Du kannst Deine Nutzer und Gruppen aus einem Active Directory oder einem LDAP-Benutzerverzeichnis synchronisieren.
Beim Synchronisieren eines Benutzerverzeichnisses werden Nutzer und Gruppen separat synchronisiert. Zuerst werden Gruppen synchronisiert, gefolgt von den Nutzern. Nutzer können nur zu den Gruppen hinzugefügt werden, die im ersten Schritt synchronisiert wurden. Alle Nutzer, die den Nutzerfiltern entsprechen, werden jedoch synchronisiert, unabhängig davon, ob sie zu den in der Gruppensynchronisation synchronisierten Gruppen gehören.
- Gehe zu Administration > Benutzerverzeichnisse
- Wähle Verzeichnis anlegen, um ein neues Benutzerverzeichnis hinzuzufügen
- Gib einen Namen ein
- Wähle einen Typ aus: Active Directory oder LDAP
- Fülle die Felder auf jedem Tab wie unten beschrieben aus
Verbindung
- Hostname: Gib den Server ein, der Dein Benutzerverzeichnis verwaltet.
- Port: Gib einen Port ein. Der Standard-LDAP-Port ist 389. Der Standard-Port für verschlüsselte SSL-Kommunikation ist 636.
- SSL: Wenn Du SSL aktivierst, benötigt Dein AD-Server ein offiziell signiertes Zertifikat. Es ist nicht möglich, ein selbstsigniertes Zertifikat für die Haiilo-Cloud zu verwenden.
- AD Domäne (nur wenn Active Directory als Typ im Schritt 4 ausgewählt ist): Gib eine Domäne ein, wenn Du den Zugriff auf Deine Plattform auf Nutzer mit E-Mails aus einer bestimmten Domäne, wie z.B. haiilo.com, beschränken möchtest.
- Basis-DN: Gib den Basis-Distinguished Name ein. Dies gibt an, in welchem spezifischen Bereich Deines Benutzerverzeichnisses Du Bereitstellungen vornehmen möchtest. Optional können unter den Tabs Nutzer und Gruppen zusätzliche DNs angegeben werden, um genauer festzulegen, welche Nutzer oder Gruppen bereitgestellt werden.
- Benutzername: Gib den Benutzernamen eines Benutzers im Benutzerverzeichnis mit ausreichenden Leseberechtigungen für die Objekte, die synchronisiert werden sollen (Bind-DN) ein.
- Passwort: Das Passwort für den oben genannten Benutzernamen.
- Wähle Verbindung testen, um zu überprüfen, ob Dein Verzeichnis mit den eingegebenen Einstellungen erreichbar ist.
Benutzer
Diese Einstellungen definieren, welche Nutzer synchronisiert werden. Ohne Einstellungen werden alle im Verzeichnis gesucht.
- Zusätzliche Benutzer-DN: Gib zusätzliche DNs ein, um die gesuchten Benutzer einzugrenzen. Dies wird zum zuvor konfigurierten Basis-DN hinzugefügt.
- Klasse des Benutzer-Objekts: Gib die Klasse der Benutzer ein, nach der gesucht werden soll, idealerweise nur "person".
- Filter des Benutzer-Objekts: Gib eine LDAP-Filter-Syntax an, um nur Benutzer bestimmter Gruppen zu synchronisieren. Benutzer, die nicht mehr Mitglieder dieser Gruppe sind, gelten als verwaiste Benutzer. Es sind auch komplexere Filter möglich. Aufgrund der Einschränkungen des LDAP-Protokolls können Platzhalter für DN-Attribute nicht verwendet werden.
- Lokale Gruppen entfernen: Aktiviere dies, wenn du die synchronisierten Benutzer aus allen lokalen Gruppen entfernen möchtest, zu denen sie manuell hinzugefügt wurden.
- Andere Verzeichnisgruppen entfernen: Aktiviere dies, wenn du die synchronisierten Benutzer aus allen anderen Benutzerverzeichnisgruppen entfernen möchtest, zu denen sie manuell hinzugefügt wurden.
- Benutzer-ID: Wir empfehlen die Verwendung von "objectGUID", da dieses Attribut eindeutig ist und sich nicht ändert.
- Die restlichen Felder sind optional. Wenn du sie zuordnen möchtest, empfehlen wir die Verwendung des Platzhalters oder der empfohlenen Werte. Zusätzlich kannst du Benutzerprofilfelder synchronisieren aus deinem Verzeichnis.
