Version: 4.1 (2026-H2)

Benutzer Onboarding & Offboarding

Onboarding

Benutzer im primedocs werden durch das bestehende Active Directory bzw. Entra ID (ehemals Azure Active Directory) authentifiziert.

Neue Benutzer kommen automatisch ins primedocs System, sobald diese primedocs desktop bzw. primedocs web verwenden. Hierbei werden folgende Schritte durchlaufen:

Der Benutzer wird über das primarySid-Attribut (bzw. wird objectId im Azure AD Fall als primarySid genommen) in der primedocs Datenbank gesucht. Wenn der Benutzer nicht existiert, wird er angelegt.
Danach wird der Benutzer über die Benutzersynchronisation synchronisiert.
Es werden alle Gruppeninformationen vom Benutzer geladen - dies schliesst auch die Gruppeninformationen von dynamischen Gruppen ein. Weitere Informationen zu Gruppen und Berechtigungen finden Sie auch hier: Berechtigungen
Der Benutzer ist nun in der Datenbank angelegt und alle Gruppeninformationen stehen zur Verfügung, um das Standardbenutzerprofil zu erstellen.
Das Standardbenutzerprofil stellt die Verbindung zwischen den Benutzer- und Organisationsdaten, welche im primedocs hinterlegt sind, dar. Das Profil wird automatisch der Organisation zugeordnet, für welche der Benutzer berechtigt ist.

warnung

WICHTIG
Der Benutzer muss hierfür für genau eine Organisationseinheit berechtigt sein bzw. bei einem Organisationsbaum darf nur eine Unterorganisation für den Benutzer zutreffen.

Danach ist der Benutzer mitsamt seinem Standardprofil angelegt und kann primedocs vollständig nutzen.

hinweis

Über die Admin API lässt sich dieser Prozess auch automatisieren. Details finden Sie auf dieser Seite:
Admin API

Initialwert für Benutzerfelder

Für ein konfigurierbares Benutzerfeld kann ein Initialwert hinterlegt werden. Beim erstmaligen Anlegen eines Benutzers wird das Feld mit diesem Wert vorbelegt — sofern nicht ein externes System (z.B. die Benutzersynchronisation) einen Wert liefert. Der externe Wert hat Vorrang: Der Initialwert wird zuerst geschrieben und kann anschliessend durch synchronisierte Daten überschrieben werden.

Der Initialwert wird in der Benutzerfeld-Konfiguration im Dialog «Feld bearbeiten» im Feld Initialwert gesetzt. Anders als Name, Gruppe und Beschreibung richtet sich der Initialwert nach der Dokumentsprache (nicht nach der UI-Sprache); pro Sprache lässt sich ein eigener Wert hinterlegen. Für Bildfelder kann kein Initialwert gesetzt werden.

Initialwert im Dialog «Feld bearbeiten»

Der Initialwert wird ausschliesslich bei der Erstellung gesetzt und danach nie wieder angewendet. Eine spätere manuelle Änderung am Feld wird also nicht überschrieben — es handelt sich bewusst nicht um einen «Default Value».

Text: Der Initialwert kann auch übersetzt hinterlegt werden.
Checkbox (Ja/Nein): true oder false.

Typischer Anwendungsfall: Bei neu angelegten Benutzern soll eine bestimmte Checkbox standardmässig aktiviert sein, ohne dass eine spätere manuelle Anpassung durch den statischen UserSync überschrieben wird.

Offboarding

Über die Benutzersynchronisation können Benutzer, die in den entsprechenden Authentifizierungssystemen nicht mehr auffindbar sind, auch automatisch gelöscht werden.

Profile & Berechtigungsüberprüfungen

Um auf Berechtigungsänderungen bei Organisationseinheiten und Benutzern zu reagieren, kann die Funktion Profil-Onboarding bei Berechtigungsverlust genutzt werden.

Profil-Onboarding bei Berechtigungsverlust

Mit diesem Feature wird sichergestellt, dass Profile von Benutzern nur Organisationseinheiten zugewiesen haben, für welche der jeweilige Benutzer auch eine Berechtigung besitzt. Verliert ein Benutzer die Berechtigung für eine oder mehrere Organisationseinheiten, wird für die betroffenen Profile der Onboarding-Prozess erneut ausgeführt, um die Zuweisung zu korrigieren oder — falls keine passende Ersatz-Organisationseinheit gefunden wird — zu entfernen.

Validierungsmodi

Der ProfileToOrganizationLinkValidator kennt drei Modi, die im Dashboard unter Settings → General Settings → ProfileOrganizationUnitValidationMode eingestellt werden:

No Check — es wird keine Prüfung durchgeführt.
Propose new Org Id — für alle Profile werden die Berechtigungen der zugewiesenen Organisationseinheit überprüft. Profile, die die Berechtigung verloren haben, erhalten über ein erneutes Profil-Onboarding eine Ersatz-Organisationseinheit als Vorschlag (bzw. den Vermerk, dass keine gefunden wurde). Bereits bestehende Vorschläge werden zu Beginn entfernt, da ein Benutzer die Berechtigung zwischenzeitlich zurückerhalten haben könnte. Die Vorschläge sind im User Editor sichtbar (Security → More → editor).
Apply new Org Id — funktioniert analog zu Propose new Org Id, weist die ermittelte Organisationseinheit den betroffenen Profilen jedoch direkt zu, ohne vorherigen Vorschlag.

warnung

Der Modus Apply new Org Id sollte mit Vorsicht und erst nach einer Prüfung mit Propose new Org Id verwendet werden.

JobHost

Analog zur Benutzersynchronisation kann beim ProfileToOrganizationLinkValidator eine DataSourceId angegeben werden. Ohne Angabe wird der Validator auf allen konfigurierten Datenbanken ausgeführt. Minimaler Aufruf:

...\primedocs.JobHost.exe ProfileToOrganizationLinkValidator

Short	Long	Required	Default	Beschreibung
`-d`	`--DataSourceId`	false	`null`	GUID der Zieldatenbank auf dem Server. Wird sie weggelassen, wird der Validator auf allen konfigurierten Datenbanken ausgeführt.

Einschränkungen

Im Dashboard gibt es keine Ansicht, um alle Profile und ihre vorgeschlagenen Organisationseinheiten gesammelt darzustellen und die Änderungen anzuwenden.
Vorgeschlagene Organisationseinheiten können veralten, wenn sich nach einer Ausführung des Jobs die Berechtigungen des Benutzers oder die den Profilen zugewiesenen Organisationseinheiten ändern.

Onboarding​

Initialwert für Benutzerfelder​

Offboarding​

Profile & Berechtigungsüberprüfungen​

Profil-Onboarding bei Berechtigungsverlust​

Validierungsmodi​

JobHost​

Einschränkungen​