10. Das ginlo Management Cockpit (B)
Hinweis
Dieses Kapitel richtet sich an Technische Administratoren.
ACHTUNG:
Das ginlo Management Cockpit wird derzeit überarbeitet.
Angezeigte Screenshots werden nach Abschluss des Umbaus angepasst!
10.1. Das ginlo Management Cockpit bestellen
IT-Administratoren können sich auf der ginlo Website über das ginlo Management Cockpit informieren.
Dazu können Sie ginlo Business zuächst für 30 Tage kostenlos ausprobieren, indem Sie den KOSTENLOS TESTEN Button betätigen. Sie gelangen zum Testformular. Füllen Sie die Pflichtfelder aus und versenden Sie das Formular.
Hinweis
Idealerweise verwenden Sie für den Cockpit-Admin-Account eine neutrale E-Mail-Adresse, die nicht direkt einer Person zugeordnet ist - z.B. ginlo_cockpit@IhreFirmenDomain.com
10.2. Im ginlo Management Cockpit registrieren
Wenn Sie das Bestellformular erfolgreich versendet haben, wird ein Account für Sie angelegt. Danach erhalten Sie an die angegebene Adresse die E-Mail Ihr persönlicher Cockpit-Zugang für ginlo Business.
Öffnen Sie den Link aus Ihrer Willkommens-E-Mail.
Vergeben Sie jetzt selbst Ihr persönliches Login-Passwort für das ginlo Management Cockpit. Das Passwort muss aus mindestens 8 Zeichen bestehen. Es muss Klein- und Großbuchstaben und mindestens eine Ziffer oder ein Sonderzeichen enthalten. Speichern Sie Ihr Passwort und merken Sie es sich gut!
Wichtig
Nach dem ersten Login erhalten Sie automatisch per E-Mail einen Recovery Code.
Bewahren Sie diesen sicher und geschützt auf.
Er ist bei Verlust des regulären Passworts die einzige Möglichkeit zur Wiederherstellung des Administrator-Accounts!
Nach der Registrierung ist das ginlo Management Cockpit über die Cockpit-Startseite aufrufbar.
Sollten Sie Hilfe benötigen, antworten Sie bitte einfach auf die Willkommens-E-Mail. Mit Ihrer Registrierung haben wir automatisch ein Support-Ticket eröffnet, um Sie bei Fragen schnell unterstützen zu können.
10.3. Cockpit einrichten und verwalten
Dieser Teil der Dokumentation gibt einen Überblick über das ginlo Management Cockpit, wie man die App konfigurieren, den Rollout von ginlo Business für die Mitarbeiter des Unternehmens ideal vorbereiten und den Einsatz des Messengers effektiv steuern kann.
Das ginlo Management Cockpit erlaubt die Konfiguration der ginlo Business App entsprechend Ihrer Compliance-Anforderungen und eine intuitiv einfache Nutzer- und Lizenzverwaltung.
Über ein Web-Interface kann ein IT- Administrator die App im Unternehmen verteilen und zentral steuern. Neben App-Funktionen lassen sich dabei z.B. das Design anpassen und Nachrichten versenden.
Das innovative ginlo Management Cockpit verfügt u. a. über folgende Funktionen:
Loggen Sie sich zuerst mit Ihrer Admin-E-Mail-Adresse und dem zuvor generierten Passwort in Ihr ginlo Management Cockpit ein. Rufen Sie dazu die Cockpit-Startseite auf.
Sie gelangen zur Startseite.
Oben rechts kann die bevorzugte Sprache (DE für Deutsch und EN für Englisch) eingestellt werden. Rechts daneben befindet sich der Logout Button.
Im Mittelbereich können Sie gezielt bestimmte Teilbereiche anwählen.
Über das Seitenmenü gelangen Sie zum Reporting-Tool, der App- und Nutzerverwaltung und zu den Grundeinstellungen des Cockpits.
In den folgenden Abschnitten werden die Grundeinstellungen des ginlo Management Cockpits, die App- und Nutzerverwaltung sowie das Reporting-Tool beschrieben.
10.3.1. Einstellungen
Wichtig
ACHTUNG: Baustelle!
Die folgenden Abschnitte befinden sich in Überarbeitung!
Bilder und Texte sowie die Reihenfolge der Beschreibung geben den Ist-Zustand nur bedingt wieder.
Wir bitten um Ihr Verständnis.
Bei Fragen wenden Sie sich bitte per E-Mail an unsere Supportabteilung.
In den Einstellungen werden notwendige Informationen zum Unternehmen, administrative Angaben sowie die Nutzerverarbeitung für größere Unternehmen verwaltet. Außerdem erhalten Sie einen Überblick über Ihre gekauften Lizenzen.
10.3.1.1. Unternehmensinformationen
Tragen Sie den Namen und die Postanschrift Ihres Unternehmens ein und vervollständigen Sie die angegebenen Felder. Optional können Sie ein Firmenbild hochladen. Zur Kommunikation stehen zwei Möglichkeiten der Sprachauswahl zur Verfügung: Deutsch oder Englisch.
Ihre Unternehmensangaben werden später von uns zur Rechnungserstellung benötigt.
Bestätigen Sie Ihre Eingaben mit einem Klick auf den grünen Button Speichern unten rechts.
10.3.1.2. Administrator
Geben Sie Ihren Namen und Ihren Vornamen ein. Zusätzlich können Sie hier Ihr Zugangspasswort zu Ihrem ginlo Management Cockpit verwalten. Ihre E-Mail-Adresse und Ihre Handynummer wurden aus Ihrer Bestellung übernommen.
Ihre personenbezogenen Daten dienen zur Kontaktaufnahme durch unsere Supportabteilung.
Bestätigen Sie alle Angaben bzw. Änderungen mit einem Klick auf den grünen Button Speichern unten rechts.
10.3.1.3. Stellvertreter
Das ginlo Management Cockpit eines Unternehmens kann von mehreren Personen (Administratoren) verwaltet werden. Der zuerst angelegte Administrator des ginlo Management Cockpits kann hierzu Stellvertreter anlegen.
Klicken Sie dazu auf Stellvertreter bearbeiten und danach auf den grünen Button Neuen Stellvertreter anlegen unten rechts. Dazu müssen der Name, Vorname, E-Mail-Adresse und die Mobilnummer des stellvertretenden Kollegen hinterlegt werden.
Auch diese Daten werden lediglich zur Kontaktaufnahme verwendet.
Ein Stellvertreter kann ebenfalls auf das ginlo Management Cockpit zugreifen und Nutzer, Gruppen und Kanäle anlegen, bearbeiten und löschen.
Hinweis
Ein Stellvertreter kann keine weiteren Stellvertreter anlegen!
Es ist keine Obergrenze für die Anzahl der Stellvertreter definiert. Aus praktischen Gründen empfehlen wir, nicht mehr als 3 Stellvertreter zu benennen. In der Übersicht der Stellvertreter-Liste können Sie das Datum und die Uhrzeit der Aktivierung und der letzten Anmeldung nachvollziehen.
Ein aktiver Stellvertreter kann in der Detailansicht durch den Administrator des ginlo Management Cockpits auch deaktiviert oder gelöscht werden. Klicken Sie dazu auf Stellvertreter bearbeiten und danach in die entsprechende Zeile in der Übersicht. Oben rechts erscheinen der Löschbutton und ein gelber Button zum Deaktivieren.
Bei einer Deaktivierung wird der Zugang zum ginlo Management Cockpit gesperrt, die Benutzerdaten bleiben aber erhalten. Der Nutzer kann jederzeit wieder als Stellvertreter aktiviert werden.
Bei einer Löschung wird der Stellvertreter dagegen vom System gelöscht und entsprechend markiert. Soll er später noch einmal zum Stellvertreter ernannt werden, muss der Datensatz neu angelegt und der Prozess nochmals durchlaufen werden.
Bestätigen Sie alle Angaben bzw. Änderungen mit einem Klick auf den grünen Button Speichern unten rechts.
10.3.1.4. Bestellhistorie
In der Bestellhistorie sehen Sie eine Übersicht Ihrer Lizenzbestellungen. Diese kann nach Datum sortiert werden. Außerdem können Sie an dieser Stelle über den Button Neue Lizenzen bestellen zusätzlich benötigte Lizenzen anfordern. Tragen Sie dazu die erforderliche Anzahl in das betreffende Feld im Pop-up ein und folgen Sie den weiteren Anweisungen.
10.3.1.5. ginlo Business API
Neben der manuellen Nutzeranlage und dem vereinfachten Importverfahren per CSV zur einmaligen Nutzeranlage bietet ginlo auch die Möglichkeit, Daten über automatisierte Prozesse in das ginlo Management Cockpit zu importieren, z. B. aus einem LDAP-Verzeichnis. Im Gegensatz zum vereinfachten Verfahren werden bei der LDAP-Aktualisierung die Nutzer automatisch angelegt, geändert oder auch gelöscht.
Weiterhin können Nutzer auf diesem Wege Gruppen und Kanälen automatisiert zugeordnet werden. Existieren die jeweiligen Gruppen oder Kanäle noch nicht, werden diese ebenfalls im Zuge des Imports angelegt.
Neben einem LDAP-Verzeichnis kann auch jedes andere System als Quellsystem verwendet werden, wenn die bereitgestellten Nutzerdaten der definierten Datenstruktur entsprechen. In den beiden folgenden Abschnitten finden Sie detaillierte Anleitungen für den zweistufigen Prozess bestehend aus LDAP-Import und -Export.
Für eine kontinuierliche LDAP-Synchronisation steht eine REST-API zur Verfügung. Beim automatisierten Anlegen von Mitarbeitern werden den Nutzern auch Lizenzen, Gruppen, Kanäle und Schlagworte zugewiesen. Existieren die Zuordnungseinheiten noch nicht im System, werden sie direkt über die Schnittstelle angelegt.
Durch die Vielzahl an abgedeckten Funktionen ist eine einfachere, individualisierte Anbindung eines Nutzerverzeichnisdienstes an das ginlo Management Cockpit (z. B. LDAP, AD) möglich, was die Verwaltung der eigenen Mitarbeiterstruktur vereinfacht. Gleichzeitig kann aus der eigenen Infrastruktur das Intervall zur Aktualisierung der Daten gesteuert werden.
Um eine erfolgreiche Authentifizierung gegen die Schnittstelle zu erzielen, ist es notwendig, die Funktion API zu aktivieren.
Anschließend wird ein Zertifikat generiert und dem angemeldeten Administrator per E-Mail sowie das Zertifikat-Passwort per SMS zugesandt. Als zweiter Authentifizierungskanal dient eine Basic-Authentifizierung. Alle relevanten Zugangsdaten können über den Menüpunkt Einstellungen erreicht werden.
Die folgende Abbildung zeigt eine Übersicht über alle relevanten Daten:
Nutzername: erster Bestandteil der Basic-Authentifizierung
Passwort: zweiter Bestandteil der Basic-Authentifizierung
Fingerabdruck Nutzerzertifikat: Fingerabdruck des öffentlichen Zertifikats zur Validierung der Echtheit des zugesandten Zertifikats
Gültig bis: Enddatum der Gültigkeit des Zertifikats
Monitoring URL: Abfrage der Status der letzten 10 Importe, wofür keine Authentifizierung notwendig ist.
Durch Betätigen des Buttons Bearbeiten können Sie
ein neues Passwort generierten;
ein neues Zertifikat senden;
eine neue URL generieren;
Über die beiden Schließen-Buttons gelangen Sie zurück zu den ginlo Management Cockpit-Einstellungen.
10.3.1.5.1. LDAP Import
Die Anlage von LDAP-Daten ist ein zweistufiger Prozess bestehend aus LDAP-Import und Cockpit-Export. Diese Anleitung betrachtet den LDAP-Import.
Details zum LDAP-Export finden Sie im Abschnitt Schnittstellenbeschreibung.
Klicken Sie im Reiter Nutzer oben rechts auf Importvorlage.
Wählen Sie Erweitertes CSV und befüllen Sie dies wie im Abschnitt Schnittstellen beschrieben.
Importieren Sie das befüllte CSV – die Daten werden zunächst geprüft und anschließend für den Import vorbereitet.
In der Vorabprüfung können Sie für Hinweise, Warnungen und Fehler den Prüfbericht exportieren oder den Import fortsetzen.
Der Importvorgang kann je nach Datengröße einen Moment dauern. Der Fortschrittsbalken zeigt dabei auch die verbleibende Restdauer.
Sobald alle Änderungen übernommen wurden, können Sie auch einen detaillierten Importbericht exportieren oder den Vorgang schließen.
10.3.1.5.2. LDAP-Schnittstellenbeschreibung
INHALTSVERZEICHNIS
1 Feldbeschreibung
2 Fehlerübersicht
3 CSV-Beispiele
1 Überblick
2 Rahmenbedingungen
3 Verwendung
4 Statische Struktur
4.1 Paketstruktur
4.2 Klassenstruktur
5 Dynamische Struktur
6 Konfiguration
6.1 Anwendungskonfiguration
6.2 Mapping LDAP-Attribute
1 Voraussetzungen
2 Cockpit REST-Client – Beispielimplementierung
2.1 Abhängigkeiten (Packages)
2.2 Verwendung eines Proxys
2.3 Überprüfung der Verbindung
2.4 Verwendung des Client-Zertifikats
2.5 Verwendung der Basic-Authentifizierung
2.6 Auslesen einer Importdatei
2.7 Beispieldurchführung eines Imports
2.8 Speichern des Ergebnisprotokolls
2.9 Speichern der Importübersicht
2.10 Automatisierungsmöglichkeit des LDAP-Importers
I Einleitung
Die vorliegende Schnittstellenbeschreibung richtet sich an Entwickler, um sie in die Lage zu versetzen, Nutzerdaten für ginlo Business automatisiert zur Verfügung zu stellen.
ginlo Business stellt hierfür eine CSV-basierte Schnittstelle zum Import von Nutzerdaten zur Verfügung.
Die Schnittstelle ermöglicht, Nutzer automatisiert anzulegen, zu ändern und zu löschen.
Weiterhin können Nutzer auf diesem Wege ginlo Gruppen und ginlo Kanälen zugeordnet werden.
Existieren die jeweiligen Gruppen oder Kanäle noch nicht, werden diese ebenfalls im Zuge des Imports angelegt.
In diesem Dokument wird das Format der CSV-Datenstruktur und der dazugehörigen Constraints beschrieben. Sie ist die Grundlage zur Realisierung eines Export-Adapters von Nutzerdaten.
Außerdem gibt es eine beispielhafte Implementierung eines LDAP-Adapters zum Export von Nutzerdaten aus OpenLDAP bzw. Microsoft AD LDS. Die beispielhafte Implementierung kann als Grundlage zur Realisierung eines LDAP-Adapters verwendet werden.
Unabhängig von LDAP-basierten Systemen kann auch jedes andere System als Quellsystem verwendet werden, wenn die bereitgestellten Nutzerdaten der hier definierten CSV-Datenstruktur entsprechen.
Zusätzlich behandelt dieses Dokument die Beschreibung eines automatischen LDAP-Imports. Mittels einer REST-Schnittstelle können die Daten des LDAP-Adapters in das ginlo Management Cockpit aufgenommen werden.
Eine explizite Beschreibung der Schnittstelle wird mit Hilfe einer sogenannten Swagger-Datei realisiert. Diese Beschreibung ermöglicht es, einen Client automatisch zu generieren und für seine Bedürfnisse anzupassen.
Im Weiteren finden sich die folgenden Informationen:
Im Kapitel II befindet sich die detaillierte Beschreibung der CSV-Datenstruktur. Sie ist für die Entwicklung eines Export-Adapters relevant.
Im Kapitel III.6.1 wird beschrieben, wie der LDAP-Server für den Adapter zu konfigurieren ist.
Im Kapitel III.6.2 wird das Mapping von LDAP-Feldern auf die Datenstruktur von ginlo Nutzer definiert.
Kapitel IV beschreibt technisch die REST-Schnittstelle für den Import von LDAP-Daten und zeigt an einer beispielhaften Implementierung, wie diese zu verwenden ist.
Dieser Abschnitt zeigt den Aufbau der Gesamtstruktur und stellt das Zusammenspiel der einzelnen Komponenten dar.
Der LDAP-Adapter wurde dazu entwickelt, Daten aus einem Microsoft Active Directory auszulesen und im CSV-Format bereitzustellen.
Die explizite Struktur des Formats ist in Kapitel II beschrieben.
