Wie verbindet und synchronisiert man Active Directory?

Verbindung und Synchronisation mit Active Directory

1. Verbindung zu Active Directory

Um zum Bildschirm für die Verbindung mit Active Directory zu gelangen, muss man sich im Abschnitt Einstellungen > Verbindungen befinden (wie im Bild gezeigt). Auf diese Option haben Benutzer der Typen Platinum, Gold, Consulting, Consulting-Administrator, Plattform-Administrator, Enterprise-Administrator und Konfigurations-Administrator Zugriff.

Dieser Bildschirm hat mehrere Spalten, die im Folgenden beschrieben werden:

• Name: Enthält den Namen der Verbindung, der zur Identifikation dient.

• Typ: Enthält den Verbindungstyp, in diesem Fall Active Directory oder LDAP.

• Host: Enthält den Namen des Servers (Server Name), mit dem die Verbindung hergestellt wird.

• Benutzer: Der Name des Benutzers, der für die Verbindung mit dem Active Directory-Server verwendet wird. Es ist erforderlich, dass dieses Servicekonto im Active Directory die Struktur lesen kann, um die zu synchronisierenden Benutzer sowie die gewünschten Active Directory-Attribute abzurufen. Es wird außerdem empfohlen, dass dieses Servicekonto ein Passwort hat, das nicht abläuft, oder dass dies berücksichtigt wird, um sicherzustellen, dass der Synchronisationsprozess immer betriebsbereit ist.

• Aktiviert: Gibt an, ob eine Verbindung aktiviert ist oder nicht.

Das Formular für die Verbindung mit Active Directory besteht aus verschiedenen Feldern, die im Folgenden beschrieben werden.

Zunächst gibt es den Abschnitt „Allgemeine Daten“:

• Aktiviert: Gibt an, dass diese Active Directory-Verbindung diejenige ist, die für die Synchronisation aktiviert ist. Es können nicht zwei AD-Verbindungen gleichzeitig aktiviert sein.

• Typ: Gibt den Typ der Verbindung an (in diesem Fall Active Directory).

• Name*: Ein Pflichtfeld, das den Namen dieser Verbindung angibt, um sie in anderen Optionen des Tools zu verwenden.

• Domänenname: Gibt die Domäne an, mit der das AD verbunden ist (wie im Bild zu sehen). Die Ausdrucksweise ist wie im Beispiel: „DC=entwicklung, DC=lokal“. Es kann auch eine spezifische Organisationseinheit hinzugefügt werden, z. B. „OU=test“, was dazu führt, dass nur die Benutzer dieser Einheit synchronisiert werden.

• Benutzer-DN: Gibt den Benutzer an, der sich mit dem Active Directory verbinden wird. Jeder Benutzer, der Teil des AD ist, kann sich verbinden, hat jedoch nur die Berechtigungen, die ihm im AD zugewiesen wurden. Für GlobalSuite ist dies transparent: Es stellt die Anfrage an AD und erhält die Daten, die AD basierend auf den Benutzerberechtigungen bereitstellen kann.

• Servername / IP: Gibt die IP-Adresse an, unter der der Active Directory-Server gehostet wird. Diese IP muss gültig sein, daher muss ein Administrator des Tools sie dem System hinzufügen.

• Port: Gibt die Portnummer an, auf die die Synchronisation zugreift. Standardmäßig werden die folgenden Ports verwendet:

  • Normales AD: 389.

  • AD mit LDAPS: 636.

  • Verzeichnisbäume: 3268.

  • Verzeichnisbäume mit LDAPS: 3269.

• LDAPS verwenden: Dieses Feld wird verwendet, um die Verbindung zu einem Active Directory über ein SSL-Verschlüsselungsprotokoll zu nutzen. Wenn dieses Feld aktiviert ist, wird der Port standardmäßig auf 636 geändert.

Schließlich gibt es die Schaltfläche „Verbindung prüfen“, mit der überprüft werden kann, ob die eingegebenen Parameter gültig sind und ob sie mit einem gültigen AD verbunden sind. Um die Verbindung zu überprüfen, wird das Passwort des im Feld Benutzer-DN angegebenen Benutzers angefordert. Dieses Passwort wird nicht in GlobalSuite gespeichert und muss jedes Mal eingegeben werden, wenn der Test durchgeführt werden soll.

