Um den Active Directory Connector mit Ihrem Password Boss Konto zu verbinden, benötigen Sie Folgendes:

Systemanforderungen

• Windows Server 2012 R2 SP1 oder höher.
• .NET Framework 4.6.1 oder höher
• Arbeitsspeicher: 512 MB
• Speicherplatz: 100 MB
• Ausgehender TCP-Port 443 vom Server, auf dem der Active Directory Connector ausgeführt wird, zu api.passwordboss.com

Dienstkonto

• Sie benötigen die Anmeldeinformationen für ein Dienstkonto in Ihrem Active Directory (AD), das den Active Directory Connector ausführt. Das Dienstkonto benötigt Administratorrechte für den Server, auf dem der Active Directory Connector ausgeführt wird.
  • Wenn der Active Directory Connector auf einem Domänencontroller installiert ist, fügen Sie Ihr Dienstkonto der Gruppe der Domänenadministratoren hinzu.
  • Wenn der Active Directory Connector auf einem Mitgliedsserver installiert wird, fügen Sie das Dienstkonto der lokalen Administratorgruppe des Servers hinzu.
  • Sie müssen Ihrem Dienstkonto außerdem die Berechtigung erteilen, gelöschte Benutzer anzuzeigen .
  • Anweisungen zum Erstellen eines Dienstkontos finden Sie in diesem Artikel.
• Wenn der Active Directory Connector auf einem Domänencontroller in einem einzelnen Domänen-AD installiert ist , können Sie zum Ausführen des Active Directory Connectors auch das lokale Systemkonto verwenden .

Erstellen Sie eine AD-Gruppe zur Synchronisierung mit Password Boss

Der Active Director Connector verwendet eine globale AD-Sicherheitsgruppe, um zu bestimmen, welche Benutzer mit Password Boss synchronisiert werden sollen. Am besten erstellen Sie eine neue Sicherheitsgruppe in Ihrem AD und fügen alle Ihre Password Boss Benutzer dieser Gruppe hinzu. So können Sie einfach verwalten, welche Benutzer an Password Boss gesendet werden.

Anforderungen an das Benutzerkonto

Die folgenden Attribute müssen in jedem Benutzerkonto vorhanden sein, um mit Password Boss synchronisiert zu werden:

• Vorname
• Nachname
• E-Mail-Adresse. Dies muss eine gültige, weiterleitbare E-Mail-Adresse sein, an die der Benutzer E-Mails empfangen kann.

DZM-Installationsanforderungen

Wenn Sie den Active Directory Connector in einer DMZ installieren, müssen die folgenden Ports zwischen dem DMZ-Server und Ihrem Domänencontroller geöffnet sein:

• TCP/UDP 53 - DNS
• TCP/UDP 88 – Kerberos-Authentifizierung
• TCP/UDP 289 – LDAP

Weitere Portinformationen finden Sie in diesem Microsoft-Artikel .

Aktivieren des Active Directory Connectors für Ihr Konto

1. Als Erstes müssen Sie den Active Directory Connector für Ihr Konto aktivieren . Dies geschieht über das Password Boss Portal . Melden Sie sich als Administrator am Portal an und navigieren Sie zu Connectors .
2. Klicken Sie auf „Installieren“, um den Installationsvorgang zu starten.
3. Kopieren Sie das Authentifizierungstoken. Sie müssen es auf dem Server eingeben, auf dem der Active Directory-Connector ausgeführt wird.
4. Klicken Sie auf „Weiter“ , um zur Registerkarte „Synchronisierungsregeln“ zu gelangen.
5. Mit den Synchronisierungsregeln konfigurieren Sie, wie Änderungen aus Ihrem Active Directory in Password Boss verarbeitet werden. In den meisten Fällen sind die Standardeinstellungen empfehlenswert. Weitere Informationen zu den Synchronisierungsregeln finden Sie weiter unten in diesem Artikel .
6. Klicken Sie auf „OK“ , um Ihre Einstellungen zu speichern.
7. Ihr Password Boss -Konto ist jetzt bereit, Benutzerdaten aus Ihrem Active Directory zu empfangen.

Installieren des Active Directory Connectors auf Ihrem Server

1. Laden Sie das Installationsprogramm von der Active Directory-Seite des Password Boss -Portals herunter.
2. Melden Sie sich als Administrator auf dem Server an, auf dem der Active Directory-Connector installiert wird.
3. Führen Sie das Installationsprogramm aus
4. Klicken Sie auf die Schaltfläche „Installieren“ , um die Lizenzvereinbarung zu akzeptieren und das Installationsprogramm zu starten.
5. Ändern Sie bei Bedarf den Installationsordner und klicken Sie auf Weiter .

