nachnamen des Nutzers und darf maximal eine Länge von 30 Zeichen aufweisen. Der Nachname wird dem ginlo Nutzer hinzugefügt.

    Zulässig sind alle druckbaren ASCII-Zeichen. Ausgenommen sind die Zeichen < und > und ein leerer String.

  9. FIRST_NAME

    Definiert den Vornamen des Nutzers und darf maximal eine Länge von 30 Zeichen aufweisen. Der Vorname wird dem ginlo Nutzer hinzugefügt.

    Zulässig sind alle druckbaren ASCII-Zeichen. Ausgenommen sind die Zeichen < und > und ein leerer String.

  10. KEYWORDS

    Im Feld KEYWORDS werden ginlo spezifische Schlagworte gespeichert, die der Organisation der Nutzer im ginlo Management Cockpit dienen.

    Die Schlagworte müssen im Feld als kommaseparierte Liste vorliegen.

    Der Feldinhalt darf maximal eine Länge von 100 Zeichen aufweisen. Die Schlagworte werden dem ginlo Nutzer hinzugefügt.

    Zulässig sind alle druckbaren ASCII-Zeichen. Ausgenommen sind die Zeichen < und > und ein leerer String.

  11. CHANNELS

    Im Feld CHANNELS werden ginlo spezifische Kanäle gespeichert, denen der Nutzer beim Import automatisch zugeordnet wird.

    Existiert ein Kanal zum Importzeitpunkt nicht, wird der Kanal automatisch angelegt.

    Ist ein dem Nutzer zugeordneter Kanal im Feld nicht länger enthalten, wird die Zuordnung des Nutzers zum Kanal im Kontext des Imports gelöscht.

    Die Kanäle müssen im Feld als kommaseparierte Liste vorliegen.

    Der Feldinhalt darf maximal eine Länge von 100 Zeichen aufweisen. Die Kanäle werden dem ginlo Nutzer hinzugefügt. Ein leerer Wert ist zulässig.

  12. GROUPS

    Im Feld GROUPS werden ginlo spezifische Gruppen gespeichert, denen der Nutzer beim Import automatisch zugeordnet wird.

    Existiert eine Gruppe zum Importzeitpunkt nicht, wird die Gruppe automatisch angelegt.

    Ist eine dem Nutzer zugeordnete Gruppe im Feld nicht länger enthalten, wird die Zuordnung des Nutzers zur Gruppe im Kontext des Imports gelöscht.

    Die Gruppen müssen im Feld als kommaseparierte Liste vorliegen.

    Der Feldinhalt darf maximal eine Länge von 100 Zeichen aufweisen. Die Gruppen werden dem ginlo Nutzer hinzugefügt. Ein leerer Wert ist zulässig.

2 Fehlerübersicht

Beim Import können eine Reihe von verschiedenen Fehlern auftreten. Je nach Schwere des Fehlers werden diese in die Fehlerkategorie INFO, WARNING, ERROR und FATAL_ERROR zugeordnet.

Fehlerkategorie

Beschreibung

INFO

Es ist kein tatsächlicher Fehler aufgetreten;

Es handelt sich nur um eine Information für den Administrator.

WARNING

Es ist ein automatisch behebbarer Fehler auf Datensatzebene aufgetreten.

ERROR

Es ist ein nicht automatisch behebbarer Fehler aufgetreten.

Der Datensatz wird übersprungen, der Import geht weiter.

FATAL_ERROR

Es ist ein nicht automatisch behebbarer Fehler aufgetreten.

Der Import wird abgebrochen.

Tabelle 2: Fehlerkategorien

Folgende Klassifizierung der Fehler ist umzusetzen:

ID

Fehler

Kategorie

Regeln zur automatischen Fehlerbehebung bei WARNING

IMP-1

Importdatei zu groß (max. 10 MB)

FATAL_ERROR

IMP-2

Leere Zeile

ERROR

IMP-3

Fehlendes Pflichtfeld ACTION

ERROR

IMP-4

Fehlendes Pflichtfeld USER_ID

ERROR

IMP-5

Fehlendes Pflichtfeld LAST_NAME

ERROR

IMP-6

Fehlendes Pflichtfeld FIRST_NAME

ERROR

IMP-7

Doppelte USER_ID im Import

ERROR

Hinweis: Nur der erste Import zählt,

jedes weitere Vorkommen wäre dann ein ERROR.

IMP-8

Telefonnummer bereits benutzt

INFO

Keine Sonderbehandlung, sondern bestehendes Verfahren

bei einer Registrierung mit einer bereits vorhandenen Tel.-Nr.

(Kanal aktivieren etc.)

IMP-9

E-Mail-Adresse schon benutzt

INFO

Analog zu IMP-8 - nur mit Mail

IMP-10

Freemailer – E-Mail-Adresse

ERROR

IMP-11

Längenprüfung für LAST_NAME fehlgeschlagen

WARNING

Abschneiden auf erlaubte Länge

IMP-12

Längenprüfung für FIRST_NAME fehlgeschlagen

WARNING

Abschneiden auf erlaubte Länge

IMP-13

Längenprüfung für USER_ID fehlgeschlagen

ERROR

IMP-14

Längenprüfung für KEYWORDS fehlgeschlagen

WARNING

Abschneiden auf erlaubte Länge

IMP-15

Längenprüfung für GROUPS fehlgeschlagen

WARNING

Abschneiden auf erlaubte Länge

IMP-16

Längenprüfung für CHANNELS fehlgeschlagen

WARNING

Abschneiden auf erlaubte Länge

IMP-17

Syntaktisch ungültige E-Mail-Adresse

ERROR

IMP-18

Syntaktisch ungültige Telefonnummer

ERROR

IMP-19

Fehlende E-Mail-Adresse + Telefonnummer

(keiner der beiden Werte ist gesetzt)

ERROR

IMP-20

Fehlerhaftes Datumsformat CREATED

WARNING

Feld wird ignoriert

IMP-21

Fehlerhaftes Datumsformat MODIFIED

WARNING

Feld wird ignoriert

IMP-22

Keine Lizenz zum Zuordnen vorhanden

WARNING

Dem Nutzer wird keine Lizenz zugewiesen

IMP-23

Kommunikation mit ginlo fehlgeschlagen

FATAL_ERROR

IMP-24

Fehlerhafte ACTION Insert

WARNING

Insert wird zu Update geändert

IMP-25

Fehlerhafte ACTION Update

WARNING

Update wird zu Insert geändert

IMP-26

Fehlerhafte ACTION Delete

ERROR

IMP-27

Ungültige Zeichen in LAST_NAME, FIRST_NAME, USER_ID

ERROR

IMP-28

Ungültige Zeichen in FIRST_NAME

ERROR

IMP-29

Ungültige Zeichen in USERID

ERROR

IMP-30

Falsches Format Importdatei

(bspw. falsche Anzahl Spalten)

FATAL_ERROR

IMP-31

Telefonnummer doppelt in der Importdatei

ERROR

IMP-32

E-Mail-Adresse doppelt in der Importdatei

ERROR

IMP-33

Unbekannte ACTION

ERROR

Zeile wird nicht importiert

IMP-34

Datensatz nicht akzeptiert bzw.

ein unerwarteter Fehler ist aufgetreten

FATAL_ERROR

IMP-35

Zugeordneter Gruppenname ist mehrfach vergeben

FATAL_ERROR

IMP-36

Zugeordneter Kanalname ist mehrfach vergeben

FATAL_ERROR

Tabelle 3: Fehlerübersicht

3 CSV-Beispiele

  1. Exportbeispiel für Nutzeranlage

    In dem nachfolgenden Beispiel repräsentiert die CSV-Exportdatei die Anlage von drei neuen Nutzern, die in ginlo angelegt werden sollen.

    "ACTION";"CREATED";"MODIFIED";"USER_ID";"DEPARTMENT";"PHONE";"EMAIL";"LAST_NAME";"FIRST_NAME"; "KEYWORDS";"CHANNELS";"GROUPS"

    "INSERT";"2020-01-27T03:58:21";"2020-02-12T03:58:21";"EF3451234";"IT";"+491627563452"; "tina.schuber@mail.de";"Schuber";"Tina";"";"Sport, Urlaub";"DevOps"

    "INSERT";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"AFG236464";"IT";"+491717826732"; "teresa.lamau@mail.de";"Lamau";"Teresa";"Team-Lead";"Team-Leads";"News"

    "INSERT";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"672777777";"IT";"+491516173647"; "simon.terfon@mail.de";"Terfon";"Simon";"";"Sport";"News"

  2. Exportbeispiel für Nutzeränderung

    In dem nachfolgenden Beispiel werden zwei der zuvor angelegten Nutzer verändert (Nutzerin Lamau wechselt in Gruppe Telco, Nutzer Simon ändert die Rufnummer) sowie ein weiterer Nutzer hinzugefügt.

    "ACTION";"CREATED";"MODIFIED";"USER_ID";"DEPARTMENT";"PHONE";"EMAIL";"LAST_NAME";"FIRST_NAME"; "KEYWORDS";"CHANNELS";"GROUPS"

    "UPDATE";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"AFG236464";"IT";"+491717826732"; "teresa.lamau@mail.de";"Lamau";"Teresa";"Team-Lead";"Team-Leads";"Telco"

    "UPDATE";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"672777777";"IT";"+491832457261"; "simon.terfon@mail.de";"Terfon";"Simon";"";"Sport";"News"

    "INSERT";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"648728384";"Business";"+491613458725"; "norbert.meier@mail.de";"Meier";"Norbert";"";"Unternehmensnachrichten, Vertrieb";"Telco, News"

  3. Exportbeispiel für Nutzerlöschung

    In dem nachfolgenden Beispiel werden zwei der zuvor angelegten Nutzer wieder gelöscht (Nutzerin Lamau, Nutzer Terfon).

    ACTION";"CREATED";"MODIFIED";"USER_ID";"DEPARTMENT";"PHONE";"EMAIL";"LAST_NAME";"FIRST_NAME"; "KEYWORDS";"CHANNELS";"GROUPS"

    "DELETE";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"AFG236464";"IT";"+491717826732"; "teresa.lamau@mail.de";"Lamau";"Teresa";"";"";""

    "DELETE";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"672777777";"IT";"+491832457261"; "simon.terfon@mail.de";"Terfon";"Simon";"";"";""

  4. Exportbeispiel für fehlerhafte Nutzerdefinition

    In dem nachfolgenden Beispiel wurde eine Nutzerin exportiert, die die gleiche Mobilfunknummer hat, wie der zuvor exportierte Nutzer Norbert Meier.

    Wie im Kapitel II.1 beschrieben, ist eine mehrdeutige Zuordnung nicht zulässig und der nachfolgende Import würde den Eintrag als fehlerhaft identifizieren und nicht importieren.

    ACTION";"CREATED";"MODIFIED";"USER_ID";"DEPARTMENT";"PHONE";"EMAIL";"LAST_NAME";"FIRST_NAME"; "KEYWORDS";"CHANNELS";"GROUPS"

    "INSERT";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"1237635";"Business";"+491613458725"; "sina.kundig@mail.de";"Kundig";"Sina";"";"IT News";"Logistik"

III LDAP-Adapter

Der sogenannte LDAP-Adapter ist eine exemplarische Umsetzung eines Adapters zwischen einem LDAP-Server und der beschriebenen CSV-Struktur.

Der LDAP-Adapter wird von ginlo als Vorlage bereitgestellt, erhält jedoch keinen Support durch ginlo.

Der Quelltext darf im Rahmen einer Anbindung an ginlo verwendet und in Ihre Software Komponenten eingebaut und vertrieben werden („open source“).

Die kanonischen Schnittstellen sind der CSV-Import über das ginlo Management Cockpit und über die REST-Schnittstelle.

1 Überblick

In diesem Kapitel wird für die Zielgruppe Entwickler die bereitgestellte Implementierung eines LDAP-Adapters beschrieben.

Die Implementierung ist für die Anbindung der LDAP-Provider Microsoft AD LDS und OpenLDAP vorgesehen. Hiervon abweichende LDAP-Provider können ebenfalls angebunden werden. Dabei können zusätzliche Implementierungsanpassungen und ggf. zusätzliche Konfigurationselemente notwendig sein.

Aufgabe des LDAP-Adapters ist es, die Nutzerdaten innerhalb des LDAP-Providers zu identifizieren und in die definierte CSV-Struktur zu überführen.

Bestandteil der Identifikation von Nutzerdaten ist es zu bestimmen, welche Nutzer neu hinzuzufügen, welche zu ändern und welche zu löschen sind.

Der LDAP-Adapter setzt sich aus den folgenden Subkomponenten zusammen:

  • H2-Datenbank zur Persistierung der exportierten Daten

  • HTTP-Server zur Bereitstellung der Services

  • Service-Implementierung

Der LDAP-Adapter ist in Java realisiert. Der Adapter ist eine in sich abgeschlossene Spring-Boot-Anwendung und enthält als solche die oben aufgeführten Subkomponenten.

Die Klassen sind als Spring Beans realisiert und werden entsprechend konfiguriert.

2 Rahmenbedingungen

Für den Einsatz des LDAP-Prototyps müssen die folgenden Voraussetzungen erfüllt sein:

  • Java-Laufzeitumgebung in der Version 8

  • LDAP-Provider Microsoft AD LDS oder OpenLDA

  • Zusätzliche Merkmale für die Zuordnung von Gruppen, Kanälen und Schlagworten müssen im LDAP-Provider konfigurierbar sein.

  • Nutzerdaten müssen den Voraussetzungen des ginlo Datenmodells für Nutzerdaten entsprechen

3 Verwendung

Der Export der Nutzerdaten wird durch den folgenden Aufruf gestartet:

<http-server>/secmes-ldap-simsme-exp/commands/exportLdapSimsMeUser

Unter Angabe des HTTP-Parameters exportType=ALL werden sämtliche Nutzerdaten der LDAP-Instanz exportiert. Das Delta zum vorherigen Export wird durch die Angabe des Parameters exportType=DIFF erzeugt.