Zweitens gibt es den Abschnitt „Active Directory-Gruppen“. Diese Gruppen dienen dazu, mit einer bestimmten Benutzergruppe des AD zu synchronisieren. Diese Gruppen enthalten ein Feld „Name“, um die Gruppe zu identifizieren, und ein Feld „Beschreibung“, falls zusätzliche Informationen zur Gruppe hinzugefügt werden sollen. Um zu synchronisieren, kann im Feld „Verbindungszeichenkette“ neben dem Domänennamen (der standardmäßig beim Erstellen einer neuen Gruppe kopiert wird) die AD-Gruppe hinzugefügt werden, die synchronisiert werden soll. Beispiel: „DC=entwicklung, DC=lokal, CN=entwicklung“, wobei „entwicklung“ eine in AD erstellte Gruppe ist, der eine Reihe von Benutzern angehören. Es ist zu beachten, dass bei der Verwendung einer Gruppe zur Synchronisation die Verbindungszeichenkette verwendet wird, um sich mit dem AD zu verbinden, ohne den Domänennamen der Verbindung zu berücksichtigen (wie zuvor erklärt). Das heißt, die „Verbindungszeichenkette“ der Gruppe ersetzt beim Verbinden mit AD den in der Verbindung konfigurierten Domänennamen.

Beispiel: Im vorherigen Bild ist zu sehen, dass der Domänenname

„DC=entwicklung,DC=lokal“ ist. Eine der Gruppen ist jedoch

„DC=entwicklung,DC=lokal,CN=entwicklung“, daher wird diese Zeichenkette verwendet, um sich zu verbinden, und ersetzt die Domäne.

Außerdem gibt es in jeder Gruppe das Feld „Typ“, das entweder „Benutzer“ oder „Mitarbeiter“ sein kann und angibt, in welcher der beiden Optionen des Tools diese Gruppe zur Synchronisation verwendet werden kann.

Der nächste Abschnitt, genannt „Verbindungsprotokolle“, zeigt die Verbindungsverlaufsprotokolle mit Active Directory. Wenn die Verbindung fehlschlägt, kann der vom Active Directory-Server zurückgegebene Fehler zum Zeitpunkt der Verbindung angezeigt werden.

Im Abschnitt „Verbunden mit…“ wird angegeben, in welchen der beiden genannten Optionen des Tools (beide können ausgewählt werden) die Synchronisation mit den Benutzern von AD erlaubt wird.

Schließlich gibt es den Abschnitt „Synchronisationseinstellungen“. In diesem Abschnitt kann die Beziehung zwischen den Attributen des Active Directory und den Feldern der GlobalSuite-Formulare konfiguriert werden. Insbesondere kann die Beziehung zu den Feldern von Benutzern und Mitarbeitern konfiguriert werden.

Die Konfiguration erfolgt über die unten gezeigte Tabelle.

Standardmäßig werden die logischen Felder des Active Directory festgelegt, die definitionsgemäß mit jedem der Felder von GlobalSuite verknüpft sind. Wenn diese Konfiguration nach Änderungen wiederhergestellt werden soll, kann die Schaltfläche „Konfiguration zurücksetzen“ verwendet werden.

Es gibt auch ein auswählbares Feld namens „Mitarbeiter beim Synchronisieren von Benutzern erstellen und zuordnen“. Wenn dieses Feld markiert ist, wird jedes Mal, wenn Benutzer im Tool synchronisiert werden, ein zugeordneter Mitarbeiter erstellt, und es wird eine Entsprechung zwischen ihren Feldern bestehen, die es ermöglicht, die Beziehung zwischen beiden Entitäten aufrechtzuerhalten.

Hinweis: Es ist wichtig zu beachten, dass beim Markieren von „Mitarbeiter beim Synchronisieren von Benutzern erstellen und zuordnen“ die Daten zum Erstellen des Mitarbeiters dieselben sind wie die Daten zum Erstellen des Benutzers. Daher werden Felder wie „Abteilung“, „Alternative E-Mail“ usw. leer erstellt. Um diese Felder auszufüllen, ist es möglich, die Synchronisation aus dem Mitarbeiterbereich durchzuführen, die Mitarbeiter zu aktualisieren und so das Formular zu vervollständigen, diesmal mit der Zuordnung für Mitarbeiter.

Hinweis 2: Manchmal ist es notwendig, die Feldzuordnung zu ändern, um die benötigten Informationen abrufen zu können. Im Bild unten sind (in Rot) die Namen der Felder zu sehen, in denen sich die relevantesten Informationen zu Benutzern im AD der Kunden befinden.

2. Synchronisation mit Active Directory

Um zum Synchronisationsbildschirm zu gelangen, muss man sich im Abschnitt Einstellungen > Benutzer befinden (wie im Bild gezeigt). Auf diese Option haben Benutzer Zugriff, die nicht „Enterprise“ oder „Entität“ sind (d. h. die Benutzer Platinum, Gold, Consulting und die verschiedenen Administratorentypen).

Dieser Bildschirm hat mehrere Spalten, die im Folgenden beschrieben werden:

• Kontaktname: Name des Benutzers, der nichts mit dem Benutzer zu tun hat, der für den Zugriff auf GlobalSuite verwendet wird. Beispiel: Tomás Ramírez Rodríguez.