Die durch den LDAP-Adapter erzeugte Datei bietet die Grundlage für den LDAP-Importer, welcher über die durch ginlo bereitgestellte REST-Schnittstelle mit dem Service des ginlo Management Cockpits kommunizieren und Nutzer, Gruppen, Kanäle und Keywords anlegen und aktualisieren kann sowie Zuordnungen dieser zu den Nutzern realisieren kann.
Das Ergebnis dieses Zusammenspiels stellt die direkte Abbildung des Inhalts des Active Directories im ginlo Management Cockpit dar. Die nachfolgende Darstellung zeigt den Prozess visuell auf.
II CSV-Datenstruktur
Für den Import von Nutzern in das ginlo Management Cockpit muss eine CSV-Datei mit den Nutzerinformationen erstellt werden.
Dazu muss die CSV-Datei UTF8-kodiert sein und dem folgenden Format entsprechen:
"ACTION";"CREATED";"MODIFIED";"USER_ID";"DEPARTMENT";"PHONE";"EMAIL";"LAST_NAME";"FIRST_NAME";"KEYWORDS";"CHANNELS";"GROUPS"
"INSERT";"2018-02-27T03:58:21";"2018-02-27T03:58:21";"BA9170A1341038489BED9BE23C0E11F4";"IT";"+4991634000002";"max.mustermann-002@myldap.localhost";"Max Mustermann-002";"Max";"myldap GmbH,Verwaltung, IT";"myldap company channel, myldap it channel, myldap employee channel";"myldap it group"
In der ersten Zeile der CSV-Datei müssen die obigen Feldbezeichnungen vollständig vorhanden und ausschließlich mit Semikolon (ohne zusätzliche Whitespaces) getrennt sein.
Außerdem müssen die Feldbezeichnungen in Anführungszeichen gesetzt sein.
Jede nachfolgende Zeile muss die Daten eines Nutzers enthalten. Auch die Nutzerdaten müssen in Anführungszeichen gesetzt und ausschließlich durch Semikolon (ohne zusätzliche Whitespaces) getrennt sein.
Für den Zeilenumbruch ist ein Linefeed (n) zu verwenden.
Bemerkung
In Textfeldern dürfen die folgenden Zeichen nicht verwendet werden:
; „ < > { } &
Leere Zeilen werden beim Import ignoriert.
Die verwendeten Felder innerhalb der CSV-Datenstruktur sind in der untenstehenden Tabelle im Überblick dargestellt.
Im nachfolgenden Kapitel werden die Felder und deren Constraints detailliert beschrieben.
Attribut |
Beschreibung |
---|---|
ACTION |
Beschreibt, ob es sich um eine Neuanlage, Modifikation oder Löschung handelt Gültige Werte sind: INSERT, UPDATE, DELETE |
CREATED |
Datum der Nutzeranlage im LDAP-Provider Format: <YYYY>-<MM>-<DD>T<HH>:<MM>:<SS> |
MODIFIED |
Datum der letzten Modifikation des Nutzers im LDAP-Provider Format: <YYYY>-<MM>-<DD>T<HH>:<MM>:<SS> |
USER_ID |
ID des Nutzers im LDAP-Provider. Das Format ist durch den jeweiligen LDAP-Provider definiert. |
DEPARTMENT |
Abteilung des Nutzers |
PHONE |
Telefonnummer des Nutzers |
Mailadresse des Nutzers |
|
LAST_NAME |
Nachname des Nutzers |
FIRST_NAME |
Vorname des Nutzers |
KEYWORDS |
Für den Nutzer im LDAP-Provider hinterlegte ginlo Stichwörter Format: kommaseparierte Liste |
CHANNELS |
Für den Nutzer im LDAP-Provider hinterlegte Kanäle Format: kommaseparierte Liste |
GROUPS |
Für den Nutzer im LDAP-Provider hinterlegte Gruppen Format: kommaseparierte Liste |
Tabelle 1: CSV-Datenstruktur
1 Feldbeschreibung
ACTION
definiert, ob ein Nutzer angelegt, geändert oder gelöscht werden soll. Zulässige Werte sind INSERT, UPDATE und DELETE. Im Falle, dass ein Nutzer mit der Aktion
INSERT angelegt werden soll und bereits existiert, wird die Aktion als UPDATE interpretiert;
UPDATE angelegt werden soll und noch nicht existiert, wird die Aktion als INSERT interpretiert. Sind die zu aktualisierenden Daten identisch mit den Einträgen in der Importdatei wird die Aktion ignoriert und protokolliert.
DELETE gelöscht werden soll und nicht existiert, wird die Aktion ignoriert und protokolliert;
Ein leerer Wert ist nicht zulässig. INSERT und UPDATE verhalten sich inhaltlich gleich. Lediglich die Meldung im erzeugten Report unterscheidet sich, je nachdem, ob der Datensatz vor dem Import vorhanden war oder nicht.
Dieses Verhalten kann genutzt werden, um anhand der Protokolldatei einen Sanity Check durchzuführen.
CREATED
definiert den Anlagezeitpunkt des Nutzers im Quellsystem. Der Zeitstempel muss dem Format
<YYYY>-<MM>-<DD>T<HH>-<MM>-<SS>
entsprechen.
Aktuell wird das Feld im Importprozess ignoriert. Ein leerer Wert ist zulässig.
MODIFIED
definiert den Änderungszeitpunkt des Nutzers im Quellsystem. Der Zeitstempel muss dem Format
<YYYY>-<MM>-<DD>T<HH>-<MM>-<SS>
entsprechen.
Aktuell wird das Feld im Importprozess ignoriert. Ein leerer Wert ist zulässig.
USER_ID
ist die ID des Nutzers im Quellsystem. Die USER_ID wird als externe ID beim ginlo Nutzer gespeichert.
Der Inhalt des Feldes muss eindeutig und darf nicht mehreren Nutzern zugeordnet sein. Wird eine Mehrdeutigkeit identifiziert, werden die Daten des Nutzers nicht verarbeitet.
Die maximale Länge der USER_ID beträgt 100 Zeichen. Zulässig sind alle druckbaren ASCII-Zeichen. Ausgenommen sind die Zeichen < und >.
DEPARTMENT
definiert die Organisationseinheit, dem der Nutzer im Quellsystem zugeordnet ist. Die Organisationseinheit wird beim ginlo Nutzer als Abteilung hinterlegt. Ein leerer Wert ist zulässig.
PHONE
definiert die Mobilfunknummer des Nutzers. Die Mobilfunknummer muss einem der beiden folgenden Formate entsprechen:
+<Ländervorwahl><Nationale Vorwahl><Anschlusskennung>
<Nationale Vorwahl><Anschlusskennung>
Das erste entspricht dabei dem E.164-Standard. Es muss eine gültige Mobilfunknummer übergeben werden, die maximal 15 Zeichen umfassen darf.
Die Mobilfunknummer wird mit dem ginlo Nutzer gespeichert. Wurde keine Ländervorwahl angegeben, so wird die Vorwahl +49 angenommen. Ein leerer Wert ist zulässig.
Der Inhalt des nicht-leeren Feldes muss eindeutig und darf nicht mehreren Nutzern zugeordnet sein. Wird eine Mehrdeutigkeit identifiziert, werden die Daten des Nutzers nicht verarbeitet.
EMAIL
muss eine gültige E-Mail-Adresse sein. Die E-Mail-Adresse wird mit dem ginlo Nutzer gespeichert. Ein leerer Wert ist zulässig.
Der Inhalt des nicht-leeren Feldes muss eindeutig und darf nicht mehreren Nutzern zugeordnet sein. Wird eine Mehrdeutigkeit identifiziert, werden die Daten des Nutzers nicht verarbeitet.
LAST_NAME
definiert den Nachnamen des Nutzers und darf maximal eine Länge von 30 Zeichen aufweisen. Der Nachname wird dem ginlo Nutzer hinzugefügt.
Zulässig sind alle druckbaren ASCII-Zeichen. Ausgenommen sind die Zeichen < und > und ein leerer String.
FIRST_NAME
Definiert den Vornamen des Nutzers und darf maximal eine Länge von 30 Zeichen aufweisen. Der Vorname wird dem ginlo Nutzer hinzugefügt.
Zulässig sind alle druckbaren ASCII-Zeichen. Ausgenommen sind die Zeichen < und > und ein leerer String.
KEYWORDS
Im Feld KEYWORDS werden ginlo spezifische Schlagworte gespeichert, die der Organisation der Nutzer im ginlo Management Cockpit dienen.
Die Schlagworte müssen im Feld als kommaseparierte Liste vorliegen.
Der Feldinhalt darf maximal eine Länge von 100 Zeichen aufweisen. Die Schlagworte werden dem ginlo Nutzer hinzugefügt.
Zulässig sind alle druckbaren ASCII-Zeichen. Ausgenommen sind die Zeichen < und > und ein leerer String.
CHANNELS
Im Feld CHANNELS werden ginlo spezifische Kanäle gespeichert, denen der Nutzer beim Import automatisch zugeordnet wird.
Existiert ein Kanal zum Importzeitpunkt nicht, wird der Kanal automatisch angelegt.
Ist ein dem Nutzer zugeordneter Kanal im Feld nicht länger enthalten, wird die Zuordnung des Nutzers zum Kanal im Kontext des Imports gelöscht.
Die Kanäle müssen im Feld als kommaseparierte Liste vorliegen.
Der Feldinhalt darf maximal eine Länge von 100 Zeichen aufweisen. Die Kanäle werden dem ginlo Nutzer hinzugefügt. Ein leerer Wert ist zulässig.
GROUPS
Im Feld GROUPS werden ginlo spezifische Gruppen gespeichert, denen der Nutzer beim Import automatisch zugeordnet wird.
Existiert eine Gruppe zum Importzeitpunkt nicht, wird die Gruppe automatisch angelegt.
Ist eine dem Nutzer zugeordnete Gruppe im Feld nicht länger enthalten, wird die Zuordnung des Nutzers zur Gruppe im Kontext des Imports gelöscht.
Die Gruppen müssen im Feld als kommaseparierte Liste vorliegen.
Der Feldinhalt darf maximal eine Länge von 100 Zeichen aufweisen. Die Gruppen werden dem ginlo Nutzer hinzugefügt. Ein leerer Wert ist zulässig.
2 Fehlerübersicht
Beim Import können eine Reihe von verschiedenen Fehlern auftreten. Je nach Schwere des Fehlers werden diese in die Fehlerkategorie INFO, WARNING, ERROR und FATAL_ERROR zugeordnet.
Fehlerkategorie |
Beschreibung |
---|---|
INFO |
Es ist kein tatsächlicher Fehler aufgetreten; Es handelt sich nur um eine Information für den Administrator. |
WARNING |
Es ist ein automatisch behebbarer Fehler auf Datensatzebene aufgetreten. |
ERROR |
Es ist ein nicht automatisch behebbarer Fehler aufgetreten. Der Datensatz wird übersprungen, der Import geht weiter. |
FATAL_ERROR |
Es ist ein nicht automatisch behebbarer Fehler aufgetreten. Der Import wird abgebrochen. |
Tabelle 2: Fehlerkategorien
Folgende Klassifizierung der Fehler ist umzusetzen:
ID |
Fehler |
Kategorie |
Regeln zur automatischen Fehlerbehebung bei WARNING |
---|---|---|---|
IMP-1 |
Importdatei zu groß (max. 10 MB) |
FATAL_ERROR |
|
IMP-2 |
Leere Zeile |
ERROR |
|
IMP-3 |
Fehlendes Pflichtfeld ACTION |
ERROR |
|
IMP-4 |
Fehlendes Pflichtfeld USER_ID |
ERROR |
|
IMP-5 |
Fehlendes Pflichtfeld LAST_NAME |
ERROR |
|
IMP-6 |
Fehlendes Pflichtfeld FIRST_NAME |
ERROR |
|
IMP-7 |
Doppelte USER_ID im Import |
ERROR |
Hinweis: Nur der erste Import zählt, jedes weitere Vorkommen wäre dann ein ERROR. |
IMP-8 |
Telefonnummer bereits benutzt |
INFO |
Keine Sonderbehandlung, sondern bestehendes Verfahren bei einer Registrierung mit einer bereits vorhandenen Tel.-Nr. (Kanal aktivieren etc.) |
IMP-9 |
E-Mail-Adresse schon benutzt |
INFO |
Analog zu IMP-8 - nur mit Mail |
IMP-10 |
Freemailer – E-Mail-Adresse |
ERROR |
|
IMP-11 |
Längenprüfung für LAST_NAME fehlgeschlagen |
WARNING |
Abschneiden auf erlaubte Länge |
IMP-12 |
Längenprüfung für FIRST_NAME fehlgeschlagen |
WARNING |
Abschneiden auf erlaubte Länge |
IMP-13 |
Längenprüfung für USER_ID fehlgeschlagen |
ERROR |
|
IMP-14 |
Längenprüfung für KEYWORDS fehlgeschlagen |
WARNING |
Abschneiden auf erlaubte Länge |
IMP-15 |
Längenprüfung für GROUPS fehlgeschlagen |
WARNING |
Abschneiden auf erlaubte Länge |
IMP-16 |
Längenprüfung für CHANNELS fehlgeschlagen |
WARNING |
Abschneiden auf erlaubte Länge |
IMP-17 |
Syntaktisch ungültige E-Mail-Adresse |
ERROR |
|
IMP-18 |
Syntaktisch ungültige Telefonnummer |
ERROR |
|
IMP-19 |
Fehlende E-Mail-Adresse + Telefonnummer (keiner der beiden Werte ist gesetzt) |
ERROR |
|
IMP-20 |
Fehlerhaftes Datumsformat CREATED |
WARNING |
Feld wird ignoriert |
IMP-21 |
Fehlerhaftes Datumsformat MODIFIED |
WARNING |
Feld wird ignoriert |
IMP-22 |
Keine Lizenz zum Zuordnen vorhanden |
WARNING |
Dem Nutzer wird keine Lizenz zugewiesen |
IMP-23 |
Kommunikation mit ginlo fehlgeschlagen |
FATAL_ERROR |
|
IMP-24 |
Fehlerhafte ACTION Insert |
WARNING |
Insert wird zu Update geändert |
IMP-25 |
Fehlerhafte ACTION Update |
WARNING |
Update wird zu Insert geändert |
IMP-26 |
Fehlerhafte ACTION Delete |
ERROR |
|
IMP-27 |
Ungültige Zeichen in LAST_NAME, FIRST_NAME, USER_ID |
ERROR |
|
IMP-28 |
Ungültige Zeichen in FIRST_NAME |
ERROR |
|
IMP-29 |
Ungültige Zeichen in USERID |
ERROR |
|
IMP-30 |
Falsches Format Importdatei (bspw. falsche Anzahl Spalten) |
FATAL_ERROR |
|
IMP-31 |
Telefonnummer doppelt in der Importdatei |
ERROR |
|
IMP-32 |
E-Mail-Adresse doppelt in der Importdatei |
ERROR |
|
IMP-33 |
Unbekannte ACTION |
ERROR |
Zeile wird nicht importiert |
IMP-34 |
Datensatz nicht akzeptiert bzw. ein unerwarteter Fehler ist aufgetreten |
FATAL_ERROR |
|
IMP-35 |
Zugeordneter Gruppenname ist mehrfach vergeben |
FATAL_ERROR |
|
IMP-36 |
Zugeordneter Kanalname ist mehrfach vergeben |
FATAL_ERROR |
Tabelle 3: Fehlerübersicht
3 CSV-Beispiele
Exportbeispiel für Nutzeranlage
In dem nachfolgenden Beispiel repräsentiert die CSV-Exportdatei die Anlage von drei neuen Nutzern, die in ginlo angelegt werden sollen.
"ACTION";"CREATED";"MODIFIED";"USER_ID";"DEPARTMENT";"PHONE";"EMAIL";"LAST_NAME";"FIRST_NAME";
"KEYWORDS";"CHANNELS";"GROUPS"
"INSERT";"2020-01-27T03:58:21";"2020-02-12T03:58:21";"EF3451234";"IT";"+491627563452";
"tina.schuber@mail.de";"Schuber";"Tina";"";"Sport, Urlaub";"DevOps"
"INSERT";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"AFG236464";"IT";"+491717826732";
"teresa.lamau@mail.de";"Lamau";"Teresa";"Team-Lead";"Team-Leads";"News"
"INSERT";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"672777777";"IT";"+491516173647";
"simon.terfon@mail.de";"Terfon";"Simon";"";"Sport";"News"
Exportbeispiel für Nutzeränderung
In dem nachfolgenden Beispiel werden zwei der zuvor angelegten Nutzer verändert (Nutzerin Lamau wechselt in Gruppe Telco, Nutzer Simon ändert die Rufnummer) sowie ein weiterer Nutzer hinzugefügt.