Die aus der LDAP-Instanz exportierten Daten werden in der H2-Datenbank persistiert. Die HTTP-Response des Service ist eine JSON-Struktur, die den konkreten Export identifiziert.

{"exportInfo":{"id":"161BDDCE52527da12d710334469bd2e4fdc17c41dee00","ldapUrl":"ldap://secmes- ldap:389","ldapBase":"dc=simsme,dc=dpag,dc=de","ldapUserRecordCount":11,"exportFile":"simsmeLdapUserExp ort-20180222-141345-894---161BDDCE52527da12d710334469bd2e4fdc17c41dee00--- all.csv","exportInfoFile":"simsmeLdapUserExport-20180222-141345-894--- 161BDDCE52527da12d710334469bd2e4fdc17c41dee00---all.json","exportLogFile":"simsmeLdapUserExport- 20180222-141345-894---161BDDCE52527da12d710334469bd2e4fdc17c41dee00--- all.log","exportType":"ALL","exportFileLength":2926,"startTimestamp":"2018-02- 22T14:13:45.893+00:00","endTimestamp":"2018-02- 22T14:13:45.919+00:00","error":false,"errorStacktrace":null,"message":"OK","exportRecordCount":11, "deleteRecordCount":0,"upsertRecordCount":11}}

Exportierte Nutzerdaten werden als Snapshot in einer H2-Datenbank hinterlegt. Beim erneuten Export erfolgt über diese Datenbank der Delta-Abgleich. Hieraus ergeben sich die Aktions-Kommandos „INSERT“, „UPDATE“ und „DELETE“ für die CSV-Datenstruktur.

Die enthaltene ID kann im Folgenden dazu genutzt werden, um die exportierten Nutzerdaten als CSV-Datei bereitzustellen. Dazu ist der nachfolgende Service unter Angabe einer der exportID aufzurufen:

<http-server>/secmes-ldap-simsme-exp/commands/exportInfo/{exportId}/download

Auf diesem Weg können alle bislang durchgeführten Exporte als CSV-Datei bereitgestellt werden.

Neben der direkten Verwendung der Service-Methoden steht zusätzlich das Swagger UI zur Verfügung, über das die Parametrisierung der Aufrufe per UI erfolgen kann.

Über das Swagger UI stehen alle Services zur Verfügung, die durch den LDAP-Adapter angeboten werden. Das Swagger UI wird über die folgende URL erreicht:

<http-server>/secmes-ldap-simsme-exp/swagger-ui.html

Der Zugriff auf die LDAP-Instanz als auch das Mapping der LDAP-Attribute auf die CSV-Datenstruktur ist konfigurativ im Adapter hinterlegt. Weitere Informationen hierzu finden sich im Kapitel III.6.2

4 Statische Struktur

4.1 Paketstruktur

Der LDAP-Adapter ist in mehrere Pakete (Java Packages) strukturiert. Die Packages finden sich als Subpackages im Pfad de.dpag.simsme.ldapexport.

Die folgenden zentralen Subpackages realisieren die Funktionalität des LDAP-Adapters:

Adapter

implementiert den Zugriff auf den LDAP-Provider und definiert das Mapping der Attribute.

Configuration

implementiert das Auslesen der Komponenten- und LDAP-Provider-Attribute aus der Konfigurationsdatei der Anwendung.

Controller

stellt die Service-Schnittstelle der Komponente bereit.

Domain

definiert die Entitäten des LDAP-Adapters.

Processor

realisiert die einzelnen Kommandos, die bei Aufruf der Service-Methoden ausgelöst werden.

Service

implementiert die Generierung der exportierten Daten als CSV-Datei.

4.2 Klassenstruktur

  1. Adapter

    Im Package de.dpag.simsme.ldapexport.adapter.ldap sind die Klassen zur Anbindung an den LDAP-Provider realisiert.

    Ausgangspunkt ist die Klasse LdapAdapterServerImpl. Diese stellt die Methode zum Auslesen der Nutzerdaten zur Verfügung.

    Das Auslesen der Nutzerdaten erfolgt über die Klasse BaseLdapReader, die das Interface LdapReader implementiert.

    Basierend auf den Konfigurationsdaten zum LDAP-Provider (siehe Kapitel III.6.1) wird eine Instanz des LdapReader in der Klasse LdapAdapterServerImpl erzeugt. An diese wird anschließend das Auslesen der Daten delegiert.

    Der konkrete Zugriff auf einen LDAP-Provider ist unter Verwendung von Spring realisiert. Hierzu werden die Klassen LdapTemplate, LdapQueryBuilder und SearchScope verwendet.

    Die Implementierung des LDAP-Adapters ist unabhängig vom LDAP-Provider und wird ausschließlich per Konfiguration an einen konkreten Provider gebunden.

    Auf diese Weise können LDAP-Produkte unterschiedlicher Hersteller (bspw. OpenLDAP) adressiert werden.

    Die zugehörigen Konfigurationsinformationen sind im Kapitel III.6.1 beschrieben. Die Zusammenhänge der Klassen finden sich in der nachfolgenden Abbildung.

    ../_images/LDAP_38.png
  2. Controller und Commands

    Die nach außen verfügbare Schnittstelle des LDAP-Adapters wird durch Klassen im Package de.dpag.simsme.ldapexport.controller realisiert.

    Die Klasse SecmesLdapExportController realisiert die nach außen verfügbaren Services auf Basis des Command-Patterns. Jeder Service entspricht einem Command.

    Für jeden nach außen verfügbaren Service gibt es eine Command-Implementierung, die die zugehörige Funktionalität realisieren. Jede Command-Klasse (bspw. ExportLdapSimsMeUser) leitet sich von der Oberklasse AbstractClientCommand ab.

    Das protokollbezogene Handling der HTTP-basierenden Aufrufe ist in den Oberklassen AbstractCommandController und AbstractApplicationController abstrahiert. Auch hier wird das Spring-Framework für den technischen Umgang verwendet.

    ../_images/LDAP_39.png
  3. Service

    Die Klassen im Package de.dpag.simsme.ldapexport.service realisieren die Generierung der Exportinformationen und -dateien als auch die Persistierung exportierter Daten in eine Datenbank (in diesem Fall H2) sowie den Zugriff darauf.

    In der Klasse UserSnapshotServiceDefaultImpl werden alle datenbankbezogenen Persistenzmethoden realisiert. Dies beinhaltet das Speichern von Nutzerdaten aus einem LDAP-Provider als auch das Auslesen dieser.

    Die Klasse LdapUserExportServiceDefaultImpl verwendet diese Methoden zum Auslesen und Erzeugen von Export-Information (ExportInfo). Wesentliche Aufgabe der Klasse ist jedoch die Generierung einer Repräsentanz von Nutzerdaten als CSV-Datei.

    Beide Implementierungen verwenden die Spring-Mechanismen zur Konfiguration.

    ../_images/LDAP_40.png

5 Dynamische Struktur

Der nachfolgende Ablauf zeigt die Aufrufkette beim Exportieren von Nutzerdaten:

../_images/LDAP_40_1.png

Die nachfolgende Tabelle erläutert die oben dokumentierten Schritte in kurzer Form:

Schritt

Methode

Beschreibung

1

exportLdapSimsMeUser

Entgegennahme des HTTP-Requests

2

onExecute

Start des Exports

3

export Start

LDAP-Anfrage und Erzeugung Ergebnisdateien

4

findAllSimsMeUsers

Aufbereitung der LDAP-Anfrage

5

findAllSimsMeUsers

Auslesen der Nutzerdaten aus dem LDAP-Provider

6

save

Speicherung der Daten in H2-Datenbank

7

downloadExportInfo

Entgegennahme des HTTP-Requests

8

onExecute

Start des Downloads

9

getExportInfo

Identifizierung und Download der CSV-Datei

Tabelle 4: Schritte zum Export von Nutzerdaten

6 Konfiguration

Der LDAP-Prototyp wird über mehrere Konfigurationsdateien an den konkreten Einsatz angepasst.

6.1 Anwendungskonfiguration

Die Konfiguration der Spring Beans erfolgt in der Datei application.yml (YAML-Datei).

Für weitere Umgebungen (bspw. lokale Entwicklung) können Konfigurationsdateien angelegt werden, die der jeweiligen Umgebung gerecht werden. Die Benennung erfolgt über einen Postfix (bspw. application-local.yml).

In der Konfigurationsdatei werden u. a. der Port der Anwendung, Logging-Verhalten und die Datenbank konfiguriert.Weiterhin sind hier auch die Zugriffsinformationen des LDAP-Providers hinterlegt.

Eine beispielhafte Konfiguration ist im Folgenden zu sehen.

ldap:

url: ${LDAP_URL:ldap//secmes-ldap:389}

base: ${LDAP_BASE:dc=simsme}

user: ${LDAP_USER:cn=admin,dc=simsme}

password: ${LDAP_PASSWORD:password}

readerImplementationClass: ${LDAP_READER_IMPLEMENTATION_CLASS:}

readerConfigFile: ${LDAP_READER_CONFIG_FILE:}

exportDir: ${LDAP_EXPORT_DIR:${INSTANCE_HOME:${user.dir}}/export}

Das Konfigurationselement readerConfigFile definiert die Konfigurationsdatei, in der das Mapping der LDAP-Attribute hinterlegt ist.

Das Konfigurationselement exportDir legt das Verzeichnis fest, in dem der Adapter exportierte CSV-Dateien zwischenspeichert, um diese auf Anforderung zur Verfügung zu stellen.

6.2 Mapping LDAP-Attribute

Das Mapping der LDAP-Attribute auf die ginlo-Nutzerdaten wird konfigurativ definiert. Die Konfiguration erfolgt im JSON-Format und wird in der Datei LdapReaderConfiguration.json beschrieben.

Neben den ginlo-Attributen ist hier auch festlegt, wo die Nutzerdaten in der Datenstruktur des LDAP-Providers zu finden sind.

Im Folgenden ist eine beispielhafte Konfiguration dargestellt. Mittels der Merkmale cd, dn und userEntryObjectClass ist festgelegt, welches Objekt auf die Nutzerdaten zu mappen ist:

../_images/LDAP_41.png

IV LDAP-Importer

Der LDAP-Importer verarbeitet die Daten des LDAP-Adapters und integriert diese automatisiert in das ginlo Management Cockpit. Dabei kann der Prozess autark und ohne zusätzliche Administrator-Interaktion arbeiten.

Insbesondere bei großen Firmen sollen manuelle Prozesse vermieden werden, um den Aufwand für die Verwaltung der eigenen Mitarbeiter möglichst gering zu halten.

Um dies zu realisieren, können über die REST-Schnittstelle LDAP-Importdateien hochgeladen, deren Status abgefragt und das Ergebnisprotokoll ermittelt werden.

1 Voraussetzungen

Für die allgemeine Verwendung der REST-Schnittstelle ist eine Authentifizierung notwendig.

Zum einen wird ein spezieller Nutzer benötigt, welcher sich mittels Basic-Authentifizierung gegen das System anmeldet und zum anderen ein Clientzertifikat.

Das Anlegen eines solchen Nutzers erfolgt über das ginlo Management Cockpit durch den Administrator. Dafür ist unter den Einstellungen der Button LDAP API aktivieren zu finden.

Eine genaue Anleitung zum Anlegen eines API-Nutzers finden Sie in der ginlo Management Cockpit Dokumentation.

Intern wird durch den Administrator ein neuer Stellvertreter vom Typ „apiuser“ angelegt. Für diesen Nutzer wird ein Passwort erzeugt und ein Clientzertifikat generiert. Das öffentliche Clientzertifikat wird analog einer Stellvertretung auf den Servern verteilt.

Wenn ein API-Nutzer angelegt wurde, dann kann der Administrator über die Funktion Zugangsdaten anzeigen sich die Zugangsdaten (Nutzername + Passwort) anzeigen lassen und das öffentliche Clientzertifikat herunterladen, um dessen Richtigkeit zu überprüfen.

Den privaten Teil des Zertifikats bekommt der angemeldete Administrator auf seine hinterlegte E-Mail-Adresse gesendet.

Mit diesen Zugangsdaten kann der Kunde die Cockpit-API ansprechen. Die Authentifizierung erfolgt dabei über zwei Komponenten: Der Nutzername und das Passwort wird als Basic-Auth übergeben, und als zweiter Faktor dient das Clientzertifikat.

Sollten diese Zugangsdaten kompromittiert sein, kann der Administrator über die Cockpit-Oberfläche ein neues Passwort generieren und ggf. auch ein neues Clientzertifikat erzeugen. Die vorhandenen Zugangsdaten verlieren damit ihre Gültigkeit.

2 Cockpit REST-Client – Beispielimplementierung

Die genaue Spezifikation der von ginlo bereitgestellten REST-Schnittstelle ist in einer Swagger-Datei festgehalten. Diese kann unter https://admin.sims.me/adminkonsole/swagger-mgt-api.yaml heruntergeladen werden.

Für eine vereinfachte Integration in die firmeneigenen Strukturen ist eine automatische Generierung eines Clients mithilfe dieser Datei über Swagger UI möglich.

Die nachfolgenden Punkte beschreiben eine detaillierte Verwendung des Clients an einigen Beispielen und beinhalten nützliche Hinweise zur Anpassung des generierten Clients.

2.1 Abhängigkeiten (Packages)

Damit der von Swagger generierte Client lauffähig ist, sind einige Abhängigkeiten notwendig, welche dem Projekt hinzugefügt werden sollten. Dazu zählen:

  • gson-2.8.1.jar

  • gson-fire-1.8.0.jar

  • logging-interceptor-2.7.5.jar

  • okhttp-2.7.5.jar

  • okio-1.6.0.jar

  • swagger-annotations-1.5.15.jar

  • threetenbp-1.3.5.jar

2.2 Verwendung eines Proxys

Einige Unternehmen sehen für die firmenübergreifende Kommunikation die Verwendung eines Proxy-Servers vor. Der generierte Swagger-Client unterstützt nativ nicht die Verwendung eines Proxys.