• Entität: Gibt die Entität oder das Managementsystem an, zu dem der Benutzer gehört (die Entitäten werden später im Abschnitt über Entitäten erklärt).

• Position(en): Position, die dieser Benutzer im Unternehmen innehat.

• E-Mail: E-Mail-Adresse des Benutzers.

• Benutzer: Name, der vom Benutzer für den Zugriff auf das Tool verwendet wird. Beispiel: tomas.ramirez

• Benutzertyp: Gibt den Benutzertyp im Tool an, ob es sich um einen Entität-, Enterprise- oder einen Administratorentyp handelt.

• AD/LDAP-Verbindung: Gibt an, ob ein Benutzer mit einem AD-Benutzer synchronisiert ist und daher diese Anmeldeinformationen für den Zugriff auf das Tool verwendet. Andernfalls wäre es ein normaler GlobalSuite-Benutzer.

• Passwort: Enthält eine Schaltfläche „Zurücksetzen“, um einem GlobalSuite-Benutzer ein neues Passwort zu senden. Dies gilt nur für lokale Benutzer des Tools. Für Benutzer, die

mit AD synchronisiert sind, ist diese Aktion nicht möglich und die Schaltfläche wird nicht angezeigt.

• Verknüpfter Benutzer: Zeigt, falls vorhanden, den AD-Benutzer an, über den auf das Tool zugegriffen werden kann, um auf dieselben Daten wie der abhängige Benutzer zuzugreifen.

• Benutzerrolle: Vom Unternehmen definierte Rolle für diesen Benutzer. Diese Rollen können in Kunden/Firmenrollen erstellt werden.

• Status: Gibt an, ob der Benutzer aktiv ist, d. h., ob mit diesem Benutzer auf das Tool zugegriffen werden kann.

Einige der oben beschriebenen Spalten sind standardmäßig ausgeblendet. Um diese Spalten anzuzeigen, muss mit der rechten Maustaste auf die Tabellenüberschrift geklickt und die gewünschten Spalten markiert werden.

Darüber hinaus gibt es oben zwei Schaltflächen: „Synchronisieren“, mit der die allgemeine Verbindung oder eine der in der Option Verbindungen konfigurierten AD-Gruppen ausgewählt werden kann. Nach Auswahl einer dieser Optionen und Eingabe des Passworts kann auf den Synchronisationsbildschirm von AD zugegriffen werden, der im nächsten Abschnitt erklärt wird.

Es gibt auch die Schaltfläche „Benutzer durch AD/LDAP deaktivieren“. Diese Schaltfläche ändert die Konfiguration der Benutzer, die in der Spalte „AD/LDAP-Verbindung“ auf Ja gesetzt sind, sodass sie normale GlobalSuite-Benutzer werden. In diesem Fall wird diesen Benutzern ein neues Passwort gesendet, und sie werden von AD desynchronisiert.

2.1. Benutzersynchronisation

Nach dem Öffnen des Benutzersynchronisationsbildschirms erscheinen 3 Abschnitte, die im Folgenden beschrieben werden:

2.1.1. Abschnitt der Active Directory-Benutzer

Der linke Abschnitt entspricht den Benutzern, die zur festgelegten Active Directory-Verbindung gehören. Diese Benutzer können sich in 4 Zuständen befinden, die im Folgenden beschrieben werden:

	Gibt an, dass der Benutzer bereits mit dem Tool synchronisiert ist, daher existiert ein Benutzer in GlobalSuite mit denselben Daten (Name, Telefon und E-Mail).
	Gibt an, dass der Benutzer im Active Directory existiert, aber nicht in GlobalSuite.
	Gibt an, dass der Benutzer sowohl im Active Directory als auch in GlobalSuite existiert und synchronisiert ist, aber einige Daten in einem der beiden Tools geändert wurden. Es kann auch als geändert erscheinen, wenn das Kontrollkästchen in den Verbindungseinstellungen von
	„Mitarbeiter erstellen und zuordnen beim Synchronisieren von Benutzern“ in einem der folgenden Fälle aktiviert ist: Wenn ein Benutzer einem Mitarbeiter zugeordnet ist, der jedoch INAKTIV ist. Wenn ein Benutzer einem Mitarbeiter zugeordnet war, dieser jedoch nicht mehr zugeordnet ist.
	Der Benutzer verfügt nicht über einige Daten im AD, die obligatorisch sind, oder diese Daten haben nicht das richtige Format. Im konkreten Beispiel sind diese Felder „Name“ und „E-Mail“, daher sind sie mit einem Sternchen * markiert.