"ACTION";"CREATED";"MODIFIED";"USER_ID";"DEPARTMENT";"PHONE";"EMAIL";"LAST_NAME";"FIRST_NAME";
"KEYWORDS";"CHANNELS";"GROUPS"
"UPDATE";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"AFG236464";"IT";"+491717826732";
"teresa.lamau@mail.de";"Lamau";"Teresa";"Team-Lead";"Team-Leads";"Telco"
"UPDATE";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"672777777";"IT";"+491832457261";
"simon.terfon@mail.de";"Terfon";"Simon";"";"Sport";"News"
"INSERT";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"648728384";"Business";"+491613458725";
"norbert.meier@mail.de";"Meier";"Norbert";"";"Unternehmensnachrichten, Vertrieb";"Telco, News"
Exportbeispiel für Nutzerlöschung
In dem nachfolgenden Beispiel werden zwei der zuvor angelegten Nutzer wieder gelöscht (Nutzerin Lamau, Nutzer Terfon).
ACTION";"CREATED";"MODIFIED";"USER_ID";"DEPARTMENT";"PHONE";"EMAIL";"LAST_NAME";"FIRST_NAME";
"KEYWORDS";"CHANNELS";"GROUPS"
"DELETE";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"AFG236464";"IT";"+491717826732";
"teresa.lamau@mail.de";"Lamau";"Teresa";"";"";""
"DELETE";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"672777777";"IT";"+491832457261";
"simon.terfon@mail.de";"Terfon";"Simon";"";"";""
Exportbeispiel für fehlerhafte Nutzerdefinition
In dem nachfolgenden Beispiel wurde eine Nutzerin exportiert, die die gleiche Mobilfunknummer hat, wie der zuvor exportierte Nutzer Norbert Meier.
Wie im Kapitel II.1 beschrieben, ist eine mehrdeutige Zuordnung nicht zulässig und der nachfolgende Import würde den Eintrag als fehlerhaft identifizieren und nicht importieren.
ACTION";"CREATED";"MODIFIED";"USER_ID";"DEPARTMENT";"PHONE";"EMAIL";"LAST_NAME";"FIRST_NAME";
"KEYWORDS";"CHANNELS";"GROUPS"
"INSERT";"2020-02-27T03:58:21";"2020-02-27T03:58:21";"1237635";"Business";"+491613458725";
"sina.kundig@mail.de";"Kundig";"Sina";"";"IT News";"Logistik"
III LDAP-Adapter
Der sogenannte LDAP-Adapter ist eine exemplarische Umsetzung eines Adapters zwischen einem LDAP-Server und der beschriebenen CSV-Struktur.
Der LDAP-Adapter wird von ginlo als Vorlage bereitgestellt, erhält jedoch keinen Support durch ginlo.
Der Quelltext darf im Rahmen einer Anbindung an ginlo verwendet und in Ihre Software Komponenten eingebaut und vertrieben werden („open source“).
Die kanonischen Schnittstellen sind der CSV-Import über das ginlo Management Cockpit und über die REST-Schnittstelle.
1 Überblick
In diesem Kapitel wird für die Zielgruppe Entwickler die bereitgestellte Implementierung eines LDAP-Adapters beschrieben.
Die Implementierung ist für die Anbindung der LDAP-Provider Microsoft AD LDS und OpenLDAP vorgesehen. Hiervon abweichende LDAP-Provider können ebenfalls angebunden werden. Dabei können zusätzliche Implementierungsanpassungen und ggf. zusätzliche Konfigurationselemente notwendig sein.
Aufgabe des LDAP-Adapters ist es, die Nutzerdaten innerhalb des LDAP-Providers zu identifizieren und in die definierte CSV-Struktur zu überführen.
Bestandteil der Identifikation von Nutzerdaten ist es zu bestimmen, welche Nutzer neu hinzuzufügen, welche zu ändern und welche zu löschen sind.
Der LDAP-Adapter setzt sich aus den folgenden Subkomponenten zusammen:
H2-Datenbank zur Persistierung der exportierten Daten
HTTP-Server zur Bereitstellung der Services
Service-Implementierung
Der LDAP-Adapter ist in Java realisiert. Der Adapter ist eine in sich abgeschlossene Spring-Boot-Anwendung und enthält als solche die oben aufgeführten Subkomponenten.
Die Klassen sind als Spring Beans realisiert und werden entsprechend konfiguriert.
2 Rahmenbedingungen
Für den Einsatz des LDAP-Prototyps müssen die folgenden Voraussetzungen erfüllt sein:
Java-Laufzeitumgebung in der Version 8
LDAP-Provider Microsoft AD LDS oder OpenLDA
Zusätzliche Merkmale für die Zuordnung von Gruppen, Kanälen und Schlagworten müssen im LDAP-Provider konfigurierbar sein.
Nutzerdaten müssen den Voraussetzungen des ginlo Datenmodells für Nutzerdaten entsprechen
3 Verwendung
Der Export der Nutzerdaten wird durch den folgenden Aufruf gestartet:
<http-server>/secmes-ldap-simsme-exp/commands/exportLdapSimsMeUser
Unter Angabe des HTTP-Parameters exportType=ALL werden sämtliche Nutzerdaten der LDAP-Instanz exportiert. Das Delta zum vorherigen Export wird durch die Angabe des Parameters exportType=DIFF erzeugt.
Die aus der LDAP-Instanz exportierten Daten werden in der H2-Datenbank persistiert. Die HTTP-Response des Service ist eine JSON-Struktur, die den konkreten Export identifiziert.
{"exportInfo":{"id":"161BDDCE52527da12d710334469bd2e4fdc17c41dee00","ldapUrl":"ldap://secmes-
ldap:389","ldapBase":"dc=simsme,dc=dpag,dc=de","ldapUserRecordCount":11,"exportFile":"simsmeLdapUserExp
ort-20180222-141345-894---161BDDCE52527da12d710334469bd2e4fdc17c41dee00---
all.csv","exportInfoFile":"simsmeLdapUserExport-20180222-141345-894---
161BDDCE52527da12d710334469bd2e4fdc17c41dee00---all.json","exportLogFile":"simsmeLdapUserExport-
20180222-141345-894---161BDDCE52527da12d710334469bd2e4fdc17c41dee00---
all.log","exportType":"ALL","exportFileLength":2926,"startTimestamp":"2018-02-
22T14:13:45.893+00:00","endTimestamp":"2018-02-
22T14:13:45.919+00:00","error":false,"errorStacktrace":null,"message":"OK","exportRecordCount":11,
"deleteRecordCount":0,"upsertRecordCount":11}}
Exportierte Nutzerdaten werden als Snapshot in einer H2-Datenbank hinterlegt. Beim erneuten Export erfolgt über diese Datenbank der Delta-Abgleich. Hieraus ergeben sich die Aktions-Kommandos „INSERT“, „UPDATE“ und „DELETE“ für die CSV-Datenstruktur.
Die enthaltene ID kann im Folgenden dazu genutzt werden, um die exportierten Nutzerdaten als CSV-Datei bereitzustellen. Dazu ist der nachfolgende Service unter Angabe einer der exportID aufzurufen:
<http-server>/secmes-ldap-simsme-exp/commands/exportInfo/{exportId}/download
Auf diesem Weg können alle bislang durchgeführten Exporte als CSV-Datei bereitgestellt werden.
Neben der direkten Verwendung der Service-Methoden steht zusätzlich das Swagger UI zur Verfügung, über das die Parametrisierung der Aufrufe per UI erfolgen kann.
Über das Swagger UI stehen alle Services zur Verfügung, die durch den LDAP-Adapter angeboten werden. Das Swagger UI wird über die folgende URL erreicht:
<http-server>/secmes-ldap-simsme-exp/swagger-ui.html
Der Zugriff auf die LDAP-Instanz als auch das Mapping der LDAP-Attribute auf die CSV-Datenstruktur ist konfigurativ im Adapter hinterlegt. Weitere Informationen hierzu finden sich im Kapitel III.6.2
4 Statische Struktur
4.1 Paketstruktur
Der LDAP-Adapter ist in mehrere Pakete (Java Packages) strukturiert. Die Packages finden sich als Subpackages im Pfad de.dpag.simsme.ldapexport.
Die folgenden zentralen Subpackages realisieren die Funktionalität des LDAP-Adapters:
Adapter
implementiert den Zugriff auf den LDAP-Provider und definiert das Mapping der Attribute.
Configuration
implementiert das Auslesen der Komponenten- und LDAP-Provider-Attribute aus der Konfigurationsdatei der Anwendung.
Controller
stellt die Service-Schnittstelle der Komponente bereit.
Domain
definiert die Entitäten des LDAP-Adapters.
Processor
realisiert die einzelnen Kommandos, die bei Aufruf der Service-Methoden ausgelöst werden.
Service
implementiert die Generierung der exportierten Daten als CSV-Datei.
4.2 Klassenstruktur
Adapter
Im Package de.dpag.simsme.ldapexport.adapter.ldap sind die Klassen zur Anbindung an den LDAP-Provider realisiert.
Ausgangspunkt ist die Klasse LdapAdapterServerImpl. Diese stellt die Methode zum Auslesen der Nutzerdaten zur Verfügung.
Das Auslesen der Nutzerdaten erfolgt über die Klasse BaseLdapReader, die das Interface LdapReader implementiert.
Basierend auf den Konfigurationsdaten zum LDAP-Provider (siehe Kapitel III.6.1) wird eine Instanz des LdapReader in der Klasse LdapAdapterServerImpl erzeugt. An diese wird anschließend das Auslesen der Daten delegiert.
Der konkrete Zugriff auf einen LDAP-Provider ist unter Verwendung von Spring realisiert. Hierzu werden die Klassen LdapTemplate, LdapQueryBuilder und SearchScope verwendet.
Die Implementierung des LDAP-Adapters ist unabhängig vom LDAP-Provider und wird ausschließlich per Konfiguration an einen konkreten Provider gebunden.
Auf diese Weise können LDAP-Produkte unterschiedlicher Hersteller (bspw. OpenLDAP) adressiert werden.
Die zugehörigen Konfigurationsinformationen sind im Kapitel III.6.1 beschrieben. Die Zusammenhänge der Klassen finden sich in der nachfolgenden Abbildung.
Controller und Commands
Die nach außen verfügbare Schnittstelle des LDAP-Adapters wird durch Klassen im Package de.dpag.simsme.ldapexport.controller realisiert.
Die Klasse SecmesLdapExportController realisiert die nach außen verfügbaren Services auf Basis des Command-Patterns. Jeder Service entspricht einem Command.
Für jeden nach außen verfügbaren Service gibt es eine Command-Implementierung, die die zugehörige Funktionalität realisieren. Jede Command-Klasse (bspw. ExportLdapSimsMeUser) leitet sich von der Oberklasse AbstractClientCommand ab.
Das protokollbezogene Handling der HTTP-basierenden Aufrufe ist in den Oberklassen AbstractCommandController und AbstractApplicationController abstrahiert. Auch hier wird das Spring-Framework für den technischen Umgang verwendet.
Service
Die Klassen im Package de.dpag.simsme.ldapexport.service realisieren die Generierung der Exportinformationen und -dateien als auch die Persistierung exportierter Daten in eine Datenbank (in diesem Fall H2) sowie den Zugriff darauf.
In der Klasse UserSnapshotServiceDefaultImpl werden alle datenbankbezogenen Persistenzmethoden realisiert. Dies beinhaltet das Speichern von Nutzerdaten aus einem LDAP-Provider als auch das Auslesen dieser.
Die Klasse LdapUserExportServiceDefaultImpl verwendet diese Methoden zum Auslesen und Erzeugen von Export-Information (ExportInfo). Wesentliche Aufgabe der Klasse ist jedoch die Generierung einer Repräsentanz von Nutzerdaten als CSV-Datei.
Beide Implementierungen verwenden die Spring-Mechanismen zur Konfiguration.
5 Dynamische Struktur
Der nachfolgende Ablauf zeigt die Aufrufkette beim Exportieren von Nutzerdaten:
Die nachfolgende Tabelle erläutert die oben dokumentierten Schritte in kurzer Form:
Schritt |
Methode |
Beschreibung |
---|---|---|
1 |
exportLdapSimsMeUser |
Entgegennahme des HTTP-Requests |
2 |
onExecute |
Start des Exports |
3 |
export Start |
LDAP-Anfrage und Erzeugung Ergebnisdateien |
4 |
findAllSimsMeUsers |
Aufbereitung der LDAP-Anfrage |
5 |
findAllSimsMeUsers |
Auslesen der Nutzerdaten aus dem LDAP-Provider |
6 |
save |
Speicherung der Daten in H2-Datenbank |
7 |
downloadExportInfo |
Entgegennahme des HTTP-Requests |
8 |
onExecute |
Start des Downloads |
9 |
getExportInfo |
Identifizierung und Download der CSV-Datei |
Tabelle 4: Schritte zum Export von Nutzerdaten
6 Konfiguration
Der LDAP-Prototyp wird über mehrere Konfigurationsdateien an den konkreten Einsatz angepasst.
6.1 Anwendungskonfiguration
Die Konfiguration der Spring Beans erfolgt in der Datei application.yml (YAML-Datei).
Für weitere Umgebungen (bspw. lokale Entwicklung) können Konfigurationsdateien angelegt werden, die der jeweiligen Umgebung gerecht werden. Die Benennung erfolgt über einen Postfix (bspw. application-local.yml).
In der Konfigurationsdatei werden u. a. der Port der Anwendung, Logging-Verhalten und die Datenbank konfiguriert.Weiterhin sind hier auch die Zugriffsinformationen des LDAP-Providers hinterlegt.
Eine beispielhafte Konfiguration ist im Folgenden zu sehen.
ldap:
url: ${LDAP_URL:ldap//secmes-ldap:389}
base: ${LDAP_BASE:dc=simsme}
user: ${LDAP_USER:cn=admin,dc=simsme}
password: ${LDAP_PASSWORD:password}
readerImplementationClass: ${LDAP_READER_IMPLEMENTATION_CLASS:}
readerConfigFile: ${LDAP_READER_CONFIG_FILE:}
exportDir: ${LDAP_EXPORT_DIR:${INSTANCE_HOME:${user.dir}}/export}
Das Konfigurationselement readerConfigFile definiert die Konfigurationsdatei, in der das Mapping der LDAP-Attribute hinterlegt ist.
Das Konfigurationselement exportDir legt das Verzeichnis fest, in dem der Adapter exportierte CSV-Dateien zwischenspeichert, um diese auf Anforderung zur Verfügung zu stellen.
6.2 Mapping LDAP-Attribute
Das Mapping der LDAP-Attribute auf die ginlo-Nutzerdaten wird konfigurativ definiert. Die Konfiguration erfolgt im JSON-Format und wird in der Datei LdapReaderConfiguration.json beschrieben.
Neben den ginlo-Attributen ist hier auch festlegt, wo die Nutzerdaten in der Datenstruktur des LDAP-Providers zu finden sind.
Im Folgenden ist eine beispielhafte Konfiguration dargestellt. Mittels der Merkmale cd, dn und userEntryObjectClass ist festgelegt, welches Objekt auf die Nutzerdaten zu mappen ist:
IV LDAP-Importer
Hinweis
Dieser Bereich wird überarbeitet; veraltete Links funktionieren nicht mehr.
Bei speziellen Fragen wenden Sie sich bitte per E-Mail an b2b-support@ginlo.net .
Der LDAP-Importer verarbeitet die Daten des LDAP-Adapters und integriert diese automatisiert in das ginlo Management Cockpit. Dabei kann der Prozess autark und ohne zusätzliche Administrator-Interaktion arbeiten.
Insbesondere bei großen Firmen sollen manuelle Prozesse vermieden werden, um den Aufwand für die Verwaltung der eigenen Mitarbeiter möglichst gering zu halten.
Um dies zu realisieren, können über die REST-Schnittstelle LDAP-Importdateien hochgeladen, deren Status abgefragt und das Ergebnisprotokoll ermittelt werden.
1 Voraussetzungen
Für die allgemeine Verwendung der REST-Schnittstelle ist eine Authentifizierung notwendig.
Zum einen wird ein spezieller Nutzer benötigt, welcher sich mittels Basic-Authentifizierung gegen das System anmeldet und zum anderen ein Clientzertifikat.
Das Anlegen eines solchen Nutzers erfolgt über das ginlo Management Cockpit durch den Administrator. Dafür ist unter den Einstellungen der Button LDAP API aktivieren zu finden.
Eine genaue Anleitung zum Anlegen eines API-Nutzers finden Sie in der ginlo Management Cockpit Dokumentation.