Folgender Code zeigt beispielhaft die Integration eines eigenen Proxys:

../_images/LDAP_42.png

Im Speziellen kann dies über die Verwendung von Runtime-Properties gelöst werden. Diese können dann, wie im oberen Codebeispiel gezeigt, ausgelesen werden.

Ein endgültiger Aufruf des Import-Clients kann dann wie folgt aussehen: java -Dhttp.proxyHost=proxy.de -Dhttp.proxyPort=5555

2.3 Überprüfung der Verbindung

In der Swagger-Datei ist eine Funktion namens checkConnection definiert, welche es ermöglicht, die Konnektivität zu der REST-Schnittstelle zu überprüfen. Dabei steht die Identifikation der Erreichbarkeit der Schnittstelle im Vordergrund.

Ist eine Verbindung über ein Zertifikat und Basic-Authentifizierung hergestellt, sind die Grundlagen für die Verwendung der weiteren Funktionen, für die eine Authentifizierung erforderlich ist, geschaffen.

Folgender Beispielcode zeigt den Aufruf der Funktion:

../_images/LDAP_43.png

2.4 Verwendung des Client-Zertifikats

Die Unterstützung eines Client-Zertifikats wird nicht automatisch durch Swagger UI generiert und muss nachgepflegt werden.

Der folgende Codeausschnitt zeigt beispielhaft, wie ein übergebenes Zertifikat mit dem entsprechenden Zertifikat-Passwort an den HTTP-Client übergeben werden kann:

../_images/LDAP_44.png

Dies kann beispielsweise im Konstruktor des API-Clients realisiert werden.

Da es sich um ein PKCS12-Zertifikat handelt, wird zunächst eine Keystore-Instanz erzeugt, welche das übergebene Client-Zertifikat lädt.

Mithilfe einer KeyManagerFactory wird das Zertifikat im Anschluss entschlüsselt und an den HTTP-Client übergeben.

2.5 Verwendung der Basic-Authentifizierung

Der zweite Authentifizierungskanal wird über eine Basic-Authentifizierung realisiert.

Der folgende Codeausschnitt zeigt, wie diese in das Projekt integriert werden kann. Auch hier ist es möglich, jene in den Konstruktor des API-Clients einzubinden.

../_images/LDAP_45.png

Wichtig ist noch, dass diese Authentifizierung als Headerparameter an den entsprechenden Request innerhalb der UserApi oder InfoApi gesetzt wird (siehe nächsten Ausschnitt).

../_images/LDAP_46.png

2.6 Auslesen einer Importdatei

Die zu importierenden, aus dem LDAP-Adapter stammenden Daten können an einer bestimmten Stelle im System abgelegt werden. Der Pfad zur Importdatei kann ebenso als Parameter an den Swagger-Client übergeben werden und der Inhalt der Datei in folgender Form ausgelesen werden.

../_images/LDAP_47.png

2.7 Beispieldurchführung eines Imports

Nachdem die Daten erfolgreich an den Swagger-Client übergeben wurden, kann der Import über die REST-Schnittstelle gestartet werden.

Im folgenden Codebeispiel wird gezeigt, wie eine Instanz der UserApi mit den entsprechenden Credentials erzeugt, ein Proxy registriert und der Import gestartet wird:

../_images/LDAP_48.png

Das Resultat wird durch ein CsvImportResult repräsentiert, wie es im YAML-File beschrieben ist.

../_images/LDAP_49.png

Aus diesem Resultat kann nun die ImportId extrahiert werden, was durch die Funktion getImportId realisiert wird. Die ImportId ist ein eindeutiges Identifikationsmerkmal des Imports und kann auch nur von der entsprechenden Company ausgelesen werden.

../_images/LDAP_50.png

Die Abfrage des ImportStates ermöglicht das Erkennen des Status des Imports. Durch regelmäßiges Polling gegen die REST-Schnittstelle wird die Fertigstellung interpretiert.

Wechselt der Status auf den Zustand „done“, ist der Import abgeschlossen. Neben dem Status liefert der ImportState auch Informationen über aufgetretene Fehlerlevel in den Stufen INFO, WARNUNG, ERROR und FATAL_ERROR.

Die Methode „waitForImport“ zeigt beispielhaft die Verwendung des Abfragens des ImportStates.

../_images/LDAP_51.png

2.8 Speichern des Ergebnisprotokolls

Nach Abschluss des Imports kann das vollständige Protokoll heruntergeladen werden. Während der Durchführung wird ein Prüfbericht geliefert. Der komplette Ergebnisbericht wird erst angeboten, wenn der Import den Status „done“ angenommen hat.

Folgendes Codebeispiel zeigt das Speichern des Ergebnisses in einer csv-Datei.

../_images/LDAP_52.png

2.9 Speichern der Importübersicht

Die Speicherung der Übersicht eines Imports ist ebenfalls möglich. Das Beispiel zeigt die Abfrage der Übersicht des Imports über die REST-API und der darauffolgenden Persistierung.

../_images/LDAP_53.png

2.10 Automatisierungsmöglichkeit des LDAP-Importers

Mit Hilfe eines Batch-Skripts kann der LDAP-Importer automatisiert aufgerufen werden. Beispielsweise kann der Inhalt des Skriptes wie folgt aussehen:

SET PATH=C:\Program Files\Java\jre1.8.0_191\bin\;%PATH%;

java -Dhttp.proxyHost=unknown.proxy.com -Dhttp.proxyPort=1234 -jar CockpitClient.jar [Basis Url der Management Cockpit Api] [apiUserName] [apiUserPasswort] [Zertifikat] [Zertifikatspasswort] [Importdatei] [Authentifizierungstoken]

Für die vollständige Funktionalität des Swagger-Clients ist mindestens Java 8 notwendig.

— ENDE der LDAP-Schnittstellenbeschreibung —

4.2.2.5. EMM-Rollout

Ergänzend zum Rollout der App über das ginlo Management Cockpit kann die Anwendung auch über bestehende Enterprise-Mobility-Management-Lösungen (EMM) auf die Geräte der Nutzer verteilt und registriert werden. Kompatible EMM-Lösungen müssen den AppConfig-Standard und damit auch Android for Work (ab Android 5.0) beziehungsweise Managed App Configuration (ab iOS 8.0) unterstützen.

Warnung

Stellen Sie vor dem Rollout sicher, dass die verwendeten E-Mail-Adressen der Nutzer nicht bereits anderweitig (beispielsweise wegen vorangegangener Tests) mit einem ginlo Business Account verknüpft sind. Dies kann zu Problemen beim Rollout führen!

Bevor Sie mit dem Rollout per EMM beginnen, kontaktieren Sie in diesem Fall den ginlo Support; verwenden Sie dazu am besten Ihre Willkommens-E-Mail und bitten um lokale Löschung dieser alten Accounts.

Die Zuweisung von Lizenzen und die Steuerung des Designs, der Gruppen und Kanäle erfolgen über das ginlo Management Cockpit. Die Konfiguration der App-Settings (Passwort-Richtlinie etc.) kann entweder über das ginlo Management Cockpit oder direkt aus dem EMM erfolgen. Dabei können im EMM vorgenommene App-Konfigurationen ggf. die Regeln aus dem ginlo Management Cockpit überschreiben.

Bemerkung

Bitte beachten Sie, dass diese Einstellungen entweder im ginlo Management Cockpit oder im EMM vorgenommen werden sollten!

Für den Rollout an eine große Zahl an Nutzern empfiehlt sich die automatische EMM-Registrierung über die vorhandene EMM-Lösung. Dies hat folgende Vorteile:

  • Rollout über die vorhandene EMM-Lösung in den sicheren EMM-Container auf dem Gerät

  • Schnellregistrierung der Nutzer mit LDAP-Daten und Verkürzung der Prozess-Schritte

  • Verringerung der Fehlermöglichkeiten durch die Nutzer, z. B. Ablehnung der Team-Einladung und damit der App-Verwaltung

  • Automatische Zuweisung von Lizenzen über das Backend

  • Automatischer Import von Nutzerdaten in das ginlo Management Cockpit

4.2.2.5.1. Kurzanleitung für MobileIron

Gehen Sie für den automatischen EMM-Rollout am Beispiel MobileIron wie folgt vor:

  1. Aktivieren Sie in den Einstellungen im ginlo Management Cockpit die Automatische EMM-Registrierung und für einen verkürzten Rollout auch Schnell-Registrierung auf Endgerät erzwingen.

    ../_images/28.de.png

    Bemerkung

    Wenn Schnell-Registrierung aktiviert ist, erfolgt die Registrierung vollautomatisch, ohne dass Administrator oder Nutzer in den Prozess eingreifen müssen. Nutzen Sie diese Funktion allerdings nicht, wenn in Ihrem Unternehmen bereits ginlo Business auf verwalteten Endgeräten installiert ist, da sonst bereits vorhandene Nutzer-Accounts beim Rollout überschrieben werden.

    Des Weiteren ist Voraussetzung für den EMM-Rollout, dass die Company-Domain, z. B. @IhreFirma.de, im ginlo Management Cockpit mit Ihrer registrierten Domain im EMM übereinstimmt!

  2. Kopieren Sie das nun angezeigte Sicherheitstoken. Fügen Sie das Token in die EMM Rollout Plist ein, die Sie auf unserer Website im Support-Bereich unter der Rubrik Hilfreiche Links finden. Achten Sie darauf, dass auch die {}-Klammern korrekt in den String kopiert werden. Die Plist mit Token ist später wichtig und dient der Zuordnung zum ginlo Management Cockpit.

    ../_images/29.de.png
  3. Optional sollten Sie vor dem Rollout das App-Design im ginlo Management Cockpit anpassen, damit dieses direkt ab der Nutzer-Registrierung greift. Wenn Sie das Standard-Design verwenden möchten, können Sie sich jetzt aus dem ginlo Management Cockpit ausloggen - der Rollout erfolgt im Weiteren über das EMM.

  4. Öffnen Sie Ihr EMM und legen Sie, sofern noch nicht geschehen, Nutzer auf Basis der LDAP-Daten mit Namen, Vornamen und E-Mail-Adressen an. Diese Daten werden später für die automatische App-Registrierung verwendet und müssen dann nicht mehr vom jeweiligen Nutzer vergeben und verifiziert werden.

    Weisen Sie Nutzern ein oder mehrere Labels zu, damit Sie die App an verschiedene Empfänger-Gruppen verteilen können.

  5. Legen Sie unter Policies & Configs -> Configuration ein neues Konfigurationsprofil an. Verwenden Sie Android Enterprise für Android oder Managed App Config für iOS. Fügen Sie dem Profil die zuvor mit Ihrem ginlo Business Sicherheitstoken versehene Plist hinzu. Weisen Sie das Konfigurationsprofil anschließend dem bzw. den Labels zu.

  6. Wechseln Sie zu Apps -> App Catalog, klicken Sie auf Add, und suchen Sie in Google Play bzw. iTunes nach der ginlo Business App. Beim Import der App können Sie auch - soweit gewünscht - direkt im App Catalog die App Configurations definieren, z. B. Passwort- und Chat-Richtlinie.

  7. Verteilen Sie die App auf die entsprechenden Labels. Die App wird im EMM-Container ausgerollt, und die Nutzer müssen ihrerseits nur noch die Registrierung durch Klick auf das App-Icon starten und danach Account erstellen wählen.

  8. Die automatische App-Registrierung greift auf die LDAP-Daten (Name, Vorname, E-Mail- Adresse) und das Sicherheitstoken zu, akzeptiert die Verwaltung durch das ginlo Management Cockpit, lädt das E- Mail-Verzeichnis der Firma und weist dem Nutzer eine gültige Lizenz zu.

    Wenn die App-Einstellungen es vorschreiben, muss der Nutzer abschließend noch ein persönliches Passwort für den App-Container vergeben. Ist kein Passwort erforderlich, kann der Nutzer diesen Schritt überspringen und später über die App-Einstellungen starten.

  9. Beim nächsten Login am ginlo Management Cockpit werden (nur) die registrierten Nutzer automatisch aus dem EMM-Prozess importiert, und Sie können beginnen, Gruppen und Kanäle zu erstellen und Nutzer zuzuweisen.

4.2.2.5.2. Dokumentation für MobileIron

— In Bearbeitung —

INHALTSVERZEICHNIS

I Komponenten

II Nutzer und Geräte in MobileIron hinzufügen

1 Im Browser hinzufügen

2 Auf iOS-Geräten hinzufügen

III Apps mit MobileIron verwalten

1 App hinzufügen

2 Update einer App hinzufügen

IV Einstellungen der App konfigurieren

1 Einstellungen anlegen

1.1 Plist konfigurieren

1.2 Einstellungen unter MobileIron einspielen

2 Liste der Konfigurationsparameter

I Komponenten

Die folgenden Komponenten werden für die Nutzung der ginlo Business App mit AppConfig über die Mobile-Device-Management-Plattform von MobileIron benötigt:

MobileIron Administration Platform

eine Server-basierte Konsole von MobileIron, die es dem Unternehmen ermöglicht, AppConfig-unterstützte Apps wie ginlo Business automatisch zu konfigurieren, im Unternehmen zu verteilen, Richtlinien für die Verwendung zu erstellen, App-Funktionen zu steuern und ggf. die Anwendung auf bestimmten Geräten zu löschen.

AppConfig Community

Die AppConfig Community vereinfacht die Einführung und den Einsatz von mobilen Enterprise-Anwendungen unter einem einheitlichen Ansatz. Die umfangreichen Konfigurations- und Sicherheitsmöglichkeiten basieren auf der von Apple bereitgestellten Managed App Configuration unter iOS 8 und höher.

ginlo Business iOS App

Die Business-Version von ginlo für iOS unterstützt Managed App Configuration und ermöglicht so die in diesem Dokument beschriebene Steuerung der Parameter.

Die App ist erhältlich im iTunes App Store und erfordert für die Nutzung eine Nutzerlizenz, die auf der ginlo Website bestellt werden kann.

