Synchronisation mit Active Directory oder LDAP
Dieser Artikel wird Ihnen helfen, den Directory Connector zu verwenden, um Benutzer und Gruppen von Ihrem LDAP oder Active Directory Service zur Synchronisation mit Ihrer Bitwarden Organisation zu starten. Bitwarden bietet integrierte Connectors für die beliebtesten LDAP-Verzeichnisserver, einschließlich:
Microsoft Active Directory
Apache Directory Server (ApacheDS)
Apple Open Verzeichnis
Fedora Verzeichnisserver
Novell eDirectory
OpenDS
OpenLDAP
Sun Directory Server Enterprise Edition (DSEE)
Jeder generische LDAP-Verzeichnisserver
Führen Sie die folgenden Schritte aus, um den Directory Connector für die Verwendung Ihres LDAP oder Active Directory zu konfigurieren:
Öffnen Sie die Directory Connector Desktop-App.
Navigieren Sie zum Einstellungen Tab.
Wählen Sie aus dem Typ-Dropdown Active Directory / LDAP aus.
Die verfügbaren Felder in diesem Abschnitt ändern sich je nach Ihrem ausgewählten Typ.
Konfigurieren Sie die folgenden Optionen:
Option | Beschreibung | Beispiele |
---|---|---|
Server-Hostname | Hostname Ihres Verzeichnisservers. |
|
Serveranschluss | Port, auf dem Ihr Verzeichnisserver lauscht. |
|
Wurzelpfad | Stammverzeichnispfad, bei dem Directory Connector alle Abfragen starten sollte. |
|
Dieser Server verwendet Active Directory. | Markieren Sie dieses Kästchen, wenn der Server ein Active Directory Server ist. | |
Dieser Server sucht Ergebnisseiten | Markieren Sie dieses Kästchen, wenn der Server Suchergebnisse paginiert (nur LDAP). | |
Dieser Server verwendet eine verschlüsselte Verbindung. | Wenn Sie dieses Kästchen ankreuzen, werden Sie aufgefordert, eine der folgenden Optionen auszuwählen: Verwenden Sie SSL (LDAPS) Wenn Ihr LDAPS-Server ein nicht vertrauenswürdiges Zertifikat verwendet, können Sie auf diesem Bildschirm Zertifikatsoptionen konfigurieren. Verwenden Sie TSL (STARTTLS) Wenn Ihr LDAP-Server ein selbstsigniertes Zertifikat für STARTTLS verwendet, können Sie auf diesem Bildschirm Zertifizierungsoptionen konfigurieren. | |
Benutzername | Der angesehene Name eines administrativen Benutzers, den die Anwendung beim Verbinden mit dem Verzeichnisserver verwenden wird. Für Active Directory, wenn die Synchronisation des Status von Benutzern, die aus dem Verzeichnis entfernt wurden, gewünscht ist, sollte der Benutzer ein Mitglied der eingebauten Administratorgruppe sein. | |
Passwort | Das Passwort des oben genannten Benutzers. Das Passwort wird sicher im nativen Anmeldeinformationsverwalter des Betriebssystems gespeichert. |
Tipp
Wenn Sie mit der Konfiguration fertig sind, navigieren Sie zum Mehr Tab und wählen Sie die Schaltfläche Synchronisation Cache löschen, um mögliche Konflikte mit vorherigen Synchronisationsoperationen zu vermeiden. Für weitere Informationen, siehe Synchronisation Cache leeren.
Führen Sie die folgenden Schritte aus, um die Einstellungen zu konfigurieren, die bei der Synchronisation mit dem Directory Connector verwendet werden:
Hinweis
Wenn Sie Active Directory verwenden, sind viele dieser Einstellungen für Sie voreingestellt und werden daher nicht angezeigt.
Öffnen Sie die Directory Connector Desktop-App.
Navigieren Sie zum Einstellungen Tab.