Konfigurieren des Active Directory Connectors

1. Öffnen Sie die Anwendung Password Boss Active Directory Connector.
2. Geben Sie auf der Registerkarte „Verzeichnis-Setup“ die Anmeldeinformationen für das von Ihnen verwendete Dienstkonto ein und wählen Sie die Domänen aus, die Ihre Benutzerkonten enthalten. Wenn die Domänenliste leer ist, bedeutet dies, dass das von Ihnen verwendete Dienstkonto nicht über die erforderlichen Berechtigungen für AD verfügt.
3. Geben Sie auf der Registerkarte „Authentifizierung“ das Authentifizierungstoken ein, das Sie beim Aktivieren des Active Directory Connectors im Portal erhalten haben, und klicken Sie auf „Speichern“.
4. Klicken Sie auf der Registerkarte auf die Schaltfläche „Bearbeiten“, um die AD-Gruppe auszuwählen, die die Benutzerkonten enthält, die Sie mit Password Boss synchronisieren möchten . Wir empfehlen dringend, hierfür eine eigene AD-Gruppe zu erstellen.
5. Benutzer werden nun mit Password Boss synchronisiert. Der folgende Schritt zur Gruppensynchronisierung ist optional.
6. Auf der Registerkarte „Gruppen“ haben Sie die Möglichkeit, AD-Gruppen mit Password Boss zu synchronisieren. Weitere Informationen zur Gruppensynchronisierung finden Sie am Ende dieses Artikels.

Grundlegendes zum Synchronisierungsprozess

Wenn ein Benutzerkonto an Password Boss gesendet wird, durchläuft das Konto die folgenden Phasen:

Konto wird erstellt – die Benutzerinformationen wurden von Password Boss empfangen und das Konto wird erstellt. Dieser Vorgang dauert in der Regel nur wenige Sekunden pro Konto.

Aktiv – Nachdem ein Benutzerkonto erstellt wurde, wird es im Portal als „Aktiv“ angezeigt. Anschließend erhält der Benutzer eine E-Mail mit einem temporären Passwort, mit dem er sich bei seinem Konto anmelden kann. Bei der ersten Anmeldung erhält der Benutzer außerdem einen Bestätigungscode per E-Mail, den er in die Anwendung auf seinem Computer oder Mobilgerät eingeben muss. Sobald der Bestätigungscode akzeptiert wurde, muss der Benutzer sein Master-Passwort ändern.

Genehmigung ausstehend – Dieser Status kann aus einem von zwei Gründen auftreten.

1. In den Synchronisierungsregeln des AD-Connectors auf dem Portal haben Sie die Erstellung ausstehender Konten in Password Boss ausgewählt, die manuell genehmigt werden müssen.
2. Sie haben mehr Benutzer mit Password Boss synchronisiert, als Sie gekauft haben. Sie müssen entweder einige Benutzer aus Ihrem Password Boss -Konto entfernen oder zusätzliche Lizenzen erwerben.

Deaktiviert – Wenn ein Benutzerkonto aus der Synchronisierung entfernt wird, entweder durch Löschen des Benutzers in AD oder durch Entfernen des Benutzers aus der Gruppe, die Benutzer mit Password Boss synchronisiert, besteht die Standardaktion darin, das Benutzerkonto in Password Boss zu deaktivieren.

Synchronisierungsregeln

Synchronisierungsregeln bestimmen, wie Änderungen in AD in Password Boss übernommen werden. Die Synchronisierungsregeln werden im Password Boss Portal durch Bearbeiten des Active Directory Connectors konfiguriert.

1. Wenn ein neues Benutzerkonto von Active Directory zu Password Boss synchronisiert wird

• Erstellen Sie ein Benutzerkonto in Password Boss . Dies ist die empfohlene Einstellung und eignet sich für die meisten Unternehmen am besten.
• Erstellen Sie in Password Boss ein ausstehendes Benutzerkonto, das von einem Administrator genehmigt werden muss. Wenn diese Einstellung gewählt ist, bleiben die neuen Konten im Status „Ausstehend“, bis ein Administrator sie im Password Boss Portal manuell genehmigt.