Gruppen
- Um Gruppen aus einem Benutzerverzeichnis zu synchronisieren, aktiviere Gruppen synchronisieren.
- Zusätzliche Gruppen-DN: Gib den Ort ein, der die Gruppen definiert.
- Klasse der Gruppen-Objekte: Gib die Klasse der Gruppen ein, nach der gesucht werden soll.
- Filter für Gruppen-Objekte: Gib eine LDAP-Filter-Syntax an, um nur bestimmte Gruppen zu synchronisieren.
- Gruppen-ID und Gruppen-Name: Haiilo überprüft diese Werte für Gruppenmitgliedschaften. Wenn beide Werte gleich sind, wird der Benutzer dieser Gruppe zugewiesen. Verschachtelte Gruppen werden nicht berücksichtigt.
- Benutzerattribut für Gruppen-Mitgliedschaften: Wenn du OpenLDAP verwendest, muss dieses Feld angegeben werden.
- Gruppen erhalten: Wenn Gruppen synchronisieren deaktiviert ist, kannst du dieses Feld aktivieren, um alle zuvor synchronisierten Gruppen für dieses spezifische Benutzerverzeichnis beizubehalten. Auf diese Weise kannst du die zuvor synchronisierten Gruppen einfrieren. Wenn es nicht aktiviert ist, werden alle zuvor synchronisierten Gruppen und deren Mitgliedschaften beim nächsten Sync entfernt.
Synchronisation
- Page Size: Definiert, wie viele Elemente pro Abfrage synchronisiert werden. Das LDAP-Protokolllimit beträgt 1000, wähle also keinen höheren Wert.
-
Verweisen folgen: Benutzer können im Verzeichnis als Verweis auf eine andere Domäne oder ein anderes Verzeichnis gespeichert werden. Durch Aktivieren dieser Option werden die Verweise berücksichtigt. Diese Verweise ermöglichen es beispielsweise, einen Verzeichnisbaum zu partitionieren und auf mehrere LDAP-Server zu verteilen. Das bedeutet, dass LDAP-Server möglicherweise nicht den gesamten Verzeichnisinformationsbaum speichern, sondern möglicherweise Verweise auf andere LDAP-Server enthalten, die die angeforderten Informationen bereitstellen.
- Beispiel: Wenn Haiilo Home mit einem Verzeichnis synchronisiert, kann ein LDAP-Server dich an einen anderen Server verweisen, indem er Verweise zurückgibt. Ein Verweis ist ein Eintrag mit dem Verweis-Objektklasse, der mindestens ein Attribut mit dem Namen "ref" enthält, das als Wert eine LDAP-URL des verwiesenen Eintrags auf einem anderen LDAP-Server hat.
- Wenn deine Synchronisierung abläuft ("Timeout-Fehler"), kann es daran liegen, dass du versuchst, einem nicht zugänglichen Verweis zu folgen oder nicht über ausreichende Berechtigungen verfügst.
- Aktivierung: Wenn aktiviert, werden neue und wiederhergestellte Benutzer während der Synchronisierung aktiviert. Andernfalls musst du den Status der Benutzer manuell auf Aktiv im Benutzermanagement setzen.
- Just-in-Time-Synchronisation: Wenn aktiviert, werden Benutzer nur erstellt und ihre Daten synchronisiert, wenn sie sich anmelden. Diese Einstellung macht Sinn, wenn nur Benutzer importiert werden sollen, die sich anmelden. Dafür sollte die automatische Synchronisierung deaktiviert sein, damit nicht alle Benutzer bereits in Haiilo existieren.
- Verwaiste Benutzer: Wähle aus, was mit Benutzern geschehen soll, die derzeit als aktive Benutzer in Haiilo vorhanden sind, aber nicht mehr im Benutzerverzeichnis existieren. Wenn du Ignorieren wählst, bleiben sie unverändert.
- Benutzer wiederherstellen: Wenn aktiviert, wird ein Benutzer, der in Haiilo deaktiviert oder gelöscht wurde, aber während der Synchronisierung erneut im Benutzerverzeichnis vorhanden ist, wieder aktiviert. Es ist nicht möglich, anonymisierte Benutzer wiederherzustellen. Ein zuvor anonymisierter Benutzer kann nur als neuer Benutzer erstellt werden.
Ausführung
- Wähle die Synchronisierungsfrequenz. Wenn du Deaktiviert wählst, führst du die Synchronisierung manuell durch.