2.1.2. Synchronisationsmenü

In der oberen linken Ecke befindet sich die Schaltfläche „Synchronisieren“, mit der die Benutzer-Synchronisationsaktionen durchgeführt werden können. Es ist wichtig zu beachten, dass die Synchronisation nur in eine Richtung erfolgt, vom Active Directory zu GlobalSuite, das heißt, GlobalSuite ändert niemals etwas im Active Directory. Jede Schaltfläche funktioniert wie folgt:

• Neue: Fügt die Benutzer des Active Directory hinzu, die nicht synchronisiert sind, es sei denn, die Benutzergrenze wird überschritten. (Außerdem wird, wenn das Kontrollkästchen „Mitarbeiter erstellen und zuordnen beim Synchronisieren von Benutzern“ aktiviert ist, ein Mitarbeiter erstellt, der diesem neuen Benutzer zugeordnet ist).

• Geänderte: Aktualisiert die Änderungen der Benutzer mit den Daten des Active Directory-Benutzers. (Wenn das Kontrollkästchen „Mitarbeiter erstellen und zuordnen beim Synchronisieren von Benutzern“ aktiviert ist, wird der zugeordnete Mitarbeiter auf „Aktiv“ gesetzt).

• Alle: Fügt neue Benutzer hinzu und aktualisiert die geänderten.

• Ausgewählte: Fügt die in der Tabelle ausgewählten Benutzer hinzu oder aktualisiert sie (je nach Fall).

Darüber hinaus gibt es die Schaltfläche „ Sub-Rolle“, da ein Enterprise- oder Entitätsbenutzer von GlobalSuite auch eine Sub-Rolle haben kann, die die Optionen konfiguriert, auf die er Zugriff hat. Aus diesem Grund wird, wenn eine dieser Sub-Rollen ausgewählt wird, diese Sub-Rolle den synchronisierten Benutzern im Tool zugeordnet.

2.1.3 Benutzerbereich

Der rechte Bereich entspricht den Benutzern, die zu GlobalSuite gehören, sowohl denjenigen, die mit AD synchronisiert sind, als auch denjenigen, die es nicht sind.

2.1.4 Entitätsbereich

Der Bereich unten zeigt die Entitäten oder Managementsysteme, die im Unternehmen verfügbar sind. In GlobalSuite kann ein Unternehmen eine oder mehrere Entitäten (auch Managementsysteme genannt) unter sich haben. Obwohl die Benutzer pro Unternehmen verwaltet werden, ist es möglich anzugeben, dass einige Benutzer nur Zugriff auf eine bestimmte Entität haben. Daher ist es mit diesem Bereich möglich anzugeben, zu welcher Entität die Benutzer gehören, die synchronisiert werden.

2.2 Mitarbeitersynchronisation

Die Mitarbeitersynchronisation erfolgt ähnlich wie die Benutzersynchronisation (Punkt 1), jedoch ohne Berücksichtigung der Überlegungen zum Kontrollkästchen „Mitarbeiter erstellen und zuordnen beim Synchronisieren von Benutzern“ in den Verbindungseinstellungen.

3. Unterschiede zu LDAP

Beim Synchronisieren mit LDAP gibt es einige Unterschiede, die im Folgenden erläutert werden. Im Verbindungsbildschirm muss das Feld Benutzer-DN mit den Buchstaben „CN=“ beginnen. Während der Wert im Active Directory beispielsweise „Administrator“ sein konnte, muss er im Fall von LDAP „CN=Administrator“ sein.

Darüber hinaus ist es auch möglich, auf verschiedene Gruppen oder organisatorische Einheiten zuzugreifen. In den folgenden Bildern wird eine Reihe von Gruppen und die Benutzer gezeigt, die synchronisiert werden könnten:

1- In LDAP erstellte Gruppen

2- Beispiel für einen Benutzerbaum in LDAP

In jeder Gruppe könnten die folgenden Benutzer angezeigt werden:

• KIND 1: lorenzo ramirez

• Entwicklung: test test test

• OU Eltern: user1, jose fernandez

• Test mit CN: user1

Wenn ohne Gruppe synchronisiert wird, könnten die 4 Benutzer ausgewählt werden: user1, test test test, jose fernandez und lorenzo ramirez.

Die restlichen Konfigurationsüberlegungen sind identisch wie im Fall von Active Directory.

04. Erforderliche Felder für die Synchronisation mit AD

Damit die Benutzersynchronisation erfolgreich ist, erfordert die AD-Verbindungslibrary von GlobalSuite, dass das Active Directory mindestens die folgenden Attribute enthält:

• Attribute mit vordefiniertem Wert

  • objectClass=user

  • samaccounttype=805306368 (NORMAL_USER_ACCOUNT)

  • objectCategory=person

• Attribute mit vom AD-Administrator zugewiesenem Wert

• cn

• sn

• department

• samaccountname oder employeeID (mindestens 1)

• mail

• memberof

• title

• displayname

• telephonenumber

• primarygroupid