2. Wenn ein Benutzerkonto im Active Directory gelöscht wird

• Deaktivieren Sie das Benutzerkonto in Password Boss . Dies ist die empfohlene Einstellung und eignet sich für die meisten Unternehmen. Hinweis: Es gibt keine Möglichkeit, Password Boss -Konten automatisch aus dem Active Directory-Connector zu löschen. Dies ist ein Sicherheitsmechanismus, um das versehentliche Löschen von Password Boss -Konten bei einem Fehler in AD zu verhindern.
• Entfernen Sie den Benutzer aus Ihrem Konto und konvertieren Sie ihn in ein persönliches Konto. Diese Einstellung ist im Allgemeinen nur für Unternehmen nützlich, in denen Benutzer ihre persönlichen E-Mail-Adressen für ihre Password Boss -Konten verwenden.

3. Wenn ein Benutzerkonto in Active Directory deaktiviert ist

• Deaktivieren Sie das Benutzerkonto in Password Boss . Dies ist die empfohlene Einstellung und funktioniert für die meisten Unternehmen.
• Entfernen Sie den Benutzer aus Ihrem Konto und konvertieren Sie ihn in ein persönliches Konto. Diese Einstellung ist im Allgemeinen nur für Unternehmen nützlich, in denen Benutzer ihre persönlichen E-Mail-Adressen für ihre Password Boss -Konten verwenden.

4. Wenn ein Active Directory-Konto aus der Synchronisierung mit Password Boss entfernt wird

• Deaktivieren Sie das Benutzerkonto in Password Boss . Dies ist die empfohlene Einstellung und funktioniert für die meisten Unternehmen.
• Entfernen Sie den Benutzer aus Ihrem Konto und konvertieren Sie ihn in ein persönliches Konto. Diese Einstellung ist im Allgemeinen nur für Unternehmen nützlich, in denen Benutzer ihre persönlichen E-Mail-Adressen für ihre Password Boss -Konten verwenden.

Gruppensynchronisierung

Gruppen in Password Boss werden von Ihren Benutzern verwendet, wenn sie Passwörter in der Password Boss -App teilen. Wenn Sie in AD Gruppen erstellt haben, die für Ihre Benutzer beim Teilen von Passwörtern nützlich sind, können Sie durch Aktivieren der Gruppensynchronisierung im Active Directory Connector Gruppen in AD verwalten und Änderungen mit Password Boss synchronisieren.

Wenn die Gruppensynchronisierung aktiviert ist, werden den Benutzern, die Sie für die Synchronisierung mit Password Boss konfiguriert haben (Registerkarte „Benutzer“ im Active Directory Connector), auch Gruppen in Password Boss zugeordnet. Password Boss synchronisiert globale Sicherheitsgruppen .

Durch die Aktivierung der Gruppensynchronisierung werden Ihrem Konto in Password Boss keine zusätzlichen Benutzer hinzugefügt. Die einzigen Benutzer, die mit Password Boss synchronisiert werden, sind die Benutzer, die in der Gruppe auf der Registerkarte „Benutzer“ des Active Directory Connectors auf Ihrem Windows-Server aufgeführt sind.

Wenn Sie beispielsweise die folgenden Benutzer und Gruppen haben:

• AD-Benutzer = Benutzer1, Benutzer2, Benutzer3, Benutzer4, Benutzer5
• Gruppe = " Password Boss -Benutzer " - Benutzer1, Benutzer2, Benutzer3
• Gruppe = " Marketing " - Benutzer1
• Gruppe = " HR " - Benutzer2, Benutzer4
• Gruppe = " Finanzen " - Benutzer3, Benutzer5

So werden die Benutzer und Gruppen mit Password Boss synchronisiert

1. Auf der Registerkarte Benutzer des Active Directory Connectors ist die Gruppe " Password Boss Users " ausgewählt
2. Auf der Registerkarte Gruppen des Active Directory Connectors sind „ Marketing “ und „ HR “ ausgewählt
3. Die folgenden Benutzer werden mit Password Boss synchronisiert: Benutzer1, Benutzer2, Benutzer3
4. Die folgenden Gruppen werden mit Password Boss synchronisiert: „ Marketing “, „ HR “
5. In Password Boss enthält die Gruppe „ Marketing “: Benutzer1
6. In Password Boss enthält die Gruppe „ HR “: Benutzer2 . Benutzer4 wird nicht synchronisiert, da Benutzer4 nicht in der Gruppe „ Password Boss -Benutzer“ ist.
7. In Password Boss wird die Gruppe „ Finanzen “ nicht synchronisiert, da die Gruppe auf der Registerkarte „Gruppen“ des Active Directory Connectors nicht ausgewählt ist.