Intern wird durch den Administrator ein neuer Stellvertreter vom Typ „apiuser“ angelegt. Für diesen Nutzer wird ein Passwort erzeugt und ein Clientzertifikat generiert. Das öffentliche Clientzertifikat wird analog einer Stellvertretung auf den Servern verteilt.
Wenn ein API-Nutzer angelegt wurde, dann kann der Administrator über die Funktion Zugangsdaten anzeigen sich die Zugangsdaten (Nutzername + Passwort) anzeigen lassen und das öffentliche Clientzertifikat herunterladen, um dessen Richtigkeit zu überprüfen.
Den privaten Teil des Zertifikats bekommt der angemeldete Administrator auf seine hinterlegte E-Mail-Adresse gesendet.
Mit diesen Zugangsdaten kann der Kunde die Cockpit-API ansprechen. Die Authentifizierung erfolgt dabei über zwei Komponenten: Der Nutzername und das Passwort wird als Basic-Auth übergeben, und als zweiter Faktor dient das Clientzertifikat.
Sollten diese Zugangsdaten kompromittiert sein, kann der Administrator über die Cockpit-Oberfläche ein neues Passwort generieren und ggf. auch ein neues Clientzertifikat erzeugen. Die vorhandenen Zugangsdaten verlieren damit ihre Gültigkeit.
2 Cockpit REST-Client – Beispielimplementierung
Die genaue Spezifikation der von ginlo bereitgestellten REST-Schnittstelle ist in einer Swagger-Datei festgehalten. Diese kann hier heruntergeladen werden.
Für eine vereinfachte Integration in die firmeneigenen Strukturen ist eine automatische Generierung eines Clients mithilfe dieser Datei über Swagger UI möglich.
Die nachfolgenden Punkte beschreiben eine detaillierte Verwendung des Clients an einigen Beispielen und beinhalten nützliche Hinweise zur Anpassung des generierten Clients.
2.1 Abhängigkeiten (Packages)
Damit der von Swagger generierte Client lauffähig ist, sind einige Abhängigkeiten notwendig, welche dem Projekt hinzugefügt werden sollten. Dazu zählen:
gson-2.8.1.jar
gson-fire-1.8.0.jar
logging-interceptor-2.7.5.jar
okhttp-2.7.5.jar
okio-1.6.0.jar
swagger-annotations-1.5.15.jar
threetenbp-1.3.5.jar
2.2 Verwendung eines Proxys
Einige Unternehmen sehen für die firmenübergreifende Kommunikation die Verwendung eines Proxy-Servers vor. Der generierte Swagger-Client unterstützt nativ nicht die Verwendung eines Proxys.
Folgender Code zeigt beispielhaft die Integration eines eigenen Proxys:
Im Speziellen kann dies über die Verwendung von Runtime-Properties gelöst werden. Diese können dann, wie im oberen Codebeispiel gezeigt, ausgelesen werden.
Ein endgültiger Aufruf des Import-Clients kann dann wie folgt aussehen: java -Dhttp.proxyHost=proxy.de -Dhttp.proxyPort=5555
2.3 Überprüfung der Verbindung
In der Swagger-Datei ist eine Funktion namens checkConnection definiert, welche es ermöglicht, die Konnektivität zu der REST-Schnittstelle zu überprüfen. Dabei steht die Identifikation der Erreichbarkeit der Schnittstelle im Vordergrund.
Ist eine Verbindung über ein Zertifikat und Basic-Authentifizierung hergestellt, sind die Grundlagen für die Verwendung der weiteren Funktionen, für die eine Authentifizierung erforderlich ist, geschaffen.
Folgender Beispielcode zeigt den Aufruf der Funktion:
2.4 Verwendung des Client-Zertifikats
Die Unterstützung eines Client-Zertifikats wird nicht automatisch durch Swagger UI generiert und muss nachgepflegt werden.
Der folgende Codeausschnitt zeigt beispielhaft, wie ein übergebenes Zertifikat mit dem entsprechenden Zertifikat-Passwort an den HTTP-Client übergeben werden kann:
Dies kann beispielsweise im Konstruktor des API-Clients realisiert werden.
Da es sich um ein PKCS12-Zertifikat handelt, wird zunächst eine Keystore-Instanz erzeugt, welche das übergebene Client-Zertifikat lädt.
Mithilfe einer KeyManagerFactory wird das Zertifikat im Anschluss entschlüsselt und an den HTTP-Client übergeben.
2.5 Verwendung der Basic-Authentifizierung
Der zweite Authentifizierungskanal wird über eine Basic-Authentifizierung realisiert.
Der folgende Codeausschnitt zeigt, wie diese in das Projekt integriert werden kann. Auch hier ist es möglich, jene in den Konstruktor des API-Clients einzubinden.
Wichtig ist noch, dass diese Authentifizierung als Headerparameter an den entsprechenden Request innerhalb der UserApi oder InfoApi gesetzt wird (siehe nächsten Ausschnitt).
2.6 Auslesen einer Importdatei
Die zu importierenden, aus dem LDAP-Adapter stammenden Daten können an einer bestimmten Stelle im System abgelegt werden. Der Pfad zur Importdatei kann ebenso als Parameter an den Swagger-Client übergeben werden und der Inhalt der Datei in folgender Form ausgelesen werden.
2.7 Beispieldurchführung eines Imports
Nachdem die Daten erfolgreich an den Swagger-Client übergeben wurden, kann der Import über die REST-Schnittstelle gestartet werden.
Im folgenden Codebeispiel wird gezeigt, wie eine Instanz der UserApi mit den entsprechenden Credentials erzeugt, ein Proxy registriert und der Import gestartet wird:
Das Resultat wird durch ein CsvImportResult repräsentiert, wie es im YAML-File beschrieben ist.
Aus diesem Resultat kann nun die ImportId extrahiert werden, was durch die Funktion getImportId realisiert wird. Die ImportId ist ein eindeutiges Identifikationsmerkmal des Imports und kann auch nur von der entsprechenden Company ausgelesen werden.
Die Abfrage des ImportStates ermöglicht das Erkennen des Status des Imports. Durch regelmäßiges Polling gegen die REST-Schnittstelle wird die Fertigstellung interpretiert.
Wechselt der Status auf den Zustand „done“, ist der Import abgeschlossen. Neben dem Status liefert der ImportState auch Informationen über aufgetretene Fehlerlevel in den Stufen INFO, WARNUNG, ERROR und FATAL_ERROR.
Die Methode „waitForImport“ zeigt beispielhaft die Verwendung des Abfragens des ImportStates.
2.8 Speichern des Ergebnisprotokolls
Nach Abschluss des Imports kann das vollständige Protokoll heruntergeladen werden. Während der Durchführung wird ein Prüfbericht geliefert. Der komplette Ergebnisbericht wird erst angeboten, wenn der Import den Status „done“ angenommen hat.
Folgendes Codebeispiel zeigt das Speichern des Ergebnisses in einer csv-Datei.
2.9 Speichern der Importübersicht
Die Speicherung der Übersicht eines Imports ist ebenfalls möglich. Das Beispiel zeigt die Abfrage der Übersicht des Imports über die REST-API und der darauffolgenden Persistierung.
2.10 Automatisierungsmöglichkeit des LDAP-Importers
Mit Hilfe eines Batch-Skripts kann der LDAP-Importer automatisiert aufgerufen werden. Beispielsweise kann der Inhalt des Skriptes wie folgt aussehen:
SET PATH=C:\Program Files\Java\jre1.8.0_191\bin\;%PATH%;
java -Dhttp.proxyHost=unknown.proxy.com -Dhttp.proxyPort=1234 -jar
CockpitClient.jar [Basis Url der Management Cockpit Api] [apiUserName]
[apiUserPasswort] [Zertifikat] [Zertifikatspasswort] [Importdatei] [Authentifizierungstoken]
Für die vollständige Funktionalität des Swagger-Clients ist mindestens Java 8 notwendig.
— ENDE der LDAP-Schnittstellenbeschreibung —
Wichtig
ACHTUNG: Baustelle!
Dieser Abschnitt befindet sich in Überarbeitung!
Bei Fragen wenden Sie sich bitte per E-Mail an unsere Supportabteilung.
Wir bitten um Ihr Verständnis.
10.3.1.6. EMM-Rollout
Ergänzend zum Rollout der App über das ginlo Management Cockpit kann die Anwendung auch über bestehende Enterprise-Mobility-Management-Lösungen (EMM) auf die Geräte der Nutzer verteilt und registriert werden. Kompatible EMM-Lösungen müssen den AppConfig-Standard und damit auch Android for Work (ab Android 5.0) beziehungsweise Managed App Configuration (ab iOS 8.0) unterstützen.
Warnung
Stellen Sie vor dem Rollout sicher, dass die verwendeten E-Mail-Adressen der Nutzer nicht bereits anderweitig (beispielsweise wegen vorangegangener Tests) mit einem ginlo Business Account verknüpft sind. Dies kann zu Problemen beim Rollout führen!
Bevor Sie mit dem Rollout per EMM beginnen, kontaktieren Sie in diesem Fall den ginlo Support; verwenden Sie dazu am besten Ihre Willkommens-E-Mail und bitten um lokale Löschung dieser alten Accounts.
Die Zuweisung von Lizenzen und die Steuerung des Designs, der Gruppen und Kanäle erfolgen über das ginlo Management Cockpit. Die Konfiguration der App-Settings (Passwort-Richtlinie etc.) kann entweder über das ginlo Management Cockpit oder direkt aus dem EMM erfolgen. Dabei können im EMM vorgenommene App-Konfigurationen ggf. die Regeln aus dem ginlo Management Cockpit überschreiben.
Bemerkung
Bitte beachten Sie, dass diese Einstellungen entweder im ginlo Management Cockpit oder im EMM vorgenommen werden sollten!
Für den Rollout an eine große Zahl an Nutzern empfiehlt sich die automatische EMM-Registrierung über die vorhandene EMM-Lösung. Dies hat folgende Vorteile:
Rollout über die vorhandene EMM-Lösung in den sicheren EMM-Container auf dem Gerät
Schnellregistrierung der Nutzer mit LDAP-Daten und Verkürzung der Prozess-Schritte
Verringerung der Fehlermöglichkeiten durch die Nutzer, z. B. Ablehnung der Team-Einladung und damit der App-Verwaltung
Automatische Zuweisung von Lizenzen über das Backend
Automatischer Import von Nutzerdaten in das ginlo Management Cockpit
10.3.1.6.1. Kurzanleitung für MobileIron
Gehen Sie für den automatischen EMM-Rollout am Beispiel MobileIron wie folgt vor:
Aktivieren Sie in den Einstellungen im ginlo Management Cockpit die Automatische EMM-Registrierung und für einen verkürzten Rollout auch Schnell-Registrierung auf Endgerät erzwingen.
Bemerkung
Wenn Schnell-Registrierung aktiviert ist, erfolgt die Registrierung vollautomatisch, ohne dass Administrator oder Nutzer in den Prozess eingreifen müssen. Nutzen Sie diese Funktion allerdings nicht, wenn in Ihrem Unternehmen bereits ginlo Business auf verwalteten Endgeräten installiert ist, da sonst bereits vorhandene Nutzer-Accounts beim Rollout überschrieben werden.
Des Weiteren ist Voraussetzung für den EMM-Rollout, dass die Company-Domain, z. B. @IhreFirma.de, im ginlo Management Cockpit mit Ihrer registrierten Domain im EMM übereinstimmt!
Kopieren Sie das nun angezeigte Sicherheitstoken. Fügen Sie das Token in die EMM Rollout Plist ein, die Sie auf unserer Website im Support-Bereich unter der Rubrik Hilfreiche Links finden. Achten Sie darauf, dass auch die {}-Klammern korrekt in den String kopiert werden. Die Plist mit Token ist später wichtig und dient der Zuordnung zum ginlo Management Cockpit.
Optional sollten Sie vor dem Rollout das App-Design im ginlo Management Cockpit anpassen, damit dieses direkt ab der Nutzer-Registrierung greift. Wenn Sie das Standard-Design verwenden möchten, können Sie sich jetzt aus dem ginlo Management Cockpit ausloggen - der Rollout erfolgt im Weiteren über das EMM.
Öffnen Sie Ihr EMM und legen Sie, sofern noch nicht geschehen, Nutzer auf Basis der LDAP-Daten mit Namen, Vornamen und E-Mail-Adressen an. Diese Daten werden später für die automatische App-Registrierung verwendet und müssen dann nicht mehr vom jeweiligen Nutzer vergeben und verifiziert werden.
Weisen Sie Nutzern ein oder mehrere Labels zu, damit Sie die App an verschiedene Empfänger-Gruppen verteilen können.
Legen Sie unter Policies & Configs -> Configuration ein neues Konfigurationsprofil an. Verwenden Sie Android Enterprise für Android oder Managed App Config für iOS. Fügen Sie dem Profil die zuvor mit Ihrem ginlo Business Sicherheitstoken versehene Plist hinzu. Weisen Sie das Konfigurationsprofil anschließend dem bzw. den Labels zu.
Wechseln Sie zu Apps -> App Catalog, klicken Sie auf Add, und suchen Sie in Google Play bzw. iTunes nach der ginlo Business App. Beim Import der App können Sie auch - soweit gewünscht - direkt im App Catalog die App Configurations definieren, z. B. Passwort- und Chat-Richtlinie.
Verteilen Sie die App auf die entsprechenden Labels. Die App wird im EMM-Container ausgerollt, und die Nutzer müssen ihrerseits nur noch die Registrierung durch Klick auf das App-Icon starten und danach Account erstellen wählen.
Die automatische App-Registrierung greift auf die LDAP-Daten (Name, Vorname, E-Mail- Adresse) und das Sicherheitstoken zu, akzeptiert die Verwaltung durch das ginlo Management Cockpit, lädt das E- Mail-Verzeichnis der Firma und weist dem Nutzer eine gültige Lizenz zu.
Wenn die App-Einstellungen es vorschreiben, muss der Nutzer abschließend noch ein persönliches Passwort für den App-Container vergeben. Ist kein Passwort erforderlich, kann der Nutzer diesen Schritt überspringen und später über die App-Einstellungen starten.
Beim nächsten Login am ginlo Management Cockpit werden (nur) die registrierten Nutzer automatisch aus dem EMM-Prozess importiert, und Sie können beginnen, Gruppen und Kanäle zu erstellen und Nutzer zuzuweisen.
10.3.1.6.2. Dokumentation für MobileIron
INHALTSVERZEICHNIS
II Nutzer und Geräte in MobileIron hinzufügen
1 Im Browser hinzufügen
2 Auf iOS-Geräten hinzufügen
III Apps mit MobileIron verwalten
1 App hinzufügen
2 Update einer App hinzufügen
IV Einstellungen der App konfigurieren
1 Einstellungen anlegen
1.1 Plist konfigurieren
1.2 Einstellungen unter MobileIron einspielen
2 Liste der Konfigurationsparameter
I Komponenten
Die folgenden Komponenten werden für die Nutzung der ginlo Business App mit AppConfig über die Mobile-Device-Management-Plattform von MobileIron benötigt:
MobileIron Administration Platform
eine Server-basierte Konsole von MobileIron, die es dem Unternehmen ermöglicht, AppConfig-unterstützte Apps wie ginlo Business automatisch zu konfigurieren, im Unternehmen zu verteilen, Richtlinien für die Verwendung zu erstellen, App-Funktionen zu steuern und ggf. die Anwendung auf bestimmten Geräten zu löschen.
AppConfig Community
Die AppConfig Community vereinfacht die Einführung und den Einsatz von mobilen Enterprise-Anwendungen unter einem einheitlichen Ansatz. Die umfangreichen Konfigurations- und Sicherheitsmöglichkeiten basieren auf der von Apple bereitgestellten Managed App Configuration unter iOS 8 und höher.
ginlo Business iOS App
Die Business-Version von ginlo für iOS unterstützt Managed App Configuration und ermöglicht so die in diesem Dokument beschriebene Steuerung der Parameter.
Die App ist erhältlich im iTunes App Store und erfordert für die Nutzung eine Nutzerlizenz, die auf der ginlo Website bestellt werden kann.
II Nutzer und Geräte in MobileIron hinzufügen
1 Im Browser hinzufügen
Öffnen Sie die MobileIron-Konsole im Browser, und melden Sie sich an.
Zum Anlegen eines Nutzers wählen Sie den Reiter Devices & Users aus und klicken auf Users.
Klicken Sie im Reiter Users auf Add und Add Local User. Geben Sie die Nutzerdaten ein und speichern mit Save.