Im Abschnitt Synchronisation konfigurieren Sie die folgenden Optionen nach Wunsch:
Option | Beschreibung |
---|---|
Intervall | Zeit zwischen automatischer Synchronisationsprüfung (in Minuten). |
Entfernen Sie deaktivierte Benutzer während der Synchronisation | Markieren Sie dieses Kästchen, um Benutzer aus der Bitwarden Organisation zu entfernen, die in Ihrer Organisation deaktiviert wurden. |
Überschreiben Sie vorhandene Benutzer der Organisation basierend auf den aktuellen Synchronisationseinstellungen | Markieren Sie dieses Kästchen, um den vom Benutzer festgelegten Satz bei jeder Synchronisation vollständig zu überschreiben, einschließlich dem Entfernen von Benutzern aus Ihrer Organisation, wenn sie im Verzeichnisbenutzersatz fehlen. Führen Sie immer eine Test-Synchronisation durch, bevor Sie nach Aktivierung dieser Option eine Synchronisation durchführen. |
Es wird erwartet, dass mehr als 2000 Benutzer oder Gruppen eine Synchronisation durchführen. | Markieren Sie dieses Kästchen, wenn Sie erwarten, 2000+ Benutzer oder Gruppen zu synchronisieren. Wenn Sie dieses Kästchen nicht ankreuzen, wird der Directory Connector eine Synchronisation auf 2000 Benutzer oder Gruppen beschränken. |
Mitglied Attribut | Name des Attributs, das vom Verzeichnis verwendet wird, um die Mitgliedschaft einer Gruppe zu definieren (zum Beispiel, |
Erstellungsdaten Attribut | Name des Attributs, das vom Verzeichnis verwendet wird, um anzugeben, wann ein Eintrag erstellt wurde (zum Beispiel, |
Revisionsdatum Attribut | Name des Attributs, das vom Verzeichnis verwendet wird, um anzugeben, wann ein Eintrag zuletzt geändert wurde (zum Beispiel, |
Wenn ein Benutzer keine E-Mail-Adresse hat, kombinieren Sie einen Benutzernamen-Präfix mit einem Suffix-Wert, um eine E-Mail-Adresse zu bilden. | Markieren Sie dieses Kästchen, um gültige E-Mail-Adresse Optionen für Benutzer zu erstellen, die keine E-Mail-Adresse haben. Benutzer ohne echte oder gebildete E-Mail-Adressen werden vom Directory Connector übersprungen. |
E-Mail-Adresse Präfixattribut | Attribut, das verwendet wird, um ein Präfix für gebildete E-Mail-Adressen zu erstellen. |
E-Mail-Adressen-Suffix | Ein String ( |
Benutzer synchronisieren | Markieren Sie dieses Kästchen, um Benutzer mit Ihrer Organisation zu synchronisieren. |
Benutzerfilter | Siehe Synchronisationsfilter festlegen. |
Benutzerpfad | Attribut, das mit dem angegebenen Root-Pfad verwendet wird, um nach Benutzern zu suchen (zum Beispiel, |
Benutzerobjektklasse | Name der Klasse, die für das LDAP-Benutzerobjekt verwendet wird (zum Beispiel, |
Benutzer E-Mail-Adresse Attribut | Attribut, das verwendet wird, um die gespeicherte E-Mail-Adresse eines Benutzers zu laden. |
Gruppen Synchronisation | Markieren Sie dieses Kästchen, um Gruppen mit Ihrer Organisation zu synchronisieren. |
Gruppenfilter | Siehe Synchronisationsfilter festlegen. |
Gruppenpfad | Attribut, das mit dem angegebenen Root-Pfad verwendet wird, um nach Gruppen zu suchen (zum Beispiel, |
Gruppenobjektklasse | Name der Klasse, die für das LDAP-Gruppenobjekt verwendet wird (zum Beispiel, |
Attribut des Gruppennamens | Name des Attributs, das vom Verzeichnis zur Definition des Namens einer Gruppe (zum Beispiel, |
Benutzer- und Gruppenfilter können in Form eines beliebigen LDAP-kompatiblen Suchfilters vorliegen.
Active Directory bietet einige erweiterte Optionen und Einschränkungen beim Schreiben von Suchfiltern im Vergleich zu standard LDAP-Richtlinien. Erfahren Sie mehr über das Schreiben von Active Directory-Suchfiltern hier.
Hinweis
Verschachtelte Gruppen können mehrere Gruppenobjekte mit einem einzigen Referenten im Directory Connector durch Synchronisation abgleichen. Machen Sie dies, indem Sie eine Gruppe erstellen, deren Mitglieder andere Gruppen sind.
