Zum Hauptinhalt springen
Version: 4.0 (2026 H1)

Benutzer Onboarding & Offboarding

Onboarding

Benutzer im primedocs werden durch das bestehende Active Directory bzw. Entra ID (ehemals Azure Active Directory) authentifiziert.

Neue Benutzer kommen automatisch ins primedocs System, sobald diese primedocs desktop bzw. primedocs web verwenden. Hierbei werden folgende Schritte durchlaufen:

  1. Der Benutzer wird über das primarySid-Attribut (bzw. wird objectId im Azure AD Fall als primarySid genommen) in der primedocs Datenbank gesucht. Wenn der Benutzer nicht existiert, wird er angelegt.
  2. Danach wird der Benutzer über die Benutzersynchronisation synchronisiert.
  3. Es werden alle Gruppeninformationen vom Benutzer geladen - dies schliesst auch die Gruppeninformationen von dynamischen Gruppen ein. Weitere Informationen zu Gruppen und Berechtigungen finden Sie auch hier: Berechtigungen
  4. Der Benutzer ist nun in der Datenbank angelegt und alle Gruppeninformationen stehen zur Verfügung, um das Standardbenutzerprofil zu erstellen.
    Das Standardbenutzerprofil stellt die Verbindung zwischen den Benutzer- und Organisationsdaten, welche im primedocs hinterlegt sind, dar. Das Profil wird automatisch der Organisation zugeordnet, für welche der Benutzer berechtigt ist.
warnung

WICHTIG
Der Benutzer muss hierfür für genau eine Organisationseinheit berechtigt sein bzw. bei einem Organisationsbaum darf nur eine Unterorganisation für den Benutzer zutreffen.

Danach ist der Benutzer mitsamt seinem Standardprofil angelegt und kann primedocs vollständig nutzen.

hinweis

Über die Admin API lässt sich dieser Prozess auch automatisieren. Details finden Sie auf dieser Seite:
Admin API

Offboarding

Über die Benutzersynchronisation können Benutzer, die in den entsprechenden Authentifizierungssystemen nicht mehr auffindbar sind, auch automatisch gelöscht werden.

Profile & Berechtigungsüberprüfungen

Um auf Berechtigungsänderungen bei Organisationseinheiten und Benutzern zu reagieren, kann die Funktion Profil-Onboarding bei Berechtigungsverlust genutzt werden.

Profil-Onboarding bei Berechtigungsverlust

Mit diesem Feature wird sichergestellt, dass Profile von Benutzern nur Organisationseinheiten zugewiesen haben, für welche der jeweilige Benutzer auch eine Berechtigung besitzt. Verliert ein Benutzer die Berechtigung für eine oder mehrere Organisationseinheiten, wird für die betroffenen Profile der Onboarding-Prozess erneut ausgeführt, um die Zuweisung zu korrigieren oder — falls keine passende Ersatz-Organisationseinheit gefunden wird — zu entfernen.

Validierungsmodi

Der ProfileToOrganizationLinkValidator kennt drei Modi, die im Dashboard unter Settings → General Settings → ProfileOrganizationUnitValidationMode eingestellt werden:

  • No Check — es wird keine Prüfung durchgeführt.
  • Propose new Org Id — für alle Profile werden die Berechtigungen der zugewiesenen Organisationseinheit überprüft. Profile, die die Berechtigung verloren haben, erhalten über ein erneutes Profil-Onboarding eine Ersatz-Organisationseinheit als Vorschlag (bzw. den Vermerk, dass keine gefunden wurde). Bereits bestehende Vorschläge werden zu Beginn entfernt, da ein Benutzer die Berechtigung zwischenzeitlich zurückerhalten haben könnte. Die Vorschläge sind im User Editor sichtbar (Security → More → editor).
  • Apply new Org Id — funktioniert analog zu Propose new Org Id, weist die ermittelte Organisationseinheit den betroffenen Profilen jedoch direkt zu, ohne vorherigen Vorschlag.
warnung

Der Modus Apply new Org Id sollte mit Vorsicht und erst nach einer Prüfung mit Propose new Org Id verwendet werden.

JobHost

Analog zur Benutzersynchronisation kann beim ProfileToOrganizationLinkValidator eine DataSourceId angegeben werden. Ohne Angabe wird der Validator auf allen konfigurierten Datenbanken ausgeführt. Minimaler Aufruf:

...\primedocs.JobHost.exe ProfileToOrganizationLinkValidator
ShortLongRequiredDefaultBeschreibung
-d--DataSourceIdfalsenullGUID der Zieldatenbank auf dem Server. Wird sie weggelassen, wird der Validator auf allen konfigurierten Datenbanken ausgeführt.

Einschränkungen

  • Im Dashboard gibt es keine Ansicht, um alle Profile und ihre vorgeschlagenen Organisationseinheiten gesammelt darzustellen und die Änderungen anzuwenden.
  • Vorgeschlagene Organisationseinheiten können veralten, wenn sich nach einer Ausführung des Jobs die Berechtigungen des Benutzers oder die den Profilen zugewiesenen Organisationseinheiten ändern.