II Nutzer und Geräte in MobileIron hinzufügen

1 Im Browser hinzufügen

  1. Öffnen Sie die MobileIron-Konsole im Browser, und melden Sie sich an.

  2. Zum Anlegen eines Nutzers wählen Sie den Reiter Devices & Users aus und klicken auf Users.

    ../_images/EMM_MI_04.png
  3. Klicken Sie im Reiter Users auf Add und Add Local User. Geben Sie die Nutzerdaten ein und speichern mit Save.

    ../_images/EMM_MI_06.png ../_images/EMM_MI_07.png
  4. Um ein Gerät anzulegen, wechseln Sie zum Reiter Devices und öffnen Add und Single Device.

    ../_images/EMM_MI_05.png
  5. Wählen Sie in der Maske den gewünschten Nutzer und die Device Platform aus und bestätigen Sie mit Register.

    ../_images/EMM_MI_08.png
  6. Die Zugangsdaten werden angezeigt und an die zuvor angegebene E-Mail-Adresse geschickt.

    ../_images/EMM_MI_09.png

2 Auf iOS-Gerät hinzufügen

  1. Browser auf iOS-Gerät öffnen, URL aus E-Mail eingeben und mit App laden bestätigen.

    ../_images/EMM_MI_10.png
  2. Mobile@Work App aus App Store installieren

    ../_images/EMM_MI_11.png
  3. Mobile@Work App öffnen und Benutzernamen eingeben

    ../_images/EMM_MI_12.png
  4. Server und Passwort eingeben; dann mit Registrieren bestätigen

    ../_images/EMM_MI_13.png
  5. Datenschutzbestimmungen durch das Betätigen von Weiter akzeptieren

    ../_images/EMM_MI_28.png
  6. Profil komplett installieren

    ../_images/EMM_MI_14.png
  7. Die MobileIron Mobile@Work App ist nach dem Laden des Profils auf dem Gerät verfügbar.

../_images/EMM_MI_15.png

III Apps mit MobileIron verwalten

1 App hinzufügen

  1. Um ginlo Business der MobileIron-Konsole hinzuzufügen und auf die Geräte der Nutzer zu verteilen, wählen Sie in der Navigation den Reiter Apps aus und klicken im App Catalog auf Add.

    ../_images/EMM_MI_16.png
  2. Wählen Sie als Quelle Apple iTunes oder bei kundenspezifischen Apps ggf. In-House aus.

  3. Suchen Sie im App-Verzeichnis nach ginlo Business.

  4. Markieren Sie ginlo Business in der Liste und klicken Sie dann auf Next.

  5. In den folgenden Masken können Sie die App optional konfigurieren, z. B. Darstellung der App im App-Katalog der Nutzer mit einem Featured Banner.

    Hinweis

    Diese Konfigurationsschritte sind nicht relevant für den Rollout und können auch mit Skip übersprungen werden.

  6. Die ginlo Business App erscheint dann im App Catalog. Markieren Sie die App und wählen Sie Actions und Apply To Labels.

  7. Um die Anwendung einem Geräte-Label zuzuweisen, wählen Sie in der Liste z. B. das Label iOS aus und bestätigen Sie mit Apply.

    ../_images/EMM_MI_19.png
  8. Um die ginlo Business App jetzt an die Nutzer zu verteilen, markieren Sie sie im App Catalog und wählen Actions und Send Installation Request.

  9. Stellen Sie sicher, dass Send request for both new installations and updates aktiv ist, und bestätigen Sie mit Apply.

    ../_images/EMM_MI_21.png
  10. Nach kurzer Zeit wird auf den zugeordneten Geräten eine Push-Nachricht angezeigt, die zur Installation der Anwendung auffordert.

2 Update einer App hinzufügen

Für das Hinzufügen einer neuen Version ist der Ablauf derselbe wie für das Hinzufügen einer neuen Anwendung wie oben beschrieben.

Wenn die App denselben Bundle Identifier und dasselbe Provisioning Profile besitzt, wird sie durch das Senden eines Update Requests an die Geräte mit dem entsprechenden Label verteilt.

Der Upload einer neuen Version ist nur möglich, wenn Versions- und Revisionsnummer höher sind als die der vorhandenen App.

IV Einstellungen der App konfigurieren

Um die mittels AppConfig möglichen Einstellungen der ginlo Business App zu konfigurieren, wird die Plist (Property List) in die MobileIron-Konsole eingespielt.

1 Einstellungen anlegen

1.1 Plist konfigurieren

  1. Laden Sie sich die Vorlage für die Plist herunter, die Sie auf unserer Website im Support-Bereich unter der Rubrik Hilfreiche Links finden.

  2. Öffnen Sie die Plist mit einem Texteditor.

  3. Sie können nun Einträge zur Plist mit Key, Type und Value zur Liste hinzufügen und entsprechend Ihrer IT-Security-Vorgaben konfigurieren.

    ../_images/EMM_MI_22.png

    Details zu den Parametern finden Sie in Kapitel IV.2

1.2 Einstellungen unter MobileIron einspielen

  1. Um die über die Plist gesetzte Konfiguration in MobileIron einzuspielen und auf die App anzuwenden, öffnen Sie den Reiter Policies & Configs

    ../_images/EMM_MI_23.png
  2. Wählen Sie im Reiter Configurations den Button Add New. Wählen Sie dann Apple -> iOS / tvOS -> Managed App Config.

    ../_images/EMM_MI_24.png
  3. Geben Sie im Fenster New Managed App Config Setting einen Namen ein, z. B.MDM_ginlo_business, sowie die Bundle-ID und den Speicherort der Plist.

    Bestätigen Sie mit Save.

    ../_images/EMM_MI_25.png
  4. Wählen Sie die neu angelegte Konfiguration aus und danach Actions und Apply To Label.

  5. Weisen Sie die neu angelegte Konfiguration einem Label zu, z.B. iOS, und bestätigen Sie mit Apply.

    ../_images/EMM_MI_27.png

Die Konfiguration ist jetzt für das Label und die App wirksam und wird App-seitig entsprechend im User Interface und den Funktionen umgesetzt.

2 Liste der Konfigurationsparameter

Number

Key

Typ

Wertebereich

Beschreibung

1

disableNoPwLogin

Boolean

true/false

Toggle Passwortabfrage beim Start fällt weg und ist implizit auf true gesetzt. Eventuelle Keychain- Einträge werden entfernt, siehe Anmerkung 1)

2

simsLockApplicationDelay

Integer

0-10

Die Einstellung wird 1:1 in die

Einstellungen übernommen.

Einstellung Passwort abfragen

nach… entfällt

3

forceComplexPin

Boolean

true/false

Der Toggle Einfaches Passwort

entfällt, siehe Anmerkung 2)

4

simsPasswordTries

Integer

3,5,1

Wenn gesetzt, entfällt die

Einstellung Daten löschen

5

disableSaveToCameraRoll

Boolean

true/false

Wenn gesetzt, entfällt die

Einstellung Medien sichern

6

disableSendMedia

Boolean

true/false

Wenn gesetzt, können nur noch

Texte geschrieben werden

7

disableOpen

Boolean

true/false

Wenn gesetzt, können Bilder und

Videos nicht mehr gespeichert

werden, und Dateien können nicht

mehr angezeigt werden

8

passwordMinLength

Integer

0-99

siehe Anmerkung 2)

9

passwordMinSpecialChar

Integer

0-99

siehe Anmerkung 2)

10

passwordMinDigit

Integer

0-99

siehe Anmerkung 2)

11

passwordMinLowercase

Integer

0-99

siehe Anmerkung 2)

12

passwordMinUppercase

Integer

0-99

siehe Anmerkung 2)

13

passwordMinClasses

Integer

0-4

siehe Anmerkung 2)

14

passwordMaxDuration

Integer

0-65535

siehe Anmerkung 3)

15

passwordReuseEntries

Integer

0-100

siehe Anmerkung 4)

16

disableExportChat

Boolean

true/false

Wenn gesetzt, können Chats nicht

mehr in eine Textdatei exportiert

werden

Einfache Einstellungen werden in den NSUserDefaults gespeichert. Wenn sich die MDM-Konfiguration hierfür ändert, dann werden die Einstellungen in die NSUserDefaults übernommen.

Anmerkung 1)

Wenn TouchId oder Start ohne Passwor deaktiviert wird, dann werden zusätzlich die entsprechenden Schlüssel in der KeyChain gelöscht.

Anmerkung 2)

Wenn sich die Passwort-Einstellungen geändert haben, wird zunächst das Passwort abgefragt.

Dies erfolgt unabhängig davon, ob das Passwort beim Start immer abgefragt wird.

Das ist erforderlich, weil wir die Zugangsdaten verschlüsselt speichern und einem Angreifer keine Informationen über das Passwort bereitstellen wollen.

Wenn das Passwort des Nutzers nicht mehr den Passwort-Richtlinien entspricht, muss der Nutzer ein neues Passwort vergeben.

Anmerkung 3)

Beim Ändern des Passworts wird anhand des aktuellen Datums und der maximalen Passwortlaufzeit berechnet, wann das Passwort abläuft.

Aus Performance-Gründen wird zunächst das Datum des Geräts genommen. Ändert sich die Einstellung, wird das neue Fälligkeitsdatum berechnet.

Anmerkung 4)

Um dieses Feature zu realisieren, ist es notwendig, die Passwörter sicher auf dem Gerät zu hashen. Dazu wird das Passwort zunächst per Bcrypt mit einer festen Anzahl Runden gehasht.

Die gehashten Passwörter werden nicht direkt gespeichert, sondern per AES-Schlüssel verschlüsselt. Der AES-Schlüssel selbst ist mit dem RSA-Schlüssel des Gerätes verschlüsselt.

4.2.2.5.3. Dokumentation für Workspace ONE UEM

— In Bearbeitung —

INHALTSVERZEICHNIS

I Komponenten

II Nutzer und Geräte in Workspace ONE hinzufügen

1 Im Browser hinzufügen

2 Die VMware „Intelligent Hub-App“ auf dem iOS-Gerät des Nutzers hinzufügen

III Apps mit Workspace ONE verwalten

1 App hinzufügen

2 Update einer App hinzufügen

IV Einstellungen der App konfigurieren

1 Einstellungen anlegen

2 Liste der Konfigurationsparameter

I Komponenten

Die folgenden Komponenten werden für die Nutzung der ginlo Business App mit AppConfig über Workspace ONE UEM (ehemals AirWatch), der Mobile-Device-Management-Plattform von VMware, benötigt:

Workspace ONE-Konsole

eine Server-basierte Konsole von VMware, die es dem Unternehmen ermöglicht, AppConfig-unterstützte Apps wie ginlo Business automatisch zu konfigurieren,

im Unternehmen zu verteilen, Richtlinien für die Verwendung zu erstellen, App-Funktionen zu steuern und ggf. die Anwendung auf bestimmten Geräten zu löschen.

AppConfig Community

Die AppConfig Community vereinfacht die Einführung und den Einsatz von mobilen Enterprise-Anwendungen unter einem einheitlichen Ansatz.

Die umfangreichen Konfigurations- und Sicherheitsmöglichkeiten basieren auf der von Apple bereitgestellten Managed App Configuration unter iOS 8 und höher.

ginlo Business iOS App

Die Business-Version von ginlo für iOS unterstützt Managed App Configuration und ermöglicht so die in diesem Dokument beschriebene Steuerung der Parameter.

Die App ist erhältlich im iTunes App Store und erfordert für die Nutzung eine Nutzerlizenz, die auf der ginlo Website bestellt werden kann.

II Nutzer und Geräte in Workspace ONE hinzufügen

1 Im Browser hinzufügen

  1. Öffnen Sie die Workspace ONE-Konsole im Browser, und melden Sie sich an.

  2. Zum Anlegen eines Nutzers wählen Sie im Bereich Getting Started den Button Add und klicken auf User.

    ../_images/EMM_WS_02.png
  3. Geben Sie im Fenster Add/Edit User die Nutzerdaten ein, und speichern Sie sie mit Save.

    ../_images/EMM_WS_03.png
  4. Um ein Gerät anzulegen, wählen Sie Add und Device. Wählen Sie in der Maske den gewünschten Nutzer und die Device-Plattform aus und bestätigen Sie mit Save.

    ../_images/EMM_WS_04.png
  5. Die Zugangsdaten werden angezeigt und an die zuvor angegebene E-Mail-Adresse geschickt.

2 Die VMware „Intelligent Hub-App“ auf dem iOS-Gerät des Nutzers hinzufügen

  1. Browser auf iOS-Gerät öffnen und URL aus E-Mail eingeben oder QR-Code scannen

    ../_images/EMM_WS_05.png
  2. VMware Intelligent Hub App aus App Store installieren

    ../_images/EMM_WS_06_1.png
  3. Server und Group ID eingeben, mit Weiter bestätigen

    ../_images/EMM_WS_06.png
  4. Benutzernamen und Passwort eingeben, mit Weiter bestätigen

    ../_images/EMM_WS_07.png
  5. Workspace Services mit Weiter bestätigen

    ../_images/EMM_WS_08.png
  6. Laden des Konfigurationsprofils mit Schließen bestätigen

    ../_images/EMM_WS_09.png
  7. Konfigurationsprofil laden über Einstellungen öffnen

    ../_images/EMM_WS_11.png
  8. Profil installieren über Allgemein -> Profil-> Registrierung -> Installieren

    ../_images/EMM_WS_12.png
  9. Fast fertig - jetzt noch einen Passcode vergeben und den Datenschutzbestimmungen zustimmen

Das Gerät des Nutzers ist nun in der Workspace ONE-Konsole verfügbar.

III Apps mit Workspace ONE verwalten

1 App hinzufügen

  1. Um ginlo Business der Workspace ONE-Konsole hinzuzufügen und auf die Geräte der Nutzer zu verteilen, wählen Sie in der Navigation Apps & Books und klicken dann auf Public und Add Application.

    ../_images/EMM_WS_13.png
  2. Wählen Sie die Plattform aus, geben den Namen der App ein und klicken auf Next.