Um ein Gerät anzulegen, wechseln Sie zum Reiter Devices und öffnen Add und Single Device.
Wählen Sie in der Maske den gewünschten Nutzer und die Device Platform aus und bestätigen Sie mit Register.
Die Zugangsdaten werden angezeigt und an die zuvor angegebene E-Mail-Adresse geschickt.
2 Auf iOS-Gerät hinzufügen
Browser auf iOS-Gerät öffnen, URL aus E-Mail eingeben und mit App laden bestätigen. Die App finden Sie auch :ref: hier.
Mobile @ Work App aus App Store installieren
Mobile @ Work App öffnen und Benutzernamen eingeben
Server und Passwort eingeben; dann mit Registrieren bestätigen
Datenschutzbestimmungen durch das Betätigen von Weiter akzeptieren
Profil komplett installieren
Die MobileIron Mobile @ Work App ist nach dem Laden des Profils auf dem Gerät verfügbar.
III Apps mit MobileIron verwalten
1 App hinzufügen
Um ginlo Business der MobileIron-Konsole hinzuzufügen und auf die Geräte der Nutzer zu verteilen, wählen Sie in der Navigation den Reiter Apps aus und klicken im App Catalog auf Add.
Wählen Sie als Quelle Apple iTunes oder bei kundenspezifischen Apps ggf. In-House aus.
Suchen Sie im App-Verzeichnis nach ginlo Business.
Markieren Sie ginlo Business in der Liste und klicken Sie dann auf Next.
In den folgenden Masken können Sie die App optional konfigurieren, z. B. Darstellung der App im App-Katalog der Nutzer mit einem Featured Banner.
Hinweis
Diese Konfigurationsschritte sind nicht relevant für den Rollout und können auch mit Skip übersprungen werden.
Die ginlo Business App erscheint dann im App Catalog. Markieren Sie die App und wählen Sie Actions und Apply To Labels.
Um die Anwendung einem Geräte-Label zuzuweisen, wählen Sie in der Liste z. B. das Label iOS aus und bestätigen Sie mit Apply.
Um die ginlo Business App jetzt an die Nutzer zu verteilen, markieren Sie sie im App Catalog und wählen Actions und Send Installation Request.
Stellen Sie sicher, dass Send request for both new installations and updates aktiv ist, und bestätigen Sie mit Apply.
Nach kurzer Zeit wird auf den zugeordneten Geräten eine Push-Nachricht angezeigt, die zur Installation der Anwendung auffordert.
2 Update einer App hinzufügen
Für das Hinzufügen einer neuen Version ist der Ablauf derselbe wie für das Hinzufügen einer neuen Anwendung wie oben beschrieben.
Wenn die App denselben Bundle Identifier und dasselbe Provisioning Profile besitzt, wird sie durch das Senden eines Update Requests an die Geräte mit dem entsprechenden Label verteilt.
Der Upload einer neuen Version ist nur möglich, wenn Versions- und Revisionsnummer höher sind als die der vorhandenen App.
IV Einstellungen der App konfigurieren
Um die mittels AppConfig möglichen Einstellungen der ginlo Business App zu konfigurieren, wird die Plist (Property List) in die MobileIron-Konsole eingespielt.
1 Einstellungen anlegen
1.1 Plist konfigurieren
Laden Sie sich die Vorlage für die Plist herunter, die Sie auf unserer Website im Support-Bereich unter der Rubrik Hilfreiche Links finden.
Öffnen Sie die Plist mit einem Texteditor.
Sie können nun Einträge zur Plist mit Key, Type und Value zur Liste hinzufügen und entsprechend Ihrer IT-Security-Vorgaben konfigurieren.
Details zu den Parametern finden Sie in Kapitel IV.2
1.2 Einstellungen unter MobileIron einspielen
Um die über die Plist gesetzte Konfiguration in MobileIron einzuspielen und auf die App anzuwenden, öffnen Sie den Reiter Policies & Configs
Wählen Sie im Reiter Configurations den Button Add New. Wählen Sie dann Apple -> iOS / tvOS -> Managed App Config.
Geben Sie im Fenster New Managed App Config Setting einen Namen ein, z. B.MDM_ginlo_business, sowie die Bundle-ID und den Speicherort der Plist.
Bestätigen Sie mit Save.
Wählen Sie die neu angelegte Konfiguration aus und danach Actions und Apply To Label.
Weisen Sie die neu angelegte Konfiguration einem Label zu, z.B. iOS, und bestätigen Sie mit Apply.
Die Konfiguration ist jetzt für das Label und die App wirksam und wird App-seitig entsprechend im User Interface und den Funktionen umgesetzt.
2 Liste der Konfigurationsparameter
Number |
Key |
Typ |
Wertebereich |
Beschreibung |
---|---|---|---|---|
1 |
disableNoPwLogin |
Boolean |
true/false |
Toggle Passwortabfrage beim Start fällt weg und ist implizit auf true gesetzt. Eventuelle Keychain- Einträge werden entfernt, siehe Anmerkung 1) |
2 |
simsLockApplicationDelay |
Integer |
0-10 |
Die Einstellung wird 1:1 in die Einstellungen übernommen. Einstellung Passwort abfragen nach… entfällt |
3 |
forceComplexPin |
Boolean |
true/false |
Der Toggle Einfaches Passwort entfällt, siehe Anmerkung 2) |
4 |
simsPasswordTries |
Integer |
3,5,1 |
Wenn gesetzt, entfällt die Einstellung Daten löschen |
5 |
disableSaveToCameraRoll |
Boolean |
true/false |
Wenn gesetzt, entfällt die Einstellung Medien sichern |
6 |
disableSendMedia |
Boolean |
true/false |
Wenn gesetzt, können nur noch Texte geschrieben werden |
7 |
disableOpen |
Boolean |
true/false |
Wenn gesetzt, können Bilder und Videos nicht mehr gespeichert werden, und Dateien können nicht mehr angezeigt werden |
8 |
passwordMinLength |
Integer |
0-99 |
siehe Anmerkung 2) |
9 |
passwordMinSpecialChar |
Integer |
0-99 |
siehe Anmerkung 2) |
10 |
passwordMinDigit |
Integer |
0-99 |
siehe Anmerkung 2) |
11 |
passwordMinLowercase |
Integer |
0-99 |
siehe Anmerkung 2) |
12 |
passwordMinUppercase |
Integer |
0-99 |
siehe Anmerkung 2) |
13 |
passwordMinClasses |
Integer |
0-4 |
siehe Anmerkung 2) |
14 |
passwordMaxDuration |
Integer |
0-65535 |
siehe Anmerkung 3) |
15 |
passwordReuseEntries |
Integer |
0-100 |
siehe Anmerkung 4) |
16 |
disableExportChat |
Boolean |
true/false |
Wenn gesetzt, können Chats nicht mehr in eine Textdatei exportiert werden |
Einfache Einstellungen werden in den NSUserDefaults gespeichert. Wenn sich die MDM-Konfiguration hierfür ändert, dann werden die Einstellungen in die NSUserDefaults übernommen.
Anmerkung 1)
Wenn TouchId oder Start ohne Passwor deaktiviert wird, dann werden zusätzlich die entsprechenden Schlüssel in der KeyChain gelöscht.
Anmerkung 2)
Wenn sich die Passwort-Einstellungen geändert haben, wird zunächst das Passwort abgefragt.
Dies erfolgt unabhängig davon, ob das Passwort beim Start immer abgefragt wird.
Das ist erforderlich, weil wir die Zugangsdaten verschlüsselt speichern und einem Angreifer keine Informationen über das Passwort bereitstellen wollen.
Wenn das Passwort des Nutzers nicht mehr den Passwort-Richtlinien entspricht, muss der Nutzer ein neues Passwort vergeben.
Anmerkung 3)
Beim Ändern des Passworts wird anhand des aktuellen Datums und der maximalen Passwortlaufzeit berechnet, wann das Passwort abläuft.
Aus Performance-Gründen wird zunächst das Datum des Geräts genommen. Ändert sich die Einstellung, wird das neue Fälligkeitsdatum berechnet.
Anmerkung 4)
Um dieses Feature zu realisieren, ist es notwendig, die Passwörter sicher auf dem Gerät zu hashen. Dazu wird das Passwort zunächst per Bcrypt mit einer festen Anzahl Runden gehasht.
Die gehashten Passwörter werden nicht direkt gespeichert, sondern per AES-Schlüssel verschlüsselt. Der AES-Schlüssel selbst ist mit dem RSA-Schlüssel des Gerätes verschlüsselt.
10.3.1.6.3. Dokumentation für Workspace ONE UEM
INHALTSVERZEICHNIS
II Nutzer und Geräte in Workspace ONE hinzufügen
1 Im Browser hinzufügen
2 Die VMware „Intelligent Hub-App“ auf dem iOS-Gerät des Nutzers hinzufügen
III Apps mit Workspace ONE verwalten
1 App hinzufügen
2 Update einer App hinzufügen
IV Einstellungen der App konfigurieren
1 Einstellungen anlegen
2 Liste der Konfigurationsparameter
I Komponenten
Die folgenden Komponenten werden für die Nutzung der ginlo Business App mit AppConfig über Workspace ONE UEM (ehemals AirWatch), der Mobile-Device-Management-Plattform von VMware, benötigt:
Workspace ONE-Konsole
eine Server-basierte Konsole von VMware, die es dem Unternehmen ermöglicht, AppConfig-unterstützte Apps wie ginlo Business automatisch zu konfigurieren,
im Unternehmen zu verteilen, Richtlinien für die Verwendung zu erstellen, App-Funktionen zu steuern und ggf. die Anwendung auf bestimmten Geräten zu löschen.
AppConfig Community
Die AppConfig Community vereinfacht die Einführung und den Einsatz von mobilen Enterprise-Anwendungen unter einem einheitlichen Ansatz.
Die umfangreichen Konfigurations- und Sicherheitsmöglichkeiten basieren auf der von Apple bereitgestellten Managed App Configuration unter iOS 8 und höher.
ginlo Business iOS App
Die Business-Version von ginlo für iOS unterstützt Managed App Configuration und ermöglicht so die in diesem Dokument beschriebene Steuerung der Parameter.
Die App ist erhältlich im iTunes App Store und erfordert für die Nutzung eine Nutzerlizenz, die auf der ginlo Website bestellt werden kann.
II Nutzer und Geräte in Workspace ONE hinzufügen
1 Im Browser hinzufügen
Öffnen Sie die Workspace ONE-Konsole im Browser, und melden Sie sich an.
Zum Anlegen eines Nutzers wählen Sie im Bereich Getting Started den Button Add und klicken auf User.
Geben Sie im Fenster Add/Edit User die Nutzerdaten ein, und speichern Sie sie mit Save.
Um ein Gerät anzulegen, wählen Sie Add und Device. Wählen Sie in der Maske den gewünschten Nutzer und die Device-Plattform aus und bestätigen Sie mit Save.
Die Zugangsdaten werden angezeigt und an die zuvor angegebene E-Mail-Adresse geschickt.
2 Die VMware „Intelligent Hub-App“ auf dem iOS-Gerät des Nutzers hinzufügen
Browser auf iOS-Gerät öffnen und URL aus E-Mail eingeben oder QR-Code scannen
VMware Intelligent Hub App aus App Store installieren
Server und Group ID eingeben, mit Weiter bestätigen
Benutzernamen und Passwort eingeben, mit Weiter bestätigen
Workspace Services mit Weiter bestätigen
Laden des Konfigurationsprofils mit Schließen bestätigen
Konfigurationsprofil laden über Einstellungen öffnen
Profil installieren über Allgemein -> Profil-> Registrierung -> Installieren
Fast fertig - jetzt noch einen Passcode vergeben und den Datenschutzbestimmungen zustimmen
Das Gerät des Nutzers ist nun in der Workspace ONE-Konsole verfügbar.
III Apps mit Workspace ONE verwalten
1 App hinzufügen
Um ginlo Business der Workspace ONE-Konsole hinzuzufügen und auf die Geräte der Nutzer zu verteilen, wählen Sie in der Navigation Apps & Books und klicken dann auf Public und Add Application.
Wählen Sie die Plattform aus, geben den Namen der App ein und klicken auf Next.
Wählen Sie die ginlo Business App mit Klick auf Select aus.
Geben Sie im Fenster Add Application den Namen der App ein, und klicken auf Save & Assign.
Klicken Sie im Fenster Update Assignment auf Add Assignment.
Wählen Sie im Fenster Add Assignment die Gruppe und die Art der Verteilung der App aus und bestätigen Sie mit Add.
Der neue Eintrag erscheint jetzt in der Liste. Klicken Sie auf Save & Publish.
Im Fenster Preview Assigned Devices werden die Nutzer und Geräte angezeigt, an die die ginlo Business App verteilt wird. Klicken Sie hier auf Publish.
Die App erscheint jetzt in List View unter Apps & Books.
2 Update einer App hinzufügen
Für das Hinzufügen einer neuen Version ist der Ablauf derselbe wie für das Hinzufügen einer neuen Anwendung wie oben beschrieben.
Wenn die App denselben Bundle Identifier und dasselbe Provisioning Profile besitzt, wird sie durch das Senden eines Update Requests an die Geräte mit dem entsprechenden Label verteilt.
Der Upload einer neuen Version ist nur möglich, wenn Versions- und Revisionsnummer höher sind als die der vorhandenen App.
IV Einstellungen der App konfigurieren
Um die mittels AppConfig möglichen Einstellungen der ginlo Business App zu konfigurieren, werden in der Workspace ONE-Konsole Configuration Keys und entsprechende Values vergeben.
1 Einstellungen anlegen
Um die gewünschten Einstellungen für ginlo Business vorzunehmen, wählen Sie App & Books, wechseln unter Public zur ginlo Business App und wählen dort den Button Assign.
Klicken Sie im Fenster Update Assignment auf Add Assignment und erstellen Sie eine neue Zuordnung für die ginlo Business App.
Konfigurieren Sie im oberen Bereich des Fensters Add Assignment die gewünschten Rollout- und Zugriffsmethoden.
Scrollen Sie dann zum Bereich Application Configuration.
Geben Sie hier die gewünschten Konfigurationsparameter ein. Details dazu finden Sie in Kapitel IV.2.
Speichern Sie Ihre Einstellungen mit Add.
Wählen Sie im Fenster Update Assignment die Zuordnung und klicken auf Save and Publish.
Im nächsten Fenster wird eine Vorschau für Änderungen an den Zuordnungen angezeigt.
Klicken Sie auf Publish, um die erstellten Konfigurationen auf die angezeigten Geräte zu verteilen.
2 Liste der Konfigurationsparameter
Anf. |
Key |
Typ |
Wertebereich |
Beschreibung |
---|---|---|---|---|
1 |
disableNoPwLogin |
Boolean |
true/false |
Toggle Passwortabfrage beim Start fällt weg und ist implizit auf true gesetzt. Eventuelle Keychain- Einträge werden entfernt, siehe Anmerkung 1) |
2 |
simsLockApplicationDelay |
Integer |
0-10 |
Die Einstellung wird 1:1 in die Einstellungen übernommen. Einstellung Passwort abfragen nach… entfällt |
3 |
forceComplexPin |
Boolean |
true/false |
Der Toggle Einfaches Passwort entfällt, siehe Anmerkung 2) |
4 |
simsPasswordTries |
Integer |
3,5,1 |
Wenn gesetzt, entfällt die Einstellung Daten löschen |
5 |
disableSaveToCameraRoll |
Boolean |
true/false |
Wenn gesetzt, entfällt die Einstellung Medien sichern |
6 |
disableSendMedia |
Boolean |
true/false |
Wenn gesetzt, können nur noch Texte geschrieben werden |
7 |
disableOpen |
Boolean |
true/false |
Wenn gesetzt, können Bilder und Videos nicht mehr gespeichert werden, und Dateien können nicht mehr angezeigt werden |
8 |
passwordMinLength |
Integer |
0-99 |
siehe Anmerkung 2) |
9 |
passwordMinSpecialChar |
Integer |
0-99 |
siehe Anmerkung 2) |
10 |
passwordMinDigit |
Integer |
0-99 |
siehe Anmerkung 2) |
11 |
passwordMinLowercase |
Integer |
0-99 |
siehe Anmerkung 2) |
12 |
passwordMinUppercase |
Integer |
0-99 |
siehe Anmerkung 2) |
13 |
passwordMinClasses |
Integer |
0-4 |
siehe Anmerkung 2) |
14 |
passwordMaxDuration |
Integer |
0-65535 |
siehe Anmerkung 3) |
15 |
passwordReuseEntries |
Integer |
0-100 |
siehe Anmerkung 4) |
16 |
disableExportChat |
Boolean |
true/false |
Wenn gesetzt, können Chats nicht mehr in eine Textdatei exportiert werden. |
Einfache Einstellungen werden in den NSUserDefaults gespeichert. Wenn sich die MDM-Konfiguration hierfür ändert, dann werden die Einstellungen in die NSUserDefaults übernommen.