Proben
Um eine Synchronisation für alle Einträge zu filtern, die objectClass=user
und cn
(common name) enthalten, das Marketing
enthält:
Bash(&(objectClass=user)(cn=*Marketing*))
(Nur-LDAP) Um eine Synchronisation für alle Einträge zu filtern, bei denen eine ou
(Organisationseinheit) Komponente ihres dn
(distinguished name) entweder Miami
oder Orlando
ist:
Bash(|(ou:dn:=Miami)(ou:dn:=Orlando))
(Nur-LDAP) Um Entitäten auszuschließen, die einem Ausdruck entsprechen, zum Beispiel alle ou=Chicago
Einträge außer denen, die auch einem ou=Wrigleyville
Attribut entsprechen:
Bash(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville)))
(Nur Anzeige) Um eine Synchronisation für Benutzer in der Heroes
Gruppe zu filtern:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=Heroes,ou=users,dc=company,dc=com))
(Nur Anzeige) Um eine Synchronisation für Benutzer zu filtern, die Mitglieder der Heroes
Gruppe sind, entweder über das Verzeichnis oder durch Verschachteln:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=Heroes,ou=users,dc=company,dc=com))
Tipp
Bevor Sie eine Synchronisation testen oder ausführen, überprüfen Sie, ob der Directory Connector mit dem richtigen Cloud-Server (z.B. US oder EU) oder selbst gehostetem Server verbunden ist. Lernen Sie, wie Sie dies mit der Desktop-App oder CLI machen können.
Um zu testen, ob der Directory Connector erfolgreich eine Verbindung zu Ihrem Verzeichnis herstellt und die gewünschten Benutzer und Gruppen zurückgibt, navigieren Sie zum Dashboard Tab und wählen Sie die Jetzt testen Schaltfläche aus. Wenn erfolgreich, werden Benutzer und Gruppen gemäß den angegebenen Synchronisationsoptionen und Filtern im Directory Connector-Fenster angezeigt:
![Testergebnisse der Synchronisation](https://res.cloudinary.com/bw-com/image/upload/f_auto/v1/ctf/7rncvj1f8mw7/5QYMxvtCPhjbluuoLcCapD/96e9c630ead9ceba5124b55f9d2764a3/dc-okta-test.png?_a=BAJFJtWI0)
Sobald die Synchronisationsoptionen und Filter konfiguriert und getestet sind, können Sie mit der Synchronisation beginnen. Führen Sie die folgenden Schritte aus, um die automatische Synchronisation mit dem Directory Connector zu starten:
Öffnen Sie die Directory Connector Desktop-Anwendung.
Navigieren Sie zum Dashboard Tab.
Im Abschnitt Synchronisation, wählen Sie die Schaltfläche Synchronisation starten.
Sie können alternativ die Schaltfläche Jetzt synchronisieren auswählen, um eine einmalige manuelle Synchronisation auszuführen.
Der Directory Connector beginnt mit dem Abfragen Ihres Verzeichnisses basierend auf den konfigurierten Synchronisationsoptionen und Filtern.
Wenn Sie die Anwendung beenden oder schließen, wird die automatische Synchronisation gestoppt. Um den Directory Connector im Hintergrund laufen zu lassen, minimieren Sie die Anwendung oder verstecken Sie sie im Infobereich.
Hinweis
Wenn Sie den Teams Starter Plan haben, sind Sie auf 10 Mitglieder begrenzt. Der Directory Connector zeigt einen Fehler an und stoppt die Synchronisation, wenn Sie versuchen, mehr als 10 Mitglieder zu synchronisieren.
Wertgrenze erreicht bei der Synchronisation von einer Active Directory-Instanz:
Das Active Directory MaxValRange
hat eine Standard-Einstellung von 1500. Wenn ein Attribut, wie Mitglieder
auf einer Gruppe mehr als 1500 Werte hat, wird Active Directory sowohl ein leeres Mitglieder
Attribut zurückgeben, als auch eine gekürzte Liste von Mitgliedern
auf separaten Attributen, bis zum Wert von MaxValRange
.
Sie können die
MaxValRange
Richtlinie auf einen Wert einstellen, der höher ist als die Nummer der Mitglieder Ihrer größten Gruppe im Active Directory. Sehen Sie die Microsoft-Dokumentation für die Einstellung von Active Directory LDAP-Richtlinien mit Hilfe des ntdsutll.exe Dienstprogramms.