    ../_images/EMM_WS_14.png
  3. Wählen Sie die ginlo Business App mit Klick auf Select aus.

  4. Geben Sie im Fenster Add Application den Namen der App ein, und klicken auf Save & Assign.

  5. Klicken Sie im Fenster Update Assignment auf Add Assignment.

  6. Wählen Sie im Fenster Add Assignment die Gruppe und die Art der Verteilung der App aus und bestätigen Sie mit Add.

  7. Der neue Eintrag erscheint jetzt in der Liste. Klicken Sie auf Save & Publish.

  8. Im Fenster Preview Assigned Devices werden die Nutzer und Geräte angezeigt, an die die ginlo Business App verteilt wird. Klicken Sie hier auf Publish.

    ../_images/EMM_WS_20.png
  9. Die App erscheint jetzt in List View unter Apps & Books.

2 Update einer App hinzufügen

Für das Hinzufügen einer neuen Version ist der Ablauf derselbe wie für das Hinzufügen einer neuen Anwendung wie oben beschrieben.

Wenn die App denselben Bundle Identifier und dasselbe Provisioning Profile besitzt, wird sie durch das Senden eines Update Requests an die Geräte mit dem entsprechenden Label verteilt.

Der Upload einer neuen Version ist nur möglich, wenn Versions- und Revisionsnummer höher sind als die der vorhandenen App.

IV Einstellungen der App konfigurieren

Um die mittels AppConfig möglichen Einstellungen der ginlo Business App zu konfigurieren, werden in der Workspace ONE-Konsole Configuration Keys und entsprechende Values vergeben.

1 Einstellungen anlegen

  1. Um die gewünschten Einstellungen für ginlo Business vorzunehmen, wählen Sie App & Books, wechseln unter Public zur ginlo Business App und wählen dort den Button Assign.

  2. Klicken Sie im Fenster Update Assignment auf Add Assignment und erstellen Sie eine neue Zuordnung für die ginlo Business App.

  3. Konfigurieren Sie im oberen Bereich des Fensters Add Assignment die gewünschten Rollout- und Zugriffsmethoden.

    Scrollen Sie dann zum Bereich Application Configuration.

  4. Geben Sie hier die gewünschten Konfigurationsparameter ein. Details dazu finden Sie in Kapitel IV.2.

    Speichern Sie Ihre Einstellungen mit Add.

  5. Wählen Sie im Fenster Update Assignment die Zuordnung und klicken auf Save and Publish.

  6. Im nächsten Fenster wird eine Vorschau für Änderungen an den Zuordnungen angezeigt.

    ../_images/EMM_WS_12.png

    Klicken Sie auf Publish, um die erstellten Konfigurationen auf die angezeigten Geräte zu verteilen.

2 Liste der Konfigurationsparameter

Anf.

Key

Typ

Wertebereich

Beschreibung

1

disableNoPwLogin

Boolean

true/false

Toggle Passwortabfrage beim Start fällt weg und ist implizit auf true gesetzt. Eventuelle Keychain- Einträge werden entfernt, siehe Anmerkung 1)

2

simsLockApplicationDelay

Integer

0-10

Die Einstellung wird 1:1 in die

Einstellungen übernommen.

Einstellung Passwort abfragen

nach… entfällt

3

forceComplexPin

Boolean

true/false

Der Toggle Einfaches Passwort

entfällt, siehe Anmerkung 2)

4

simsPasswordTries

Integer

3,5,1

Wenn gesetzt, entfällt die

Einstellung Daten löschen

5

disableSaveToCameraRoll

Boolean

true/false

Wenn gesetzt, entfällt die

Einstellung Medien sichern

6

disableSendMedia

Boolean

true/false

Wenn gesetzt, können nur noch

Texte geschrieben werden

7

disableOpen

Boolean

true/false

Wenn gesetzt, können Bilder und

Videos nicht mehr gespeichert

werden, und Dateien können nicht

mehr angezeigt werden

8

passwordMinLength

Integer

0-99

siehe Anmerkung 2)

9

passwordMinSpecialChar

Integer

0-99

siehe Anmerkung 2)

10

passwordMinDigit

Integer

0-99

siehe Anmerkung 2)

11

passwordMinLowercase

Integer

0-99

siehe Anmerkung 2)

12

passwordMinUppercase

Integer

0-99

siehe Anmerkung 2)

13

passwordMinClasses

Integer

0-4

siehe Anmerkung 2)

14

passwordMaxDuration

Integer

0-65535

siehe Anmerkung 3)

15

passwordReuseEntries

Integer

0-100

siehe Anmerkung 4)

16

disableExportChat

Boolean

true/false

Wenn gesetzt, können Chats nicht

mehr in eine Textdatei exportiert

werden.

Einfache Einstellungen werden in den NSUserDefaults gespeichert. Wenn sich die MDM-Konfiguration hierfür ändert, dann werden die Einstellungen in die NSUserDefaults übernommen.

Anmerkung 1)

Wenn TouchId oder Start ohne Passwor deaktiviert wird, dann werden zusätzlich die entsprechenden Schlüssel in der KeyChain gelöscht.

Anmerkung 2)

Wenn sich die Passwort-Einstellungen geändert haben, wird zunächst das Passwort abgefragt.

Dies erfolgt unabhängig davon, ob das Passwort beim Start immer abgefragt wird.

Das ist erforderlich, weil wir die Zugangsdaten verschlüsselt speichern und einem Angreifer keine Informationen über das Passwort bereitstellen wollen.

Wenn das Passwort des Nutzers nicht mehr den Passwort-Richtlinien entspricht, muss der Nutzer ein neues Passwort vergeben.

Anmerkung 3)

Beim Ändern des Passworts wird anhand des aktuellen Datums und der maximalen Passwortlaufzeit berechnet, wann das Passwort abläuft.

Aus Performance-Gründen wird zunächst das Datum des Geräts genommen. Ändert sich die Einstellung, wird das neue Fälligkeitsdatum berechnet.

Anmerkung 4)

Um dieses Feature zu realisieren, ist es notwendig, die Passwörter sicher auf dem Gerät zu hashen. Dazu wird das Passwort zunächst per Bcrypt mit einer festen Anzahl Runden gehasht.

Die gehashten Passwörter werden nicht direkt gespeichert, sondern per AES-Schlüssel verschlüsselt. Der AES-Schlüssel selbst ist mit dem RSA-Schlüssel des Gerätes verschlüsselt.

4.2.2.5.4. Kurzanleitung für IBM MaaS360

Ergänzend zum Rollout der ginlo Business App über das ginlo Management Cockpit kann die Anwendung auch über bestehende Enterprise-Mobility-Management-Lösungen (EMM) auf die Geräte der Nutzer verteilt und registriert werden.

Kompatible EMM-Lösungen müssen den AppConfig-Standard und damit auch Android for Work (ab Android 5.0) beziehungsweise Managed App Configuration (ab iOS 8.0) unterstützen.

Die Zuweisung von Lizenzen und Steuerung des Designs, der Gruppen und Kanäle erfolgt dann wieder über das ginlo Management Cockpit.

Die Konfiguration der App-Settings (Passwort-Richtlinie etc.) kann entweder über das ginlo Management Cockpit oder direkt aus dem EMM erfolgen. Dabei können im EMM vorgenommene App-Konfigurationen ggf. die Regeln aus dem ginlo Management Cockpit überschreiben.

Bitte beachten Sie, dass diese Einstellungen entweder nur im ginlo Management Cockpit oder nur im EMM vorgenommen werden sollten.

Für den Rollout an eine große Zahl an Nutzern empfiehlt sich die automatische EMM-Registrierung über die vorhandene EMM-Lösung.

Dies hat folgende Vorteile:

  • Rollout über die vorhandene EMM-Lösung in den sicheren EMM-Container auf dem Gerät

  • Schnellregistrierung der Nutzer mit LDAP-Daten und Verkürzung der Prozess-Schritte

  • Verringerung der Fehlermöglichkeiten durch die Nutzer, z. B. Ablehnung App-Management

  • Automatische Zuweisung von Lizenzen über das Backend

  • Automatischer Import von Nutzerdaten in das ginlo Management Cockpit

Gehen Sie für den automatischen EMM-Rollout über IBM MaaS360 wie folgt vor:

  1. Aktivieren Sie in den Einstellungen im ginlo Management Cockpit die Automatische EMM-Registrierung und für einen verkürzten Rollout auch Schnell-Registrierung auf Endgerät erzwingen.

    ../_images/28.de.png

    Hinweis

    Wenn Schnell-Registrierung aktiviert ist, erfolgt die Registrierung vollautomatisch, ohne dass der Admin oder die Nutzer in den Prozess eingreifen müssen.

    Nutzen Sie diese Funktion allerdings nicht, wenn in Ihrem Unternehmen bereits ginlo Business auf verwalteten Endgeräten installiert ist, da sonst bereits vorhandene Nutzer-Accounts beim Rollout übergeschrieben werden.

    Des Weiteren ist Voraussetzung für den EMM-Rollout, dass die Company-Domain, z.B. @IhreFirmenDomain.com im ginlo Management Cockpit mit Ihrer registrierten Domain im EMM übereinstimmt.

  2. Kopieren Sie das nun angezeigte Sicherheitstoken. Es wird später zur Zuweisung von Konfigurationen und automatischen Lizenzen am Backend benötigt.

    Der Rollout erfolgt im Weiteren über IBM MaaS360.

  3. Optional können Sie vor dem Rollout auch schon einmal das App-Design im ginlo Management Cockpit anpassen, sodass dieses direkt ab der Nutzer-Registrierung greift.

    Wenn Sie das Standard-Design verwenden möchten, können Sie sich jetzt aus dem ginlo Management Cockpit ausloggen, der Rollout erfolgt im Weiteren über IBM MaaS360.

  4. Öffnen Sie IBM MaaS360. Öffnen Sie die App-Verwaltung über Apps und Catalog.

    ../_images/EMM_IBM_03.png
  5. Suchen Sie über Add im jeweiligen Store (iTunes App Store App/Google Play App) nach der ginlo Business App.

  6. Öffnen Sie in der Maske zum Hinzufügen der App den Reiter Configuration.

    Scrollen Sie nach unten, bis Sie die Eingabefelder beginnend mit Firstname sehen.

    Geben Sie die folgenden Parameter ein, und speichern Sie diese mit Add:

    • Android

      firstName: * (Hier können Sie ein beliebiges Präfix für die Nutzer angeben, da dieses Feld nur mit einem Wert – kein Leerzeichen – befüllt sein muss.)

      lastName: %USERNAME% (In Kombination mit dem Präfix ergibt sich dann als Anzeigename in der Messenger-App z. B. „* Max Mustermann“; bei LDAP-Mapping wird der Name ohne Präfix dargestellt.)

      emailAddress: %EMAIL%

      loginCode: Sicherheitstoken aus dem ginlo Management Cockpit inklusive {} -Klammern!!!

      ../_images/EMM_IBM_06.png
    • iOS

      Firstname: * (Hier können Sie ein beliebiges Präfix für die Nutzer angeben, da dieses Feld nur mit einem Wert – kein Leerzeichen – befüllt sein muss.)

      Lastname: %USERNAME% (In Kombination mit dem Präfix ergibt sich dann als Anzeigename in der Messenger-App z. B. „* Max Mustermann“; bei LDAP-Mapping wird der Name ohne Präfix dargestellt.)

      E-Mail: %EMAIL%

      Securitytoken: Sicherheitstoken aus dem ginlo Management Cockpit inklusive {} -Klammern!!!

      ../_images/EMM_IBM_07.png
  7. Die App ist jetzt zum Rollout bereit.

  8. Legen Sie, soweit noch nicht geschehen, Devices und Users auf Basis der LDAP-Daten mit Namen, Vornamen und E-Mail-Adressen an.

    Diese Daten werden für die automatische App-Registrierung verwendet und müssen dann nicht mehr vom jeweiligen Nutzer vergeben und verifiziert werden.

    Weisen Sie die Nutzer einer oder mehrerer Gruppen (Group) zu, damit Sie die App an verschiedene Empfänger-Gruppen verteilen können.

  9. Über den App Catalog können Sie die App dann über Distribute auf die entsprechenden Devices oder Groups verteilen.

    Optional können Sie noch eine SMS- oder E-Mail-Benachrichtigung aktivieren.

    Die App wird dann in den Maas360-Container ausgerollt, und die Nutzer müssen ihrerseits nur noch die Registrierung durch Klick auf das App-Icon starten und dann Neu registrieren wählen.

Die automatische App-Registrierung greift nun auf die LDAP-Daten (Username, E-Mail-Adresse) und das Sicherheitstoken zu, akzeptiert die Verwaltung durch das ginlo Management Cockpit, lädt Firmen- und E-Mail-Verzeichnis und weist dem Nutzer eine gültige Lizenz zu.

Wenn die App-Einstellungen es vorschreiben, muss der Nutzer abschließend noch ein persönliches Passwort für den App-Container vergeben.

Ist kein Passwort erforderlich, kann der Nutzer den Schritt auch überspringen und später über die App-Einstellungen starten.

Beim nächsten Login im ginlo Management Cockpit werden (nur) die registrierten Nutzer automatisch aus dem EMM-Prozess importiert, und Sie können beginnen, Gruppen und Kanäle zu erstellen und Nutzer zuzuweisen.

— ENDE der EMM-Beschreibung —

4.2.2.6. Bestellhistorie

In der Bestellhistorie sehen Sie eine Übersicht Ihrer Lizenzbestellungen. Diese kann nach Datum sortiert werden. Außerdem können Sie an dieser Stelle über den Button Neue Lizenzen bestellen zusätzlich benötigte Lizenzen anfordern. Tragen Sie dazu die erforderliche Anzahl in das betreffende Feld im Pop-up ein und folgen Sie den weiteren Anweisungen.

4.2.3. App- und Nutzerverwaltung

Zur App- und Nutzerverwaltung gelangen Sie über das Seitenmenü links.