Anmerkung 1)
Wenn TouchId oder Start ohne Passwor deaktiviert wird, dann werden zusätzlich die entsprechenden Schlüssel in der KeyChain gelöscht.
Anmerkung 2)
Wenn sich die Passwort-Einstellungen geändert haben, wird zunächst das Passwort abgefragt.
Dies erfolgt unabhängig davon, ob das Passwort beim Start immer abgefragt wird.
Das ist erforderlich, weil wir die Zugangsdaten verschlüsselt speichern und einem Angreifer keine Informationen über das Passwort bereitstellen wollen.
Wenn das Passwort des Nutzers nicht mehr den Passwort-Richtlinien entspricht, muss der Nutzer ein neues Passwort vergeben.
Anmerkung 3)
Beim Ändern des Passworts wird anhand des aktuellen Datums und der maximalen Passwortlaufzeit berechnet, wann das Passwort abläuft.
Aus Performance-Gründen wird zunächst das Datum des Geräts genommen. Ändert sich die Einstellung, wird das neue Fälligkeitsdatum berechnet.
Anmerkung 4)
Um dieses Feature zu realisieren, ist es notwendig, die Passwörter sicher auf dem Gerät zu hashen. Dazu wird das Passwort zunächst per Bcrypt mit einer festen Anzahl Runden gehasht.
Die gehashten Passwörter werden nicht direkt gespeichert, sondern per AES-Schlüssel verschlüsselt. Der AES-Schlüssel selbst ist mit dem RSA-Schlüssel des Gerätes verschlüsselt.
10.3.1.6.4. Kurzanleitung für IBM MaaS360
Ergänzend zum Rollout der ginlo Business App über das ginlo Management Cockpit kann die Anwendung auch über bestehende Enterprise-Mobility-Management-Lösungen (EMM) auf die Geräte der Nutzer verteilt und registriert werden.
Kompatible EMM-Lösungen müssen den AppConfig-Standard und damit auch Android for Work (ab Android 5.0) beziehungsweise Managed App Configuration (ab iOS 8.0) unterstützen.
Die Zuweisung von Lizenzen und Steuerung des Designs, der Gruppen und Kanäle erfolgt dann wieder über das ginlo Management Cockpit.
Die Konfiguration der App-Settings (Passwort-Richtlinie etc.) kann entweder über das ginlo Management Cockpit oder direkt aus dem EMM erfolgen. Dabei können im EMM vorgenommene App-Konfigurationen ggf. die Regeln aus dem ginlo Management Cockpit überschreiben.
Bitte beachten Sie, dass diese Einstellungen entweder nur im ginlo Management Cockpit oder nur im EMM vorgenommen werden sollten.
Für den Rollout an eine große Zahl an Nutzern empfiehlt sich die automatische EMM-Registrierung über die vorhandene EMM-Lösung.
Dies hat folgende Vorteile:
Rollout über die vorhandene EMM-Lösung in den sicheren EMM-Container auf dem Gerät
Schnellregistrierung der Nutzer mit LDAP-Daten und Verkürzung der Prozess-Schritte
Verringerung der Fehlermöglichkeiten durch die Nutzer, z. B. Ablehnung App-Management
Automatische Zuweisung von Lizenzen über das Backend
Automatischer Import von Nutzerdaten in das ginlo Management Cockpit
Gehen Sie für den automatischen EMM-Rollout über IBM MaaS360 wie folgt vor:
Aktivieren Sie in den Einstellungen im ginlo Management Cockpit die Automatische EMM-Registrierung und für einen verkürzten Rollout auch Schnell-Registrierung auf Endgerät erzwingen.
Hinweis
Wenn Schnell-Registrierung aktiviert ist, erfolgt die Registrierung vollautomatisch, ohne dass der Admin oder die Nutzer in den Prozess eingreifen müssen.
Nutzen Sie diese Funktion allerdings nicht, wenn in Ihrem Unternehmen bereits ginlo Business auf verwalteten Endgeräten installiert ist, da sonst bereits vorhandene Nutzer-Accounts beim Rollout übergeschrieben werden.
Des Weiteren ist Voraussetzung für den EMM-Rollout, dass die Company-Domain, z.B. @IhreFirmenDomain.com im ginlo Management Cockpit mit Ihrer registrierten Domain im EMM übereinstimmt.
Kopieren Sie das nun angezeigte Sicherheitstoken. Es wird später zur Zuweisung von Konfigurationen und automatischen Lizenzen am Backend benötigt.
Der Rollout erfolgt im Weiteren über IBM MaaS360.
Optional können Sie vor dem Rollout auch schon einmal das App-Design im ginlo Management Cockpit anpassen, sodass dieses direkt ab der Nutzer-Registrierung greift.
Wenn Sie das Standard-Design verwenden möchten, können Sie sich jetzt aus dem ginlo Management Cockpit ausloggen, der Rollout erfolgt im Weiteren über IBM MaaS360.
Öffnen Sie IBM MaaS360. Öffnen Sie die App-Verwaltung über Apps und Catalog.
Suchen Sie über Add im jeweiligen Store (iTunes App Store App/Google Play App) nach der ginlo Business App.
Öffnen Sie in der Maske zum Hinzufügen der App den Reiter Configuration.
Scrollen Sie nach unten, bis Sie die Eingabefelder beginnend mit Firstname sehen.
Geben Sie die folgenden Parameter ein, und speichern Sie diese mit Add:
Android
firstName: * (Hier können Sie ein beliebiges Präfix für die Nutzer angeben, da dieses Feld nur mit einem Wert – kein Leerzeichen – befüllt sein muss.)
lastName: %USERNAME% (In Kombination mit dem Präfix ergibt sich dann als Anzeigename in der Messenger-App z. B. „* Max Mustermann“; bei LDAP-Mapping wird der Name ohne Präfix dargestellt.)
emailAddress: %EMAIL%
loginCode: Sicherheitstoken aus dem ginlo Management Cockpit inklusive {} -Klammern!!!
iOS
Firstname: * (Hier können Sie ein beliebiges Präfix für die Nutzer angeben, da dieses Feld nur mit einem Wert – kein Leerzeichen – befüllt sein muss.)
Lastname: %USERNAME% (In Kombination mit dem Präfix ergibt sich dann als Anzeigename in der Messenger-App z. B. „* Max Mustermann“; bei LDAP-Mapping wird der Name ohne Präfix dargestellt.)
E-Mail: %EMAIL%
Securitytoken: Sicherheitstoken aus dem ginlo Management Cockpit inklusive {} -Klammern!!!
Die App ist jetzt zum Rollout bereit.
Legen Sie, soweit noch nicht geschehen, Devices und Users auf Basis der LDAP-Daten mit Namen, Vornamen und E-Mail-Adressen an.
Diese Daten werden für die automatische App-Registrierung verwendet und müssen dann nicht mehr vom jeweiligen Nutzer vergeben und verifiziert werden.
Weisen Sie die Nutzer einer oder mehrerer Gruppen (Group) zu, damit Sie die App an verschiedene Empfänger-Gruppen verteilen können.
Über den App Catalog können Sie die App dann über Distribute auf die entsprechenden Devices oder Groups verteilen.
Optional können Sie noch eine SMS- oder E-Mail-Benachrichtigung aktivieren.
Die App wird dann in den Maas360-Container ausgerollt, und die Nutzer müssen ihrerseits nur noch die Registrierung durch Klick auf das App-Icon starten und dann Neu registrieren wählen.
Die automatische App-Registrierung greift nun auf die LDAP-Daten (Username, E-Mail-Adresse) und das Sicherheitstoken zu, akzeptiert die Verwaltung durch das ginlo Management Cockpit, lädt Firmen- und E-Mail-Verzeichnis und weist dem Nutzer eine gültige Lizenz zu.
Wenn die App-Einstellungen es vorschreiben, muss der Nutzer abschließend noch ein persönliches Passwort für den App-Container vergeben.
Ist kein Passwort erforderlich, kann der Nutzer den Schritt auch überspringen und später über die App-Einstellungen starten.
Beim nächsten Login im ginlo Management Cockpit werden (nur) die registrierten Nutzer automatisch aus dem EMM-Prozess importiert, und Sie können beginnen, Gruppen und Kanäle zu erstellen und Nutzer zuzuweisen.
— ENDE der EMM-Beschreibung —
10.3.2. App- und Nutzerverwaltung
Zur App- und Nutzerverwaltung gelangen Sie über das Seitenmenü links.
10.3.2.1. App-Settings
Damit ginlo Business den Compliance- und Security-Anforderungen in Ihrem Unternehmen entspricht, können Sie im Reiter App-Settings mehr als 30 Einstellungen für Kontakte-Richtlinien, Passwort-Richtlinien, Passwort-Komplexität und Chat-Richtlinien setzen.
Technisch basieren die App-Settings bei ginlo Business auf Android for Work (ab Android 5.0) und Managed App Configuration (ab iOS 8.0), sodass eine sichere und schnelle Konfiguration der Anwendung möglich ist.
10.3.2.1.1. Kontakte-Richtlinien
In den Kontakte-Richtlinien legen Sie den Namen Ihres Firmenverzeichnisses fest und bestimmen, mit welchen Nutzern kommuniziert werden darf bzw. ob ein Zugriff auf Kontakte erlaubt ist.
1. Name des Firmenverzeichnisses
Verändern Sie hier den Namen des Firmenverzeichnisses, der den Nutzern unter Kontakte angezeigt werden soll.
2. Geschlossene Nutzergruppe aktivieren
Wenn diese Funktion aktiviert ist, können Nutzer nur mit im ginlo Management Cockpit gepflegten Kontakten kommunizieren. Ein Chat mit Nutzern außerhalb der Verwaltung ist nicht möglich.
3. Zugriff auf Kontakte unterbinden
Wenn diese Funktion aktiv ist, kann ein Mitarbeiter Kontakte nicht mehr senden und empfangen.
10.3.2.1.2. Passwort-Richtlinien
Die Passwort-Richtlinien dienen dem Schutz der Anwendung und den enthaltenen Daten. Sie können es entweder den Nutzern selbst überlassen, für den Schutz des Messengers zu sorgen, oder Sie erzwingen über das ginlo Management Cockpit z. B. die Abfrage des (Geräte-) Passworts bei jedem App-Start. Wenn Sie gleichzeitig noch entsprechende Vorgaben für die Passwort-Komplexität machen, müssen die Nutzer diese Kriterien bei der Vergabe eines Passworts in der App berücksichtigen.
4. Passwortabfrage beim App-Start erzwingen
Wenn diese Funktion aktiviert ist, fragt die App bei jedem Start nach dem Gerätepasswort des Nutzers.
5. Passwortabfrage nach Inaktivität erzwingen nach …
Setzen Sie hier den erlaubten Zeitraum ( 0 bis 10 Minuten), nach dem die Eingabe des Passworts wieder erforderlich ist.
6. Einfachen Code als Passwort unterbinden
Wenn diese Einstellung gesetzt ist, können Nutzer kein einfaches 4-stelliges Passwort (PIN) setzen. Um sicher zu stellen, dass bestehende 4-stellige Passwörter geändert werden müssen, definieren Sie eine entsprechende Password-Komplexität.
7. Touch-/Face ID (iPhone) und Fingerprint (Android) unterbinden
Wenn diese Einstellung gesetzt ist, können Nutzer zum Entsperren der App nicht Touch-/Face-ID (iPhone) oder Fingerprint (Android) verwenden
8. Daten löschen nach Anzahl der Anmeldeversuche
Setzen Sie hier die Anzahl der zulässigen Login-Versuche (3, 5 oder 10), bevor die Inhalte der App automatisch gelöscht werden.
9. Passwortwiederholungen nach x Änderungen erlauben
Setzen Sie hier die Anzahl der Änderungen (1 bis 100), ab der ein Nutzer ein altes Passwort wieder verwenden darf. 1 bedeutet, dass das Passwort nach einer Änderung wieder vewendet werden darf.
10. Wiederherstellungscode deaktivieren
Wenn diese Funktion aktiviert ist, kann der Nutzer die Funktion Passwort-Vergessen nicht verwenden.
11. Recovery Code über Admin erzwingen
Wenn diese Funktion aktiviert ist, wird im Falle von Passwort-Vergessen der Recovery Code zur Entsperrung des Messengers erst nach Administrator-Freigabe an den Nutzer versendet.
10.3.2.1.3. Passwort-Komplexität
Unter Passwort-Komplexität legen Sie die Mindestanforderungen für das Gerätepasswort der Nutzer fest. Es können Mindestanzahlen von Buchstaben, Ziffern und Sonderzeichen sowie Passwortgültigkeit bestimmt werden.
12. Passwortkomplexität erzwingen
Mit diesem Schalter bestimmen Sie als Administrator, ob es Anforderungen an das Gerätepasswort geben soll. Setzen Sie diesen Schalter auf Ein, um aus den folgenden Anforderungen auszuwählen:
13. Mindestanzahl Zeichenlänge
Setzen Sie hier die Mindestanzahl (0 bis 99) der Zeichenlänge der Passwort-Komplexität. 0 bedeutet, dass das Passwort keine Mindestlänge erfordert.
14. Mindestanzahl Sonderzeichen
Setzen Sie hier die Mindestanzahl (0 bis 99) der Sonderzeichen, z.B. !§$%, die verwendet werden müssen. 0 bedeutet, dass kein Sonderzeichen erforderlich ist.
15. Mindestanzahl Ziffern
Setzen Sie hier die Mindestanzahl der Ziffern (0 bis 99), wie z.B. 12345. 0 bedeutet, dass das Passwort keine Ziffern erfordert.
16. Mindestanzahl Kleinbuchstaben
Setzen Sie hier die Mindestanzahl (0 bis 99) der Kleinbuchstaben, wie z.B. abcde. 0 bedeutet, dass das Passwort keine Kleinbuchstaben erfordert.
17. Mindestanzahl Großbuchstaben
Setzen Sie hier die Mindestanzahl der Großbuchstaben, wie z.B. ABCDE. 0 bedeutet, dass das Passwort keine Großbuchstaben erfordert.
18. Passwortgültigkeit in Tagen
Setzen Sie hier die Passwortgültigkeit in Tagen (0 bis 365). 30 bedeutet beispielsweise, dass nach 30 Tagen das Passwort durch den Nutzer geändert werden muss.
19. Mindestkomplexität des Passworts (Ziffern, Sonderzeichen, Klein- oder Großbuchstaben)
Mit dieser Einstellung bestimmen Sie, die Mindestzahl ( 0 bis 4) der im Passwort geforderten Zeichenklassen (Ziffern, Sonderzeichen, Kleinbuchstaben oder Großbuchstaben). 2 bedeutet beispielsweise, dass das Passwort mindestens zwei Klassen (z.B. Ziffern + Kleinbuchstaben oder Sonderzeichen + Ziffern) enthalten muss.
10.3.2.1.4. Chat-Richtlinien
Die Chat-Richtlinien dienen dazu, in der Kommunikation das lokale Speichern, Senden, Weiterleiten, Exportieren oder Teilen in andere Apps zu steuern.
Wichtig
Die Einstellungen gelten nur für vom Administrator verwaltete Nutzer-Accounts.
Die Nutzer müssen die Team-Einladung in der App angenommen haben, damit die von Ihnen gesetzten Einstellungen wirksam werden.
Gespeicherte Änderungen werden in der Regel ca. 5 Minuten, spätestens jedoch nach einer Stunde in den Clients produktiv gesetzt.
Bitte beachten Sie, dass Ihre Einstellungen den Funktionsumfang der App beschränken, z. B. bei den Chat-Richtlinien.
20. Zugriff auf die Kamera unterbinden
Wenn diese Funktion aktiv ist, kann ein Mitarbeiter Fotos und Video über die Kamera nicht mehr aufnehmen und senden.
21. Zugriff auf das Mikrofon unterbinden
Wenn diese Funktion aktiv ist, kann ein Mitarbeiter Audio-Aufnahmen nicht mehr senden.
22. Lokales Speichern von Medien unterbinden
Wenn diese Einstellung gesetzt ist, entfällt in der App die Einstellung Medien sichern und Bilder und Videos können nicht mehr lokal gespeichert werden
23. Anlagen senden und weiterleiten deaktivieren
Wenn diese Einstellung gesetzt ist, können keine Medien (Bilder, Videos, Ausios, Kontakte und Dateien) versendet oder weitergeleitet werden.
