Konflikt bei Rechtevergabe, wenn Benutzer über LDAP-Import Job angelegt wurden

[Alexander Gensler]

Hallo zusammen,

ich beobachte derzeit ein etwas diffuses Fehlerbild und wollte mich erkundigen, ob das bekannt ist, bzw. ein Workaround existiert:

Ich verteile grundsätzlich diverse Rollen über die Authentication###000- Default. Dabei nutze ich, wie in der Anleitung beschrieben, für die Rollen Customer und Ticket Agent den Block GroupDNBasedUsageContextSync (mit den Funktionen IsAgent und IsCustomer), für alle anderen Rollen den GroupDNBasedRoleSync.

Ich habe initial, insbesondere um SSO direkt von Anfang an zu ermöglichen, einmalig einen LDAP zu Kontakt-SyncJob laufen lassen. Dabei habe ich einmal alle Mitarbeiter des Hauses aus dem AD importiert und in der Contact/User Sync Map mittels "IsCustomer": "SET:1" die Customer-Rolle zugewiesen. Das hat auch hervorragend geklappt, dadurch war direkt für alle der SSO funktional. Ich beobachte nun jedoch, dass bei einem Großteil der Mitarbeiter beim SSO der Rollen-Sync über die  Authentication###000- Default nicht erfolgt. Die Personen haben dauerhaft die Customer-Rolle, obwohl sie teilweise z.B. noch die von mir angelegte Vorgesetzten-Rolle zusätzlich erhalten sollten. Auch kann ich derzeit keinen Unterschied erkennen, warum es bei einigen wenigen funktioniert, beim Rest jedoch nicht. In den Logs wird nichts in der Hinsicht protokolliert.

Ich habe testweise bei einer betroffenen Person die Customer-Rolle entfernt und die Person gebeten, sich einmal händisch anzumelden. In diesem Moment wurden die richtigen Rollen synchronisiert. Bei weiteren Versuchen klappte dann auch der SSO wieder. Allerdings möchte ich ungern bei 1000+ Mitarbeitern die Rolle entfernen und eine händische Anmeldung einfordern.

Für Hinweise zur Behebung des Problems bin ich dankbar

Viele Grüße
Alexander