4.2.3.1. App-Settings

Damit ginlo Business den Compliance- und Security-Anforderungen in Ihrem Unternehmen entspricht, können Sie im Reiter App-Settings mehr als 30 Einstellungen für Kontakte-Richtlinien, Passwort-Richtlinien, Passwort-Komplexität und Chat-Richtlinien setzen.

Technisch basieren die App-Settings bei ginlo Business auf Android for Work (ab Android 5.0) und Managed App Configuration (ab iOS 8.0), sodass eine sichere und schnelle Konfiguration der Anwendung möglich ist.

4.2.3.1.1. Kontakte-Richtlinien

In den Kontakte-Richtlinien legen Sie den Namen Ihres Firmenverzeichnisses fest und bestimmen, mit welchen Nutzern kommuniziert werden darf bzw. ob ein Zugriff auf Kontakte erlaubt ist.

1. Name des Firmenverzeichnisses

Verändern Sie hier den Namen des Firmenverzeichnisses, der den Nutzern unter Kontakte angezeigt werden soll.

2. Geschlossene Nutzergruppe aktivieren

Wenn diese Funktion aktiviert ist, können Nutzer nur mit im ginlo Management Cockpit gepflegten Kontakten kommunizieren. Ein Chat mit Nutzern außerhalb der Verwaltung ist nicht möglich.

3. Zugriff auf Kontakte unterbinden

Wenn diese Funktion aktiv ist, kann ein Mitarbeiter Kontakte nicht mehr senden und empfangen.

4.2.3.1.2. Passwort-Richtlinien

Die Passwort-Richtlinien dienen dem Schutz der Anwendung und den enthaltenen Daten. Sie können es entweder den Nutzern selbst überlassen, für den Schutz des Messengers zu sorgen, oder Sie erzwingen über das ginlo Management Cockpit z. B. die Abfrage des (Geräte-) Passworts bei jedem App-Start. Wenn Sie gleichzeitig noch entsprechende Vorgaben für die Passwort-Komplexität machen, müssen die Nutzer diese Kriterien bei der Vergabe eines Passworts in der App berücksichtigen.

../_images/16.de.png

4. Passwortabfrage beim App-Start erzwingen

Wenn diese Funktion aktiviert ist, fragt die App bei jedem Start nach dem Gerätepasswort des Nutzers.

5. Passwortabfrage nach Inaktivität erzwingen nach …

Setzen Sie hier den erlaubten Zeitraum ( 0 bis 10 Minuten), nach dem die Eingabe des Passworts wieder erforderlich ist.

6. Einfachen Code als Passwort unterbinden

Wenn diese Einstellung gesetzt ist, können Nutzer kein einfaches 4-stelliges Passwort (PIN) setzen. Um sicher zu stellen, dass bestehende 4-stellige Passwörter geändert werden müssen, definieren Sie eine entsprechende Password-Komplexität.

7. Touch-/Face ID (iPhone) und Fingerprint (Android) unterbinden

Wenn diese Einstellung gesetzt ist, können Nutzer zum Entsperren der App nicht Touch-/Face-ID (iPhone) oder Fingerprint (Android) verwenden

8. Daten löschen nach Anzahl der Anmeldeversuche

Setzen Sie hier die Anzahl der zulässigen Login-Versuche (3, 5 oder 10), bevor die Inhalte der App automatisch gelöscht werden.

9. Passwortwiederholungen nach x Änderungen erlauben

Setzen Sie hier die Anzahl der Änderungen (1 bis 100), ab der ein Nutzer ein altes Passwort wieder verwenden darf. 1 bedeutet, dass das Passwort nach einer Änderung wieder vewendet werden darf.

10. Wiederherstellungscode deaktivieren

Wenn diese Funktion aktiviert ist, kann der Nutzer die Funktion Passwort-Vergessen nicht verwenden.

11. Recovery Code über Admin erzwingen

Wenn diese Funktion aktiviert ist, wird im Falle von Passwort-Vergessen der Recovery Code zur Entsperrung des Messengers erst nach Administrator-Freigabe an den Nutzer versendet.

4.2.3.1.3. Passwort-Komplexität

Unter Passwort-Komplexität legen Sie die Mindestanforderungen für das Gerätepasswort der Nutzer fest. Es können Mindestanzahlen von Buchstaben, Ziffern und Sonderzeichen sowie Passwortgültigkeit bestimmt werden.

12. Passwortkomplexität erzwingen

Mit diesem Schalter bestimmen Sie als Administrator, ob es Anforderungen an das Gerätepasswort geben soll. Setzen Sie diesen Schalter auf Ein, um aus den folgenden Anforderungen auszuwählen:

13. Mindestanzahl Zeichenlänge

Setzen Sie hier die Mindestanzahl (0 bis 99) der Zeichenlänge der Passwort-Komplexität. 0 bedeutet, dass das Passwort keine Mindestlänge erfordert.

14. Mindestanzahl Sonderzeichen

Setzen Sie hier die Mindestanzahl (0 bis 99) der Sonderzeichen, z.B. !§$%, die verwendet werden müssen. 0 bedeutet, dass kein Sonderzeichen erforderlich ist.

15. Mindestanzahl Ziffern

Setzen Sie hier die Mindestanzahl der Ziffern (0 bis 99), wie z.B. 12345. 0 bedeutet, dass das Passwort keine Ziffern erfordert.

16. Mindestanzahl Kleinbuchstaben

Setzen Sie hier die Mindestanzahl (0 bis 99) der Kleinbuchstaben, wie z.B. abcde. 0 bedeutet, dass das Passwort keine Kleinbuchstaben erfordert.

17. Mindestanzahl Großbuchstaben

Setzen Sie hier die Mindestanzahl der Großbuchstaben, wie z.B. ABCDE. 0 bedeutet, dass das Passwort keine Großbuchstaben erfordert.

18. Passwortgültigkeit in Tagen

Setzen Sie hier die Passwortgültigkeit in Tagen (0 bis 365). 30 bedeutet beispielsweise, dass nach 30 Tagen das Passwort durch den Nutzer geändert werden muss.

19. Mindestkomplexität des Passworts (Ziffern, Sonderzeichen, Klein- oder Großbuchstaben)

Mit dieser Einstellung bestimmen Sie, die Mindestzahl ( 0 bis 4) der im Passwort geforderten Zeichenklassen (Ziffern, Sonderzeichen, Kleinbuchstaben oder Großbuchstaben). 2 bedeutet beispielsweise, dass das Passwort mindestens zwei Klassen (z.B. Ziffern + Kleinbuchstaben oder Sonderzeichen + Ziffern) enthalten muss.

4.2.3.1.4. Chat-Richtlinien

Die Chat-Richtlinien dienen dazu, in der Kommunikation das lokale Speichern, Senden, Weiterleiten, Exportieren oder Teilen in andere Apps zu steuern.

Wichtig

  • Die Einstellungen gelten nur für vom Administrator verwaltete Nutzer-Accounts.

  • Die Nutzer müssen die Team-Einladung in der App angenommen haben, damit die von Ihnen gesetzten Einstellungen wirksam werden.

  • Gespeicherte Änderungen werden in der Regel ca. 5 Minuten, spätestens jedoch nach einer Stunde in den Clients produktiv gesetzt.

  • Bitte beachten Sie, dass Ihre Einstellungen den Funktionsumfang der App beschränken, z. B. bei den Chat-Richtlinien.

20. Zugriff auf die Kamera unterbinden

Wenn diese Funktion aktiv ist, kann ein Mitarbeiter Fotos und Video über die Kamera nicht mehr aufnehmen und senden.

21. Zugriff auf das Mikrofon unterbinden

Wenn diese Funktion aktiv ist, kann ein Mitarbeiter Audio-Aufnahmen nicht mehr senden.

22. Lokales Speichern von Medien unterbinden

Wenn diese Einstellung gesetzt ist, entfällt in der App die Einstellung Medien sichern und Bilder und Videos können nicht mehr lokal gespeichert werden

23. Anlagen senden und weiterleiten deaktivieren

Wenn diese Einstellung gesetzt ist, können keine Medien (Bilder, Videos, Ausios, Kontakte und Dateien) versendet oder weitergeleitet werden.

24. Zugriff auf die Geodaten unterbinden

Wenn diese Funktion aktiv ist, kann ein Mitarbeiter Standorte nicht mehr senden.

25. Chat-Inhalte als Textdatei exportieren deaktivieren

Wenn diese Einstellung gesetzt ist, können einzelne Chats nicht mehr in eine Textdatei aus der App heraus exportiert werden.

26. Anlagen teilen über andere Apps deaktivieren

Wenn diese Einstellung gesetzt ist, können Bilder, Audios und Videos nicht mehr gespeichert und Dateien nicht mehr angezeigt werden.

27. Zugriff auf Copy-Paste unterbinden

Wenn diese Funktion aktiv ist, kann ein Mitarbeiter Texte und Medien nicht mehr kopieren und in Chats oder fremde Anwendungen einfügen.

28. Vorschau in Push-Mitteilungen unterbinden

Wenn diese Einstellung gesetzt ist, werden die Inhalte von Nachrichten auf Mobil-Geräten nicht in der Push-Vorschau angezeigt. Dies erhöht die Sicherheit, da Inhalte nur mit entsperrter App gelesen werden können.

29. App Backup in iCloud/Google Drive unterbinden

Wenn diese Einstellung gesetzt ist, können Nutzer kein Backup in iCloud bzw. Google Drive erstellen oder Backups von diesen Anbietern einspielen. Zur Datensicherung wird die Kopplung mit einem Zweitgerät empfohlen.

4.2.3.2. App-Design

Als modernes Kommunikations-Tool lässt sich ginlo Business entsprechend der Corporate-Design-Richtlinien (CD) Ihres Unternehmens individualisieren. Sie können über das ginlo Management Cockpit die Farbwerte der App verändern und Ihr Unternehmens-Logo hochladen. So stärken Sie die Akzeptanz bei Ihren Mitarbeitern und machen die App auch visuell zu Ihrem Unternehmens-Messenger.

../_images/15.de.png

Nutzen Sie hierzu den Reiter App-Design und starten Sie die Individualisierung des Designs durch den Upload Ihres Unternehmens-Logos über den blauen Button Bild wählen. Wählen Sie in dem sich öffnenden Fenster Ihr Logo im PNG-Format aus und klicken auf Öffnen.

Ihr Logo wird nun in einer Vorschau geöffnet. Sie können dort über das Scroll-Rad Ihrer Maus den Ausschnitt vergrößern oder verkleinern und mit der Maus das Logo positionieren. Der blaue Rand zeigt dabei die maximale Größe des Logos, dieser muss aber nicht vollständig ausgefüllt sein.

Nachdem Sie die Änderung mit einem Klick auf den grünen Button Anwenden übernommen haben, wird das Logo sowohl im Logo-Preview neben der Bildauswahl als auch im Design-Preview auf dem Smartphone angezeigt.

Sie können in einem weiteren Schritt die Farbwerte der App individualisieren. Diese können Sie entweder als RGB- (Rot-Grün-Blau) oder Hex-Werte (Hexadezimal) eingeben. Für genaue Farbwerte Ihres Unternehmens erkundigen Sie sich im Zweifel bei Ihrer Abteilung für Unternehmenskommunikation.

Hinweis

Beachten Sie bitte, dass mit der Änderung der Farbwerte die Funktion Darkmode u.U. nicht zur Verfügung gestellt werden kann, weil sie automatisch unterbunden wird.

Bemerkung

Anpassungen greifen bei verwalteten Accounts. Gespeicherte Änderungen werden in der Regel nach ca. 5 Minuten, spätestens jedoch nach einer Stunde an die Apps verteilt und sind nach Schließen und Neustart der App sichtbar.

4.2.3.3. Nutzer

ginlo Business kann auf unterschiedliche Weise auf die Geräte der Nutzer ausgerollt und verwaltet werden. Das ginlo Management Cockpit kann als Verwaltungsinstanz genutzt werden, über die Nutzer manuell oder automatisch angelegt und Lizenzen zugewiesen werden können.

Hinweis

Die ginlo.net GmbH hat grundsätzlich keinen Zugriff oder Einblick auf die Daten der angelegten Nutzer!

In diesem Abschnitt gehen wir auf die manuelle Anlage ein, während im Abschnitt LDAP-Daten gezeigt wurde, wie vorhandene Datensysteme für die automatische Anlage eingebunden werden können.

Darüber hinaus können Organisationen mit Enterprise-Mobility-Management-Lösungen (EMM) den Rollout auch über das vorhandene EMM automatisieren.

Der erste Schritt zum manuellen Rollout über das ginlo Management Cockpit ist die Anlage von Nutzern, denen in einem weiteren Schritt Lizenzen zugewiesen werden.

Einzelnutzer anlegen

Klicken Sie im Reiter Nutzer auf Neuen Nutzer anlegen und geben Sie in dem sich öffnenden Fenster Vorname, Nachname, E-Mail-Adresse und / oder Mobilnummer sowie optional die Abteilung des Nutzers an. Diese Daten werden später in den Profilen der Nutzer sichtbar sein.

Sie können Schlagworte vergeben, um einen Nutzer optional einem weiteren Funktionsbereich zuzuordnen. Diese Schlagworte können später für die Suchfunktion hilfreich sein.

Speichern Sie Ihre Angaben!

Nach jeder Anlage eines Nutzers öffnet sich ein Dialog, um dem Nutzer direkt eine Lizenz zuzuweisen. Sie können dies jederzeit später erledigen, wie im Abschnitt Lizenzen beschrieben.

../_images/02.de.png

Mehrere Nutzer anlegen

Für die Anlage mehrerer Nutzer können Sie auch die Schnellanlage verwenden: Klicken Sie hierzu in der Übersicht der Nutzerverwaltung in der letzten Zeile in die jeweiligen leeren Zellen, geben Sie die Daten ein, wechseln Sie die Zellen mit der Tab-Taste, vergeben Sie eines der bereits definierten Schlagworte und speichern Sie die Eingabe.