24. Zugriff auf die Geodaten unterbinden
Wenn diese Funktion aktiv ist, kann ein Mitarbeiter Standorte nicht mehr senden.
25. Chat-Inhalte als Textdatei exportieren deaktivieren
Wenn diese Einstellung gesetzt ist, können einzelne Chats nicht mehr in eine Textdatei aus der App heraus exportiert werden.
26. Anlagen teilen über andere Apps deaktivieren
Wenn diese Einstellung gesetzt ist, können Bilder, Audios und Videos nicht mehr gespeichert und Dateien nicht mehr angezeigt werden.
27. Zugriff auf Copy-Paste unterbinden
Wenn diese Funktion aktiv ist, kann ein Mitarbeiter Texte und Medien nicht mehr kopieren und in Chats oder fremde Anwendungen einfügen.
28. Vorschau in Push-Mitteilungen unterbinden
Wenn diese Einstellung gesetzt ist, werden die Inhalte von Nachrichten auf Mobil-Geräten nicht in der Push-Vorschau angezeigt. Dies erhöht die Sicherheit, da Inhalte nur mit entsperrter App gelesen werden können.
29. App Backup in iCloud/Google Drive unterbinden
Wenn diese Einstellung gesetzt ist, können Nutzer kein Backup in iCloud bzw. Google Drive erstellen oder Backups von diesen Anbietern einspielen. Zur Datensicherung wird die Kopplung mit einem Zweitgerät empfohlen.
10.3.2.2. App-Design
Als modernes Kommunikations-Tool lässt sich ginlo Business entsprechend der Corporate-Design-Richtlinien (CD) Ihres Unternehmens individualisieren. Sie können über das ginlo Management Cockpit die Farbwerte der App verändern und Ihr Unternehmens-Logo hochladen. So stärken Sie die Akzeptanz bei Ihren Mitarbeitern und machen die App auch visuell zu Ihrem Unternehmens-Messenger.
Nutzen Sie hierzu den Reiter App-Design und starten Sie die Individualisierung des Designs durch den Upload Ihres Unternehmens-Logos über den blauen Button Bild wählen. Wählen Sie in dem sich öffnenden Fenster Ihr Logo im PNG-Format aus und klicken auf Öffnen.
Ihr Logo wird nun in einer Vorschau geöffnet. Sie können dort über das Scroll-Rad Ihrer Maus den Ausschnitt vergrößern oder verkleinern und mit der Maus das Logo positionieren. Der blaue Rand zeigt dabei die maximale Größe des Logos, dieser muss aber nicht vollständig ausgefüllt sein.
Nachdem Sie die Änderung mit einem Klick auf den grünen Button Anwenden übernommen haben, wird das Logo sowohl im Logo-Preview neben der Bildauswahl als auch im Design-Preview auf dem Smartphone angezeigt.
Sie können in einem weiteren Schritt die Farbwerte der App individualisieren. Diese können Sie entweder als RGB- (Rot-Grün-Blau) oder Hex-Werte (Hexadezimal) eingeben. Für genaue Farbwerte Ihres Unternehmens erkundigen Sie sich im Zweifel bei Ihrer Abteilung für Unternehmenskommunikation.
Hinweis
Beachten Sie bitte, dass mit der Änderung der Farbwerte die Funktion Darkmode u.U. nicht zur Verfügung gestellt werden kann, weil sie automatisch unterbunden wird.
Bemerkung
Anpassungen greifen bei verwalteten Accounts. Gespeicherte Änderungen werden in der Regel nach ca. 5 Minuten, spätestens jedoch nach einer Stunde an die Apps verteilt und sind nach Schließen und Neustart der App sichtbar.
10.3.2.3. Nutzer
ginlo Business kann auf unterschiedliche Weise auf die Geräte der Nutzer ausgerollt und verwaltet werden. Das ginlo Management Cockpit kann als Verwaltungsinstanz genutzt werden, über die Nutzer manuell oder automatisch angelegt und Lizenzen zugewiesen werden können.
Hinweis
Die ginlo.net GmbH hat grundsätzlich keinen Zugriff oder Einblick auf die Daten der angelegten Nutzer!
In diesem Abschnitt gehen wir auf die manuelle Anlage ein, während im Abschnitt ginlo Business API gezeigt wurde, wie vorhandene Datensysteme für die automatische Anlage eingebunden werden können.
Darüber hinaus können Organisationen mit Enterprise-Mobility-Management-Lösungen (EMM) den Rollout auch über das vorhandene EMM automatisieren.
Der erste Schritt zum manuellen Rollout über das ginlo Management Cockpit ist die Anlage von Nutzern, denen in einem weiteren Schritt Lizenzen zugewiesen werden.
Einzelnutzer anlegen
Klicken Sie im Reiter Nutzer auf Neuen Nutzer anlegen und geben Sie in dem sich öffnenden Fenster Vorname, Nachname, E-Mail-Adresse und / oder Mobilnummer sowie optional die Abteilung des Nutzers an. Diese Daten werden später in den Profilen der Nutzer sichtbar sein.
Sie können Schlagworte vergeben, um einen Nutzer optional einem weiteren Funktionsbereich zuzuordnen. Diese Schlagworte können später für die Suchfunktion hilfreich sein.
Speichern Sie Ihre Angaben!
Nach jeder Anlage eines Nutzers öffnet sich ein Dialog, um dem Nutzer direkt eine Lizenz zuzuweisen. Sie können dies jederzeit später erledigen, wie im Abschnitt Lizenzen beschrieben.
Mehrere Nutzer anlegen
Für die Anlage mehrerer Nutzer können Sie auch die Schnellanlage verwenden: Klicken Sie hierzu in der Übersicht der Nutzerverwaltung in der letzten Zeile in die jeweiligen leeren Zellen, geben Sie die Daten ein, wechseln Sie die Zellen mit der Tab-Taste, vergeben Sie eines der bereits definierten Schlagworte und speichern Sie die Eingabe.
Nutzer über eine .csv-Datei anlegen
Über den Link Nutzerdaten importieren können Sie ein ganzes Verzeichnis von Nutzern in das ginlo Management Cockpit hochladen. Verwenden Sie hierzu bitte zunächst die CSV-Importvorlage, die Sie in der Übersicht ebenfalls oben rechts unter dem Link Importvorlage finden. Klicken Sie anschließend zum Herunterladen auf Vereinfachtes CSV für die einmalige Nutzeranlage.
Nachdem Sie die Vorlage heruntergeladen und ausgefüllt haben, klicken Sie zum Hochladen Ihrer Daten auf den grauen Button Nutzerdaten importieren oben rechts.
Wichtig
Bitte berücksichtigen Sie bei der Importvorlage das kommagetrennte Format:
„Nachname,Vorname,E-Mail-Adresse,Mobilrufnummer,[Schlagwort],[Abteilung]“
Die Felder Schlagwort und Abteilung sind dabei optional und können zur besseren Zuweisung verwendet werden.
Nach der Anlage können Sie einzelne Nutzer bearbeiten, indem Sie in der Nutzer-Liste auf den jeweiligen Eintrag klicken.
Jeder Nutzer verfügt zur Identifikation über eine 8-stellige ginlo ID, die sich aus Buchstaben und Ziffern zusammensetzt.
Die Kommunikationsdaten der Nutzer wie Mobilnummer und / oder E-Mail-Adresse lassen sich jederzeit ändern, müssen aber anschließend durch den Nutzer im Messenger verifiziert werden.
In der Nutzerbearbeitung können Sie eine Abteilung sowie Schlagworte vergeben. Während die Abteilung im Profil des Messengers für alle Nutzer sichtbar ist, dienen Schlagworte der internen Zuordnung und besseren Verwaltung über das ginlo Management Cockpit.
Unterhalb der Schlagworte finden Sie nach Aktivierung die Liste der verwendeten Geräte des Nutzers und deren jeweilige Details.
Wichtig
Nutzer, die bereits importiert wurden, werden nicht überschrieben. Demzufolge werden nur neue Einträge von Nutzern aus der Importvorlage importiert.
Nutzer können in der Nutzerbearbeitung über den Button Nutzer löschen oben rechts vollständig gelöscht werden.
Wenn ein Nutzer vom Administrator gelöscht wird - falls z.B. der Nutzer das Unternehmen verlassen hat-, wird der gesamte Account gelöscht. Ein ggf. vorhandenes Backup des Nutzers wird dadurch unbrauchbar. Die Lizenz des Nutzers wird sofort gesperrt und der Datensatz im Backend gelöscht. Der Nutzer hat damit keinen Zugriff mehr auf seine Kommunikation. Die Messenger-App setzt sich auf den Registrierungsscreen zurück, und eine Datensicherung durch den Nutzer ist nicht mehr möglich.
10.3.2.4. Lizenzen
Der Bereich Lizenzverwaltung ist zweigeteilt:
Es werden in einer Übersicht jeweils die bereits verwendeten und die noch freien Lizenzen sowie deren Anzahl angezeigt.
In beiden Bereichen können neue Lizenzen bestellt und freie Lizenzen zugewiesen werden. Benutzen Sie dazu den grauen Button rechts oben bzw. den grünen Button rechts unten.
Hinweis
Alternativ ist eine Lizenzbestellung auch in der Bestellhistorie unter Einstellungen möglich.
Nach der Anlage einzelner Nutzer - aber auch zu jedem späteren Zeitpunkt - können Sie den Nutzern freie Lizenzen zuweisen.
Klicken Sie hierzu in der Lizenzverwaltung unten rechts auf den grünen Button Lizenzen zuweisen. Es öffnet sich eine zweispaltige Übersicht:
Links finden Sie die freien Lizenzen mit entsprechendem Laufzeitende und rechts die verfügbaren Nutzer und deren Status.
Wählen Sie nun die Nutzer über die Checkbox aus, markieren Sie die gewünschten Lizenzen und weisen Sie diese über den grünen Button Lizenzen zuweisen unten rechts zu.
Wichtig
Sobald Sie eine Lizenz zuweisen, wird der angelegte Nutzer automatisch zu ginlo Business eingeladen.
Der in der Übersicht einsehbare Status ändert sich von grau (Nutzer angelegt) auf gelb (Lizenz zugewiesen).
Nutzer mit E-Mail-Adresse erhalten eine E-Mail mit entsprechendem Download-Link und weiteren Informationen. Nutzer, die nur mit Mobilrufnummer angelegt wurden, bekommen eine Einladung per SMS.
Stellen Sie sicher, dass zum Zeitpunkt der Zuweisung der Lizenz alle Vorbereitungen für den Rollout getroffen wurden.
Nachdem der Nutzer sich die ginlo Business App aus dem Apple App Store oder Google Play Store heruntergeladen hat, registriert er sich mit der jeweiligen E-Mail-Adresse oder Mobilrufnummer.
Alternativ können sich Nutzer auch über den ginlo Desktop als zusätzliches Gerät (B) oder den ginlo Web Messenger als zusätzliches Gerät (B) registrieren.
Wichtig
In allen Fällen sollte aus Sicherheitsgründen umgehend ein Zweitgerät eingerichtet werden!
Während der Registrierung erscheint eine Einladung, dem ginlo Business Team des Unternehmens beizutreten. Dies ermöglicht dem Administrator, die App zu verwalten.
Nachdem der Nutzer der Einladung zugestimmt hat, ändert sich der Status des Nutzers in der Lizenzübersicht auf grün (Lizenz aktiv). Nach Ablauf der Lizenz eines Nutzers wechselt der Status in der Übersicht von grün auf rot (Lizenz abgelaufen).
Sie können einem Nutzer auch die Lizenz wieder entziehen. Klicken Sie dazu in der Lizenzübersicht in der Zeile des Nutzers rechts auf die drei blauen Punkte und wählen Sie Lizenz entziehen.
Nachdem Sie in dem sich öffnenden Dialog mit Lizenz entziehen bestätigt haben, wird die Lizenz wieder für einen anderen Nutzer verfügbar. Der bisherige Nutzer wird dabei nicht mit seinen Daten gelöscht, sein Messenger wird allerdings gesperrt bis eine neue Lizenz zugewiesen wurde.
Kurz vor dem Ende einer Lizenzlaufzeit erhalten Nutzer und Administrator einen Hinweis auf den bevorstehenden Endtermin:
Im ginlo Management Cockpit wird in der jeweiligen Zeile eines Nutzers durch einen farbigen Hinweis und ein Warndreieck am Nutzerstatus eine Änderung angezeigt.
Sie können die Lizenz eines Nutzers in der Lizenzübersicht entziehen, verlängern oder löschen. Klicken Sie hierzu auf die drei blauen Punkte am rechten Zeilenende des Nutzers und wählen Sie eine Option aus dem Pop-up.
In dem sich nun öffnenden weiteren Pop-up kann z.B. die gewünschte Lizenz ausgewählt und eine Verlängerung initiiert werden. Sollten keine weiteren Lizenzen zur Verfügung stehen, können Sie über den grauen Button Neue Lizenzen bestellen oben rechts beliebig viele Lizenzen gegen Rechnungstellung anfordern. Die Lizenzen werden nach der Durchführung der Bestellung sofort zur Nutzung freigeschaltet.
In den Einstellungen Ihres Accounts finden Sie am Ende der Liste auch die entsprechende Bestellhistorie zu Ihren Bestellungen.
10.3.2.5. Gruppen
Wesentlicher Bestandteil der Messenger-Kommunikation ist der Austausch der Mitarbeiter in Gruppenchats. Erleichtern Sie eine effiziente und schnelle Zusammenarbeit in Abteilungen und Teams, indem Sie über das ginlo Management Cockpit Gruppen für Ihre Nutzer einrichten und diese so zusammenführen.
Nutzer, die von einem Administrator einer Gruppe zugewiesen wurden, erhalten automatisch eine Gruppeneinladung, die sie akzeptieren oder ablehnen können. Gerade für neue Mitarbeiter können Sie so das Onboarding beschleunigen und diese mit den richtigen Kollegen zusammenbringen.
Über den Reiter Gruppen und den grünen Button Neue Gruppe anlegen unten rechts starten Sie eine neue Gruppe. Legen Sie hier den Gruppennamen - z. B. Sales & Marketing - und optional ein entsprechendes Gruppenbild fest, welches den Mitgliedern der Gruppe angezeigt wird.
Anschließend können Sie aus den angelegten Nutzern die Mitglieder der Gruppe auswählen. Im rechten Bereich des Fensters können Sie hierzu Nutzer über den Namen oder Schlagworte suchen und die gewünschten Nutzer über die entsprechenden Checkboxen markieren.
Bemerkung
Eine Gruppe kann bis zu 100 Mitglieder umfassen.
Speichern Sie anschließend die neue Gruppe über den grünen Button Speichern unten rechts. Sie haben als Administrator der Gruppe jederzeit die Möglichkeit, nachträglich die Gruppe zu bearbeiten und auch Nutzer hinzuzufügen oder zu löschen. Sie können allerdings keine Inhalte der Kommunikation der Gruppe lesen oder Nachrichten senden!
Wichtig
Sobald Sie neu angelegte Nutzer einer Gruppe hinzufügen, werden diese automatisch zur Registrierung eines ginlo Business Accounts eingeladen und der Gruppe zugewiesen.
Änderungen an Gruppenname und -bild sind für alle Mitglieder unmittelbar sichtbar.
Wenn Sie zentrale Inhalte an Nutzer kommunizieren wollen, verwenden Sie hierfür bitte die Kanäle.
10.3.2.6. Kanäle
Über Kanäle können Sie zentral Nachrichten, Bilder und Dateien an einen definierten Empfängerkreis versenden und bis zu 1.000 Mitarbeiter schnell und unternehmensübergreifend über Neuigkeiten informieren. Es können auch externe RSS-Quellen in Kanäle eingebunden werden.
Wählen Sie zum Anlegen eines Kanals im Reiter Kanäle den Button Neuen Kanal anlegen und vergeben Sie analog zu Gruppen einen Namen und optional ein Bild für den Kanal sowie die Nutzer, die den Kanal erhalten sollen.
Optional können Sie ein Schreibrecht für einzelne Nutzer vergeben. Damit erhalten diese Nutzer das Recht, als Autoren über die App Nachrichten in den Kanal zu senden, die auch im ginlo Management Cockpit angezeigt werden. Alle anderen Nutzer können nicht in einem Kanal schreiben.
Sobald Sie den neuen Kanal über den grünen Button Speichern rechts unten gesichert haben, werden automatisch Einladungen an alle definierten Nutzer versendet.