Nutzer über eine .csv-Datei anlegen

Über den Link Nutzerdaten importieren können Sie ein ganzes Verzeichnis von Nutzern in das ginlo Management Cockpit hochladen. Verwenden Sie hierzu bitte zunächst die CSV-Importvorlage, die Sie in der Übersicht ebenfalls oben rechts unter dem Link Importvorlage finden. Klicken Sie anschließend zum Herunterladen auf Vereinfachtes CSV für die einmalige Nutzeranlage.

../_images/03.de.png

Nachdem Sie die Vorlage heruntergeladen und ausgefüllt haben, klicken Sie zum Hochladen Ihrer Daten auf den grauen Button Nutzerdaten importieren oben rechts.

Wichtig

Bitte berücksichtigen Sie bei der Importvorlage das kommagetrennte Format:

„Nachname,Vorname,E-Mail-Adresse,Mobilrufnummer,[Schlagwort],[Abteilung]“

Die Felder Schlagwort und Abteilung sind dabei optional und können zur besseren Zuweisung verwendet werden.

Nach der Anlage können Sie einzelne Nutzer bearbeiten, indem Sie in der Nutzer-Liste auf den jeweiligen Eintrag klicken.

Jeder Nutzer verfügt zur Identifikation über eine 8-stellige ginlo ID, die sich aus Buchstaben und Ziffern zusammensetzt.

Die Kommunikationsdaten der Nutzer wie Mobilnummer und / oder E-Mail-Adresse lassen sich jederzeit ändern, müssen aber anschließend durch den Nutzer im Messenger verifiziert werden.

In der Nutzerbearbeitung können Sie eine Abteilung sowie Schlagworte vergeben. Während die Abteilung im Profil des Messengers für alle Nutzer sichtbar ist, dienen Schlagworte der internen Zuordnung und besseren Verwaltung über das ginlo Management Cockpit.

Unterhalb der Schlagworte finden Sie nach Aktivierung die Liste der verwendeten Geräte des Nutzers und deren jeweilige Details.

../_images/04.de.png

Wichtig

  • Nutzer, die bereits importiert wurden, werden nicht überschrieben. Demzufolge werden nur neue Einträge von Nutzern aus der Importvorlage importiert.

  • Nutzer können in der Nutzerbearbeitung über den Button Nutzer löschen oben rechts vollständig gelöscht werden.

  • Wenn ein Nutzer vom Administrator gelöscht wird - falls z.B. der Nutzer das Unternehmen verlassen hat-, wird der gesamte Account gelöscht. Ein ggf. vorhandenes Backup des Nutzers wird dadurch unbrauchbar. Die Lizenz des Nutzers wird sofort gesperrt und der Datensatz im Backend gelöscht. Der Nutzer hat damit keinen Zugriff mehr auf seine Kommunikation. Die Messenger-App setzt sich auf den Registrierungsscreen zurück, und eine Datensicherung durch den Nutzer ist nicht mehr möglich.

4.2.3.4. Lizenzen

Nach der Anlage einzelner Nutzer - aber auch zu jedem späteren Zeitpunkt - können Sie den Nutzern Lizenzen zuweisen.

Klicken Sie hierzu im Reiter Lizenzen unten rechts auf den grünen Button Lizenzen zuweisen. Es öffnet sich eine zweispaltige Übersicht:

Links finden Sie die freien Lizenzen mit entsprechendem Laufzeitende und rechts die verfügbaren Nutzer und deren Status.

Wählen Sie nun die Nutzer über die Checkbox aus, markieren Sie die gewünschten Lizenzen und weisen Sie diese über den grünen Button Lizenzen zuweisen unten rechts zu.

../_images/06.de.png

Wichtig

Sobald Sie eine Lizenz zuweisen, wird der angelegte Nutzer automatisch zu ginlo Business eingeladen.

Der in der Übersicht einsehbare Status ändert sich von grau (Nutzer angelegt) auf gelb (Lizenz zugewiesen).

Nutzer mit E-Mail-Adresse erhalten eine E-Mail mit entsprechendem Download-Link und weiteren Informationen. Nutzer, die nur mit Mobilrufnummer angelegt wurden, bekommen eine Einladung per SMS.

Stellen Sie sicher, dass zum Zeitpunkt der Zuweisung der Lizenz alle Vorbereitungen für den Rollout getroffen wurden.

../_images/07.de.png

Nachdem der Nutzer sich die ginlo Business App aus dem Apple App Store oder Google Play Store heruntergeladen hat, registriert er sich mit der jeweiligen E-Mail-Adresse oder Mobilrufnummer.

Alternativ können sich Nutzer auch über den ginlo Desktop als zusätzliches Gerät (B) oder den ginlo Web Messenger als zusätzliches Gerät (B) registrieren.

Wichtig

In allen Fällen sollte aus Sicherheitsgründen umgehend ein Zweitgerät eingerichtet werden!

Während der Registrierung erscheint eine Einladung, dem ginlo Business Team des Unternehmens beizutreten. Dies ermöglicht dem Administrator, die App zu verwalten.

Nachdem der Nutzer der Einladung zugestimmt hat, ändert sich der Status des Nutzers in der Lizenzübersicht auf grün (Lizenz aktiv). Nach Ablauf der Lizenz eines Nutzers wechselt der Status in der Übersicht von grün auf rot (Lizenz abgelaufen).

Sie können einem Nutzer auch die Lizenz wieder entziehen. Klicken Sie dazu in der Lizenzübersicht in der Zeile des Nutzers rechts auf die drei blauen Punkte und wählen Sie Lizenz entziehen.

Nachdem Sie in dem sich öffnenden Dialog mit Lizenz entziehen bestätigt haben, wird die Lizenz wieder für einen anderen Nutzer verfügbar. Der bisherige Nutzer wird dabei nicht mit seinen Daten gelöscht, sein Messenger wird allerdings gesperrt bis eine neue Lizenz zugewiesen wurde.

Kurz vor dem Ende einer Lizenzlaufzeit erhalten Nutzer und Administrator einen Hinweis auf den bevorstehenden Endtermin:

../_images/08.de.png

Im ginlo Management Cockpit wird in der jeweiligen Zeile eines Nutzers durch einen farbigen Hinweis und ein Warndreieck am Nutzerstatus eine Änderung angezeigt.

Sie können die Lizenz eines Nutzers in der Lizenzübersicht verlängern. Klicken Sie hierzu auf die drei blauen Punkte in der entsprechenden Zeile der Lizenz und wählen Sie Lizenz verlängern.

In dem sich öffnenden Pop-up kann nun die gewünschte Lizenz ausgewählt und eine Verlängerung initiiert werden. Sollten keine weiteren Lizenzen zur Verfügung stehen, können Sie über den grauen Button Neue Lizenzen bestellen oben rechts beliebig viele Lizenzen gegen Rechnungstellung anfordern. Die Lizenzen werden nach der Durchführung der Bestellung sofort zur Nutzung freigeschaltet.

In den Einstellungen Ihres Accounts finden Sie am Ende der Liste auch die entsprechende Bestellhistorie zu Ihren Bestellungen.

4.2.3.5. Gruppen

Wesentlicher Bestandteil der Messenger-Kommunikation ist der Austausch der Mitarbeiter in Gruppenchats. Erleichtern Sie eine effiziente und schnelle Zusammenarbeit in Abteilungen und Teams, indem Sie über das ginlo Management Cockpit Gruppen für Ihre Nutzer einrichten und diese so zusammenführen.

Nutzer, die von einem Administrator einer Gruppe zugewiesen wurden, erhalten automatisch eine Gruppeneinladung, die sie akzeptieren oder ablehnen können. Gerade für neue Mitarbeiter können Sie so das Onboarding beschleunigen und diese mit den richtigen Kollegen zusammenbringen.

Über den Reiter Gruppen und den grünen Button Neue Gruppe anlegen unten rechts starten Sie eine neue Gruppe. Legen Sie hier den Gruppennamen - z. B. Sales & Marketing - und optional ein entsprechendes Gruppenbild fest, welches den Mitgliedern der Gruppe angezeigt wird.

Anschließend können Sie aus den angelegten Nutzern die Mitglieder der Gruppe auswählen. Im rechten Bereich des Fensters können Sie hierzu Nutzer über den Namen oder Schlagworte suchen und die gewünschten Nutzer über die entsprechenden Checkboxen markieren.

Bemerkung

Eine Gruppe kann bis zu 100 Mitglieder umfassen.

Speichern Sie anschließend die neue Gruppe über den grünen Button Speichern unten rechts. Sie haben als Administrator der Gruppe jederzeit die Möglichkeit, nachträglich die Gruppe zu bearbeiten und auch Nutzer hinzuzufügen oder zu löschen. Sie können allerdings keine Inhalte der Kommunikation der Gruppe lesen oder Nachrichten senden!

../_images/10.de.png

Wichtig

  • Sobald Sie neu angelegte Nutzer einer Gruppe hinzufügen, werden diese automatisch zur Registrierung eines ginlo Business Accounts eingeladen und der Gruppe zugewiesen.

  • Änderungen an Gruppenname und -bild sind für alle Mitglieder unmittelbar sichtbar.

Wenn Sie zentrale Inhalte an Nutzer kommunizieren wollen, verwenden Sie hierfür bitte die Kanäle.

4.2.3.6. Kanäle

Über Kanäle können Sie zentral Nachrichten, Bilder und Dateien an einen definierten Empfängerkreis versenden und bis zu 1.000 Mitarbeiter schnell und unternehmensübergreifend über Neuigkeiten informieren. Es können auch externe RSS-Quellen in Kanäle eingebunden werden.

Wählen Sie zum Anlegen eines Kanals im Reiter Kanäle den Button Neuen Kanal anlegen und vergeben Sie analog zu Gruppen einen Namen und optional ein Bild für den Kanal sowie die Nutzer, die den Kanal erhalten sollen.

Optional können Sie ein Schreibrecht für einzelne Nutzer vergeben. Damit erhalten diese Nutzer das Recht, als Autoren über die App Nachrichten in den Kanal zu senden, die auch im ginlo Management Cockpit angezeigt werden. Alle anderen Nutzer können nicht in einem Kanal schreiben.

Sobald Sie den neuen Kanal über den grünen Button Speichern rechts unten gesichert haben, werden automatisch Einladungen an alle definierten Nutzer versendet.

Erstellen Sie im nächsten Schritt eine neue Nachricht, indem Sie in der Kanalübersicht auf die Zeile des gewünschten Kanals klicken. Geben Sie nun einen Nachrichtentext ein und fügen Sie über den grauen Button Bild oder Datei wählen gegebenenfalls ein Bild hinzu. In der Vorschau auf der rechten Seite sehen Sie die Nachricht so, wie sie die Nutzer später empfangen werden. Dabei werden Texte und Bilder in einer gemeinsamen Nachricht angezeigt.

Sie können auch lokal gespeicherte Dateien anhängen, welche jedoch nicht mit einer Textnachricht kombiniert werden können. Sie müssen als separate Nachricht verschickt werden.

Bei der Angabe von Links sollten Sie die vollständige URL im Format https://www.[kompletter Seitenname] verwenden, um Interpretationsprobleme auf dem Smartphone zu vermeiden.

Über den blauen Link Kanal bearbeiten in der oberen Navigationsleiste können der Name und das Bild des Kanals bearbeitet, neue Nutzer hinzugefügt, bestehende Nutzer gelöscht oder mit Schreibrechten versehen oder der gesamte Kanal gelöscht werden.

Wenn Sie Ihre Nachricht erstellt haben, können Sie diese entweder sofort versenden oder über das Dropdown-Menü unterhalb der Bildauswahl einen Zeitpunkt definieren. Wählen Sie hierzu ein entsprechendes Datum und die Uhrzeit und klicken Sie auf den grünen Button Senden.

../_images/11.de.png

Nachrichten mit einem Zeitpunkt werden nicht sofort, sondern zeitverzögert zugestellt. Technisch wird die Nachricht dabei bereits an den Server übertragen, jedoch erst an die Nutzer zugestellt, wenn der jeweilige Zeitpunkt erreicht ist.

So können Sie im Rahmen eines einfachen Redaktionsplans Nachrichten im Verlauf einer Woche verfassen und erst zum Wochenende zustellen lassen. Der Zeitpunkt der Zustellung wird neben den zeitverzögerten Nachrichten dargestellt.

Sie haben hier auch die Option, bereits an den Server übermittelte Nachrichten, die noch nicht zugestellt wurden, wieder zu löschen. Dies gilt aber nur für zeitverzögert zu versendende Nachrichten aus dem ginlo Management Cockpit!

../_images/12.de.png

In der Kanalübersicht sehen Sie alle angelegten Kanäle und den Status der eingeladenen Nutzer:

../_images/13.de.png

Nutzer, die bereits einen Account registriert und die Team-Einladung angenommen haben, gelten automatisch als beigetreten. Nutzer, die die Registrierung noch nicht abgeschlossen oder die Team-Einladung noch nicht angenommen haben, gelten als ausstehend.

So ist sichergestellt, dass keine unberechtigten Nutzer Zugriff auf vertrauliche Inhalte der Kanal-Kommunikation haben.

Neben dem manuellen Nachrichtenversand können auch RSS-Quellen eingebunden werden, deren Inhalte dann automatisch versendet werden. So können externe Content Provider (z. B. Verlage, Webseiten) aber auch interne Content-Quellen (z. B. HR News, IT Alarmierungen, Intranet-Meldungen) direkt in den Messenger eingebunden werden.

Legen Sie hierzu einen neuen Kanal an, vergeben Sie einen Namen und ein Bild und tragen Sie die externe RSS-Quelle als vollständige URL im Format https://[RSS-Feed-Adresse] ein.

Betätigen Sie im nächsten Schritt neben der URL-Eingabe den Button Prüfen, um die Funktionstüchtigkeit des RSS-Feeds zu kontrollieren. RSS Feeds werden nach den Spezifikationen 2.0 unterstützt. Die Prüfung importiert hierzu den letzten Inhalt des Feeds und stellt ihn in der Vorschau des Kanals dar. Anschließend können wie gewohnt Nutzer zugewiesen werden, die dann eine automatische Einladung für den Kanal erhalten.