Erstellen Sie im nächsten Schritt eine neue Nachricht, indem Sie in der Kanalübersicht auf die Zeile des gewünschten Kanals klicken. Geben Sie nun einen Nachrichtentext ein und fügen Sie über den grauen Button Bild oder Datei wählen gegebenenfalls ein Bild hinzu. In der Vorschau auf der rechten Seite sehen Sie die Nachricht so, wie sie die Nutzer später empfangen werden. Dabei werden Texte und Bilder in einer gemeinsamen Nachricht angezeigt.
Sie können auch lokal gespeicherte Dateien anhängen, welche jedoch nicht mit einer Textnachricht kombiniert werden können. Sie müssen als separate Nachricht verschickt werden.
Bei der Angabe von Links sollten Sie die vollständige URL im Format https://www.[kompletter Seitenname] verwenden, um Interpretationsprobleme auf dem Smartphone zu vermeiden.
Über den blauen Link Kanal bearbeiten in der oberen Navigationsleiste können der Name und das Bild des Kanals bearbeitet, neue Nutzer hinzugefügt, bestehende Nutzer gelöscht oder mit Schreibrechten versehen oder der gesamte Kanal gelöscht werden.
Wenn Sie Ihre Nachricht erstellt haben, können Sie diese entweder sofort versenden oder über das Dropdown-Menü unterhalb der Bildauswahl einen Zeitpunkt definieren. Wählen Sie hierzu ein entsprechendes Datum und die Uhrzeit und klicken Sie auf den grünen Button Senden.
Nachrichten mit einem Zeitpunkt werden nicht sofort, sondern zeitverzögert zugestellt. Technisch wird die Nachricht dabei bereits an den Server übertragen, jedoch erst an die Nutzer zugestellt, wenn der jeweilige Zeitpunkt erreicht ist.
So können Sie im Rahmen eines einfachen Redaktionsplans Nachrichten im Verlauf einer Woche verfassen und erst zum Wochenende zustellen lassen. Der Zeitpunkt der Zustellung wird neben den zeitverzögerten Nachrichten dargestellt.
Sie haben hier auch die Option, bereits an den Server übermittelte Nachrichten, die noch nicht zugestellt wurden, wieder zu löschen. Dies gilt aber nur für zeitverzögert zu versendende Nachrichten aus dem ginlo Management Cockpit!
In der Kanalübersicht sehen Sie alle angelegten Kanäle und den Status der eingeladenen Nutzer:
Nutzer, die bereits einen Account registriert und die Team-Einladung angenommen haben, gelten automatisch als beigetreten. Nutzer, die die Registrierung noch nicht abgeschlossen oder die Team-Einladung noch nicht angenommen haben, gelten als ausstehend.
So ist sichergestellt, dass keine unberechtigten Nutzer Zugriff auf vertrauliche Inhalte der Kanal-Kommunikation haben.
Neben dem manuellen Nachrichtenversand können auch RSS-Quellen eingebunden werden, deren Inhalte dann automatisch versendet werden. So können externe Content Provider (z. B. Verlage, Webseiten) aber auch interne Content-Quellen (z. B. HR News, IT Alarmierungen, Intranet-Meldungen) direkt in den Messenger eingebunden werden.
Legen Sie hierzu einen neuen Kanal an, vergeben Sie einen Namen und ein Bild und tragen Sie die externe RSS-Quelle als vollständige URL im Format https://[RSS-Feed-Adresse] ein.
Betätigen Sie im nächsten Schritt neben der URL-Eingabe den Button Prüfen, um die Funktionstüchtigkeit des RSS-Feeds zu kontrollieren. RSS Feeds werden nach den Spezifikationen 2.0 unterstützt. Die Prüfung importiert hierzu den letzten Inhalt des Feeds und stellt ihn in der Vorschau des Kanals dar. Anschließend können wie gewohnt Nutzer zugewiesen werden, die dann eine automatische Einladung für den Kanal erhalten.
Für vertrauliche Inhalte aus internen RSS-Quellen - z. B. für Alarmierungen - kann über VPN/IP-Filtering sichergestellt werden, dass nur Ihre Mitarbeiter auf die Inhalte zugreifen können. Nehmen Sie hierfür Kontakt zu uns auf unter b2b-support@ginlo.net, Stichwort Interne RSS-Feeds einrichten. Sie sollten vor dem Rollout eines RSS-Kanals an alle Nutzer die Darstellungsweise und Häufigkeit der Nachrichten in der Messenger-App überprüfen.
10.3.3. Dashboard
Für eine effektive Steuerung des ginlo Management Cockpits bietet der Reiter Dashboard auf Basis von anonymisierten Daten ein übersichtliches Reporting und schafft Transparenz über die Verwendung des Messengers. Hier finden Sie Informationen zu den Aktivitäten der Nutzer in Ihrem Unternehmen, Details zu den Administrierten Gruppen und Kanälen sowie eine abschließende Übersicht über die Nachrichtenzusammensetzung.
Über das Drop-down-Menü oben rechts können Sie jeweils zwischen Täglich aktive Nutzer und Monatlich aktive Nutzer umschalten sowie am rechten Rand einen Zeitraum von einer Woche, einem Monat oder den Gesamtzeitraum wählen. Es werden die Aktivitäten des vergangenen Tages bzw. der letzten 31 Tage angezeigt. Dabei werden immer die Daten bis zum Vortag ausgewertet.
Unter Aktivitäten finden Sie zunächst die Anzahl der aktiven Nutzer (Nutzerstatus Lizenz aktiv), deren Verteilung auf die beiden Betriebssysteme Google Android und Apple iOS und die Gesamtanzahl der von ihnen versendeten Nachrichten.
Die Grafiken zeigen Ihnen den Kurvenverlauf der Anzahl aktiver Nutzer (gelb) und die Anzahl der versendeten Nachrichten (weiß).
Im Bereich Administrierte Gruppen werden in einer Liste alle vom Administrator angelegten Gruppen mit Gruppenname, Anzahl der Nutzer und Anzahl der Nachrichten im Berichtszeitraum ausgewiesen.
Bei Klick auf eine einzelne Gruppe erscheint links neben der Gruppenliste in einem Tortendiagramm die Größe der jeweiligen Gruppe (gelb) anhand der Anzahl der Nachrichten im Vergleich zu allen administrierten Gruppen. Die von den Nutzern generierten Gruppen werden mit der Anzahl der Nachrichten im gleichen Zeitraum ausgewiesen. Rechts neben der Liste wird ein Kurvendiagramm mit der Übersicht der Nachrichten in der Gruppe über den gewählten Zeitraum dargestellt.
Informationen zu Gruppennamen und Anzahl der Teilnehmer stehen aufgrund der privaten Verschlüsselung nicht zur Verfügung.
Analog zu den Gruppen finden Sie unter Kanäle eine Auflistung aller Kanäle mit Nutzern und Nachrichten sowie eine relative Verteilung in einem Tortendiagramm.
Zusätzlich haben Sie hier die Möglichkeit, bei Klick auf einen Kanal die Top 5 der versendeten Nachrichten anzuzeigen. Das Ranking ergibt sich dabei aus der Konversion, d. h. von wie vielen Nutzern ein Bild oder eine Datei geöffnet oder ein Link geklickt wurde.
Abschließend finden Sie unter Nachrichtenzusammensetzung noch die Anzahl der Gesamtnachrichten im Berichtszeitraum. Diese ergibt sich in Summe aus den Einzelnachrichten, den Nachrichten in Gruppen und in Kanälen.
10.4. Tipps & Tricks
10.4.1. App-Management
Damit Accounts durch den Administrator verwaltet werden können, müssen die Nutzer ihre Zustimmung geben. Sobald einem Nutzer eine Lizenz zugewiesen wird, starten im Hintergrund automatische Prozesse zum Onboarding des Accounts. Dabei wird je nach Nutzerdaten eine Einladung entweder per E-Mail oder SMS versendet.
Nach der Registrierung wird der Nutzer über ein Pop-up aufgefordert, die Einladung ins Team des Unternehmens anzunehmen und damit den Administrator zum Verwalten des Accounts zu berechtigen. Sollte der Nutzer bereits den Messenger verwenden, erscheint die Anfrage zum Zeitpunkt der Lizenz-Zuweisung. Bei Klick auf Annehmen wechselt der Nutzerstatus im ginlo Management Cockpit auf Lizenz aktiv, und der Administrator kann den Account verwalten.
Ab diesem Zeitpunkt greifen Änderungen bei den App-Settings und dem App-Design für den Account, und der Nutzer erhält automatisch die ihm jeweils zugewiesenen Einladungen zu Gruppen und Kanälen. Jetzt können über die Kanäle auch Nachrichten vom ginlo Management Cockpit empfangen werden.
Sollte der Nutzer die Team-Einladung ablehnen, bleibt der Account außerhalb des App-Managements und neben dem Nutzerstatus Lizenz zugewiesen erscheint ein Warndreieck. Der Administrator kann dann über Nutzer bearbeiten seine Anfrage zur Verwaltung manuell wiederholen. Klicken Sie hierzu auf Anfrage erneut stellen, und das Pop-up erscheint beim Nutzer nochmals. Letztlich muss der Nutzer aus Sicherheitsgründen der Anfrage zum App-Management aktiv zustimmen, damit sein Account vom Administrator verwaltet werden kann.
Wichtig
Sobald ein Nutzer über das App-Management verwaltet wird, kann der Administrator – z.B. wenn der Mitarbeiter das Unternehmen verlässt – den Account inklusive der Kommunikationsdaten löschen. Die Anwendung wird in diesem Fall auf die Registrierung zurückgesetzt.
10.4.2. Geräte
Als Administrator können Sie sich jederzeit einen Überblick darüber verschaffen, auf welchen Geräten Ihre Nutzer ginlo Business verwenden. Dazu können Sie eine CSV-Datei mit folgenden Informationen exportieren:
Gerätename
ginlo Business Version
Vorname, Nachname und ginlo ID des Nutzers
Klicken Sie zum Exportieren der CSV-Datei im Reiter Nutzer oben rechts auf CSV-Import & -Export.
Klicken Sie danach im Bereich Daten für den Export auswählen auf Alle verwendeten Geräte in eine CSV-Datei exportieren.
10.4.3. Kontakte
ginlo Business bietet umfangreiche Funktionen, um Kontakte bequem und datenschutzkonform zu verwalten.
Generell gibt es drei unterschiedliche Kontaktverzeichnisse, die für das Auffinden von Kollegen und Business-Partnern genutzt werden können:
Adressbuchkontakte
Dieses Verzeichnis basiert auf den Kontakten, die im lokalen Adressbuch des Smartphones gespeichert sind. Es ist Nutzern nach der Registrierung freigestellt, ob ginlo auf diese Kontakte zugreifen darf.
Wird der Zugriff erlaubt, werden aus den Kontaktdaten (E-Mail-Adresse und / oder Handynummer) Hashwerte gebildet und mit den ebenfalls als Hashwert verschlüsselten Daten in der ginlo Datenbank verglichen. Bei einer Übereinstimmung werden die betreffenden Nutzer darüber informiert. Die Synchronisierung der Kontakte kann nur in den Android Handys oder iPhones erfolgen und sollte dort regelmäßig ausgeführt werden.
Hinweis
Das Auslesen der Hashwerte ist uns unmöglich. Eine darüber hinaus gehende Speicherung oder Weitergabe von Kontakten findet nicht statt!
Zusätzlich können Nutzer manuell über E-Mail-Adresse, Handynummer oder ginlo-ID gefunden werden.
Der Administrator kann den Zugriff auf die Adressbuchkontakte verhindern, indem er die Option 3. Geschlossene Nutzergruppe aktivieren in den Kontakte-Richtlinien wählt.
Sollte der Nutzer den Zugriff ablehnen, können die beiden folgenden Verzeichnistypen verwendet werden.
E-Mail-Verzeichnis
Das E-Mail-Verzeichnis kann verwendet werden, wenn der Nutzer seine geschäftliche E-Mail-Adresse in seinem Profil hinterlegt und verifiziert hat. In diesem Verzeichnis befinden sich alle Nutzer aus der gleichen verifizierten E-Mail-Domäne.
Firmenverzeichnis
Sobald ein Nutzer verwaltet ist, wird ihm das Firmenverzeichnis mit allen Kontakten im jeweiligen ginlo Management Cockpit freigeschaltet. Darin befinden sich alle Nutzer des Unternehmens, die unter Verwaltung stehen. Voraussetzung ist, dass die Nutzer über einen Account verfügen.
Neue Nutzer werden automatisch im Firmenverzeichnis der Kollegen aktualisiert. Sie werden mit einem grünen Label als intern markiert und gelten als vertrauenswürdig. Über die Nutzerprofile können alle vom Administrator gepflegten Informationen (Name, Vorname, Handynummer, E-Mail-Adresse, Abteilung) eingesehen werden. Der Name des Firmenverzeichnisses ist über die Kontakte-Richtlinien änderbar und kann individualisiert werden.
Zudem kann die Kommunikation über die Option Geschlossene Nutzergruppe aktivieren nur auf Nutzer dieses Firmenverzeichnisses eingeschränkt werden. Eine Kommunikation mit externen ginlo Nutzern ist dann nicht mehr möglich.
Vorhandene Chats (mit Kontakten außerhalb des Firmenverzeichnisses) werden deaktiviert, d. h. die Nutzer können nach bzw. von außerhalb keine Nachrichten mehr senden bzw. empfangen.
Favoriten (D)
Im ginlo Desktop kann aus den Kontakten zusätzlich ein Favoritenverzeichnis erstellt werden. Bewegen Sie dazu die Maus in einem der drei Reiter über den gewünschten Kontakt und klicken Sie auf den grünen Stern am Ende der Zeile. Sie entfernen einen Favoriten, indem Sie im Favoritenverzeichnis mit der Maus darauf zeigen und wieder auf den grünen Stern klicken.
Hinweis
Weitere Informationen zum Thema Kontakte finden Sie in der Desktop Beschreibung unter Kontakte verwalten.
10.4.4. Wiederherstellungcode
Sollte ein ginlo Business Nutzer einmal sein Gerätepasswort vergessen, besteht die Möglichkeit, den Messenger über den Wiederherstellungscode im Self-Service zu entsperren. Das funktioniert aber nur, wenn der Punkt 10 in den Passwort-Richtlinien nicht aktiviert wurde!
Im Standard ist der Self-Service aktiviert. So kann der Nutzer im Messenger über Gerätepasswort vergessen automatisch per E-Mail oder SMS den Wiederherstellungscode erhalten.
Alternativ können Sie über den Punkt 11 der Passwort-Richtlinien auch die manuelle Freigabe durch den Administrator erzwingen:
Wenn die Funktion Wiederherstellungscode über Admin erzwingen aktiviert ist, erhält der Administrator eine E-Mail mit der Anfrage des Nutzers. Gleichzeitig wird im ginlo Management Cockpit über ein Warndreieck neben dem Nutzerstatus signalisiert, dass die Aufmerksamkeit des Administrators benötigt wird.
Wichtig
Ist der Wiederherstellungscode nicht aktiviert und der Benutzer vergisst sein Gerätepasswort, dann sind die auf dem Gerät gespeicherten Informationen unwiederbringlich verloren, da das kryptografische Schlüsselmaterial mit dem Gerätepasswort und dem Wiederherstellungscode geschützt ist.
Diese Einstellung kann sinnvoll sein, wenn sichergestellt werden soll, dass Administratoren selbst dann nicht auf Inhalte zugreifen können, obwohl sie Zugriff auf das Device und das ginlo Management Cockpit haben.
Über Nutzer bearbeiten können weitere Schritte initiiert werden: Für Nutzer mit einer verifizierten E-Mail-Adresse kann der Code automatisch aus dem ginlo Management Cockpit versendet werden. Klicken Sie hierzu auf Wiederherstellungscode senden.
Für Nutzer ohne verifizierte E-Mail-Adresse kann sich der Administrator den Code anzeigen lassen, um ihn dem Nutzer z.B. telefonisch mitzuteilen. Im Messenger muss der Wiederherstellungscode vom Nutzer eingegeben und anschließend ein neues persönliches Gerätepasswort vergeben werden. Hier greifen dann die in den App- Settings ggf. hinterlegten Kriterien zur Passwort-Komplexität. Nach der Vergabe eines neuen Passworts gelangt der Nutzer wieder in die Chatübersicht und kann den Messenger wie gewohnt verwenden.
Hinweis
Wurde bereits ein Zweitgerät eingerichtet, kann mit dessen Hilfe ginlo Business auf dem Gerät mit dem vergessenen Gerätepasswort neu installiert und synchronisiert werden.