Für vertrauliche Inhalte aus internen RSS-Quellen - z. B. für Alarmierungen - kann über VPN/IP-Filtering sichergestellt werden, dass nur Ihre Mitarbeiter auf die Inhalte zugreifen können. Nehmen Sie hierfür Kontakt zu uns auf unter b2b-support@ginlo.net, Stichwort Interne RSS-Feeds einrichten. Sie sollten vor dem Rollout eines RSS-Kanals an alle Nutzer die Darstellungsweise und Häufigkeit der Nachrichten in der Messenger-App überprüfen.

../_images/14.de.png

4.2.3.7. Dashboard

Für eine effektive Steuerung des ginlo Management Cockpits bietet der Reiter Dashboard auf Basis von anonymisierten Daten ein übersichtliches Reporting und schafft Transparenz über die Verwendung des Messengers. Hier finden Sie Informationen zu den Aktivitäten der Nutzer in Ihrem Unternehmen, Details zu den Administrierten Gruppen und Kanälen sowie eine abschließende Übersicht über die Nachrichtenzusammensetzung.

../_images/01.de.png

Über das Drop-down-Menü oben rechts können Sie jeweils zwischen Täglich aktive Nutzer und Monatlich aktive Nutzer umschalten sowie am rechten Rand einen Zeitraum von einer Woche, einem Monat oder den Gesamtzeitraum wählen. Es werden die Aktivitäten des vergangenen Tages bzw. der letzten 31 Tage angezeigt. Dabei werden immer die Daten bis zum Vortag ausgewertet.

Unter Aktivitäten finden Sie zunächst die Anzahl der aktiven Nutzer (Nutzerstatus Lizenz aktiv), deren Verteilung auf die beiden Betriebssysteme Google Android und Apple iOS und die Gesamtanzahl der von ihnen versendeten Nachrichten.

../_images/19.de.png

Die Grafiken zeigen Ihnen den Kurvenverlauf der Anzahl aktiver Nutzer (gelb) und die Anzahl der versendeten Nachrichten (weiß).

Im Bereich Administrierte Gruppen werden in einer Liste alle vom Administrator angelegten Gruppen mit Gruppenname, Anzahl der Nutzer und Anzahl der Nachrichten im Berichtszeitraum ausgewiesen.

../_images/20.de.png

Bei Klick auf eine einzelne Gruppe erscheint links neben der Gruppenliste in einem Tortendiagramm die Größe der jeweiligen Gruppe (gelb) anhand der Anzahl der Nachrichten im Vergleich zu allen administrierten Gruppen. Die von den Nutzern generierten Gruppen werden mit der Anzahl der Nachrichten im gleichen Zeitraum ausgewiesen. Rechts neben der Liste wird ein Kurvendiagramm mit der Übersicht der Nachrichten in der Gruppe über den gewählten Zeitraum dargestellt.

Informationen zu Gruppennamen und Anzahl der Teilnehmer stehen aufgrund der privaten Verschlüsselung nicht zur Verfügung.

Analog zu den Gruppen finden Sie unter Kanäle eine Auflistung aller Kanäle mit Nutzern und Nachrichten sowie eine relative Verteilung in einem Tortendiagramm.

../_images/21.de.png

Zusätzlich haben Sie hier die Möglichkeit, bei Klick auf einen Kanal die Top 5 der versendeten Nachrichten anzuzeigen. Das Ranking ergibt sich dabei aus der Konversion, d. h. von wie vielen Nutzern ein Bild oder eine Datei geöffnet oder ein Link geklickt wurde.

Abschließend finden Sie unter Nachrichtenzusammensetzung noch die Anzahl der Gesamtnachrichten im Berichtszeitraum. Diese ergibt sich in Summe aus den Einzelnachrichten, den Nachrichten in Gruppen und in Kanälen.

../_images/22.de.png

4.2.4. Tipps & Tricks

4.2.4.1. App-Management

Damit Accounts durch den Administrator verwaltet werden können, müssen die Nutzer ihre Zustimmung geben. Sobald einem Nutzer eine Lizenz zugewiesen wird, starten im Hintergrund automatische Prozesse zum Onboarding des Accounts. Dabei wird je nach Nutzerdaten eine Einladung entweder per E-Mail oder SMS versendet.

Nach der Registrierung wird der Nutzer über ein Pop-up aufgefordert, die Einladung ins Team des Unternehmens anzunehmen und damit den Administrator zum Verwalten des Accounts zu berechtigen. Sollte der Nutzer bereits den Messenger verwenden, erscheint die Anfrage zum Zeitpunkt der Lizenz-Zuweisung. Bei Klick auf Annehmen wechselt der Nutzerstatus im ginlo Management Cockpit auf Lizenz aktiv, und der Administrator kann den Account verwalten.

Ab diesem Zeitpunkt greifen Änderungen bei den App-Settings und dem App-Design für den Account, und der Nutzer erhält automatisch die ihm jeweils zugewiesenen Einladungen zu Gruppen und Kanälen. Jetzt können über die Kanäle auch Nachrichten vom ginlo Management Cockpit empfangen werden.

../_images/17.de.png

Sollte der Nutzer die Team-Einladung ablehnen, bleibt der Account außerhalb des App-Managements und neben dem Nutzerstatus Lizenz zugewiesen erscheint ein Warndreieck. Der Administrator kann dann über Nutzer bearbeiten seine Anfrage zur Verwaltung manuell wiederholen. Klicken Sie hierzu auf Anfrage erneut stellen, und das Pop-up erscheint beim Nutzer nochmals. Letztlich muss der Nutzer aus Sicherheitsgründen der Anfrage zum App-Management aktiv zustimmen, damit sein Account vom Administrator verwaltet werden kann.

../_images/18.de.png

Wichtig

Sobald ein Nutzer über das App-Management verwaltet wird, kann der Administrator – z.B. wenn der Mitarbeiter das Unternehmen verlässt – den Account inklusive der Kommunikationsdaten löschen. Die Anwendung wird in diesem Fall auf die Registrierung zurückgesetzt.

4.2.4.2. Geräte

Als Administrator können Sie sich jederzeit einen Überblick darüber verschaffen, auf welchen Geräten Ihre Nutzer ginlo Business verwenden. Dazu können Sie eine CSV-Datei mit folgenden Informationen exportieren:

  • Gerätename

  • ginlo Business Version

  • Vorname, Nachname und ginlo ID des Nutzers

Klicken Sie zum Exportieren der CSV-Datei im Reiter Nutzer oben rechts auf CSV-Import & -Export.

Klicken Sie danach im Bereich Daten für den Export auswählen auf Alle verwendeten Geräte in eine CSV-Datei exportieren.

../_images/05.de.png

4.2.4.3. Kontakte

ginlo Business bietet umfangreiche Funktionen, um Kontakte bequem und datenschutzkonform zu verwalten.

Generell gibt es drei unterschiedliche Kontaktverzeichnisse, die für das Auffinden von Kollegen und Business-Partnern genutzt werden können:

Adressbuchkontakte

Dieses Verzeichnis basiert auf den Kontakten, die im lokalen Adressbuch des Smartphones gespeichert sind. Es ist Nutzern nach der Registrierung freigestellt, ob ginlo auf diese Kontakte zugreifen darf.

Wird der Zugriff erlaubt, werden aus den Kontaktdaten (E-Mail-Adresse und / oder Handynummer) Hashwerte gebildet und mit den ebenfalls als Hashwert verschlüsselten Daten in der ginlo Datenbank verglichen. Bei einer Übereinstimmung werden die betreffenden Nutzer darüber informiert. Die Synchronisierung der Kontakte kann nur in den Android Handys oder iPhones erfolgen und sollte dort regelmäßig ausgeführt werden.

Hinweis

Das Auslesen der Hashwerte ist uns unmöglich. Eine darüber hinaus gehende Speicherung oder Weitergabe von Kontakten findet nicht statt!

Zusätzlich können Nutzer manuell über E-Mail-Adresse, Handynummer oder ginlo-ID gefunden werden.

Der Administrator kann den Zugriff auf die Adressbuchkontakte verhindern, indem er die Option 3. Geschlossene Nutzergruppe aktivieren in den Kontakte-Richtlinien wählt.

Sollte der Nutzer den Zugriff ablehnen, können die beiden folgenden Verzeichnistypen verwendet werden.

E-Mail-Verzeichnis

Das E-Mail-Verzeichnis kann verwendet werden, wenn der Nutzer seine geschäftliche E-Mail-Adresse in seinem Profil hinterlegt und verifiziert hat. In diesem Verzeichnis befinden sich alle Nutzer aus der gleichen verifizierten E-Mail-Domäne.

Firmenverzeichnis

Sobald ein Nutzer verwaltet ist, wird ihm das Firmenverzeichnis mit allen Kontakten im jeweiligen ginlo Management Cockpit freigeschaltet. Darin befinden sich alle Nutzer des Unternehmens, die unter Verwaltung stehen. Voraussetzung ist, dass die Nutzer über einen Account verfügen.

Neue Nutzer werden automatisch im Firmenverzeichnis der Kollegen aktualisiert. Sie werden mit einem grünen Label als intern markiert und gelten als vertrauenswürdig. Über die Nutzerprofile können alle vom Administrator gepflegten Informationen (Name, Vorname, Handynummer, E-Mail-Adresse, Abteilung) eingesehen werden. Der Name des Firmenverzeichnisses ist über die Kontakte-Richtlinien änderbar und kann individualisiert werden.

Zudem kann die Kommunikation über die Option Geschlossene Nutzergruppe aktivieren nur auf Nutzer dieses Firmenverzeichnisses eingeschränkt werden. Eine Kommunikation mit externen ginlo Nutzern ist dann nicht mehr möglich.

Vorhandene Chats (mit Kontakten außerhalb des Firmenverzeichnisses) werden deaktiviert, d. h. die Nutzer können nach bzw. von außerhalb keine Nachrichten mehr senden bzw. empfangen.

../_images/09.de.png

Favoriten (D)

Im ginlo Desktop kann aus den Kontakten zusätzlich ein Favoritenverzeichnis erstellt werden. Bewegen Sie dazu die Maus in einem der drei Reiter über den gewünschten Kontakt und klicken Sie auf den grünen Stern am Ende der Zeile. Sie entfernen einen Favoriten, indem Sie im Favoritenverzeichnis mit der Maus darauf zeigen und wieder auf den grünen Stern klicken.

Hinweis

Weitere Informationen zum Thema Kontakte finden Sie in der Desktop Beschreibung unter Kontakte verwalten.

4.2.4.4. Login in Cockpit nicht möglich

Obwohl Ihre Zugangsdaten stimmen, ist kein Login möglich - die Seite bleibt stehen.

Offenbar wurde Ihr Zertifikat nicht geladen. Kontrollieren Sie, ob das Zertifikat in Ihrem Browser gespeichert ist. Falls ein Login dennoch nicht möglich ist, löschen Sie die Chronik Ihres Browsers und schließen Sie ihn. Rufen Sie die Cockpit-Startseite erneut auf.

Verwenden Sie künftig die Voreinstellung Zertifikatspeicher automatisch auswählen.

4.2.4.5. Wiederherstellungcode

Sollte ein ginlo Business Nutzer einmal sein Gerätepasswort vergessen, besteht die Möglichkeit, den Messenger über den Wiederherstellungscode im Self-Service zu entsperren. Das funktioniert aber nur, wenn der Punkt 10 in den Passwort-Richtlinien nicht aktiviert wurde!

Im Standard ist der Self-Service aktiviert. So kann der Nutzer im Messenger über Gerätepasswort vergessen automatisch per E-Mail oder SMS den Wiederherstellungscode erhalten.

Alternativ können Sie über den Punkt 11 der Passwort-Richtlinien auch die manuelle Freigabe durch den Administrator erzwingen:

../_images/23.de.png

Wenn die Funktion Wiederherstellungscode über Admin erzwingen aktiviert ist, erhält der Administrator eine E-Mail mit der Anfrage des Nutzers. Gleichzeitig wird im ginlo Management Cockpit über ein Warndreieck neben dem Nutzerstatus signalisiert, dass die Aufmerksamkeit des Administrators benötigt wird.

Wichtig

Ist der Wiederherstellungscode nicht aktiviert und der Benutzer vergisst sein Gerätepasswort, dann sind die auf dem Gerät gespeicherten Informationen unwiederbringlich verloren, da das kryptografische Schlüsselmaterial mit dem Gerätepasswort und dem Wiederherstellungscode geschützt ist.

Diese Einstellung kann sinnvoll sein, wenn sichergestellt werden soll, dass Administratoren selbst dann nicht auf Inhalte zugreifen können, obwohl sie Zugriff auf das Device und das ginlo Management Cockpit haben.

Über Nutzer bearbeiten können weitere Schritte initiiert werden: Für Nutzer mit einer verifizierten E-Mail-Adresse kann der Code automatisch aus dem ginlo Management Cockpit versendet werden. Klicken Sie hierzu auf Wiederherstellungscode senden.

../_images/24.de.png

Für Nutzer ohne verifizierte E-Mail-Adresse kann sich der Administrator den Code anzeigen lassen, um ihn dem Nutzer z.B. telefonisch mitzuteilen. Im Messenger muss der Wiederherstellungscode vom Nutzer eingegeben und anschließend ein neues persönliches Gerätepasswort vergeben werden. Hier greifen dann die in den App- Settings ggf. hinterlegten Kriterien zur Passwort-Komplexität. Nach der Vergabe eines neuen Passworts gelangt der Nutzer wieder in die Chatübersicht und kann den Messenger wie gewohnt verwenden.

Hinweis

Wurde bereits ein Zweitgerät eingerichtet, kann mit dessen Hilfe ginlo Business auf dem Gerät mit dem vergessenen Gerätepasswort neu installiert und synchronisiert werden.