Überblick

Der Password Boss Active Directory Connector erleichtert Unternehmen, die Microsoft Active Directory verwenden, das Erstellen und Verwalten von Konten in Password Boss .

• Das Active Directory wird kontinuierlich auf neue und aktualisierte Benutzer überwacht und diese Änderungen führen sofort zur Erstellung und Aktualisierung von Benutzerkonten in Password Boss .
• Der Active Directory Connector ist flexibel konzipiert. Sie können einzelne oder alle Benutzer synchronisieren. Sie können auch Gruppen von Active Directory mit Password Boss synchronisieren, sodass Sie Gruppen nicht manuell in Password Boss erstellen müssen.
• Der Active Directory Connector ist klein und leicht und belastet Ihren Domänencontroller nicht unnötig.

Systemanforderungen

• Windows Server 2012 R2 SP1 oder höher.
• .NET Framework 4.6.1 oder höher
• Arbeitsspeicher: 512 MB
• Speicherplatz: 100 MB
• Ausgehender TCP-Port 443 vom Server, auf dem der Active Directory Connector ausgeführt wird, zu api.passwordboss.com

Dienstkonto

• Sie benötigen die Anmeldeinformationen für ein Dienstkonto in Ihrem Active Directory (AD), das den Active Directory Connector ausführt. Das Dienstkonto benötigt Administratorrechte für den Server, auf dem der Active Directory Connector ausgeführt wird.
• Wenn der Active Directory Connector auf einem Domänencontroller installiert ist, fügen Sie Ihr Dienstkonto der Gruppe der Domänenadministratoren hinzu.
• Wenn der Active Directory Connector auf einem Mitgliedsserver installiert wird, fügen Sie das Dienstkonto der lokalen Administratorgruppe des Servers hinzu.
• Sie müssen Ihrem Dienstkonto außerdem die Berechtigung erteilen, gelöschte Benutzer anzuzeigen.
• Anweisungen zum Erstellen eines Dienstkontos finden Sie in diesem Artikel.
• Wenn der Active Directory Connector auf einem Domänencontroller in einem einzelnen Domänen-AD installiert ist, können Sie zum Ausführen des Active Directory Connectors auch das lokale Systemkonto verwenden.

Erstellen Sie eine Gruppe in AD zur Synchronisierung mit Password Boss .

Der Active Directory Connector verwendet eine globale AD-Sicherheitsgruppe, um zu bestimmen, welche Benutzer mit Password Boss synchronisiert werden sollen. Am besten erstellen Sie eine neue Sicherheitsgruppe in Ihrem AD und fügen alle Ihre Password Boss Benutzer dieser Gruppe hinzu. So können Sie einfach verwalten, welche Benutzer an Password Boss gesendet werden.

Anforderungen an das Benutzerkonto

Die folgenden Attribute müssen in jedem Benutzerkonto vorhanden sein, um mit Password Boss synchronisiert zu werden:

• Vorname
• Nachname
• E-Mail-Adresse. Dies muss eine gültige, weiterleitbare E-Mail-Adresse sein, an die der Benutzer E-Mails empfangen kann.

DMZ-Installationsanforderungen

Wenn Sie den Active Directory Connector in einer DMZ installieren, müssen die folgenden Ports zwischen dem DMZ-Server und Ihrem Domänencontroller geöffnet sein:

• TCP/UDP 53 - DNS
• TCP/UDP 88 – Kerberos-Authentifizierung
• TCP/UDP 289 – LDAP
• Weitere Portinformationen finden Sie in diesem Microsoft-Artikel .

Aktivieren des Active Directory Connectors

1. Gehen Sie im Portal zum Unternehmen und wählen Sie die Registerkarte „Konnektoren“ aus.
2. Klicken Sie im Microsoft Active Directory Connector auf „Installieren“.
3. Kopieren Sie das Authentifizierungstoken. Sie müssen es auf dem Server eingeben, auf dem der Active Directory-Connector ausgeführt wird.
4. Klicken Sie auf „Weiter“, um zur Registerkarte „Synchronisierungsregeln“ zu wechseln.
5. Mit den Synchronisierungsregeln konfigurieren Sie, wie Änderungen aus Ihrem Active Directory in Password Boss verarbeitet werden. In den meisten Fällen sind die Standardeinstellungen empfehlenswert. Weitere Informationen zu den Synchronisierungsregeln finden Sie weiter unten in diesem Artikel.
6. Klicken Sie auf „OK“, um Ihre Einstellungen zu speichern.
7. Ihr Password Boss -Konto ist jetzt bereit, Benutzerdaten aus Ihrem Active Directory zu empfangen.

Installieren des Active Directory Connectors auf Ihrem Server

1. Laden Sie das Installationsprogramm von der Active Directory-Seite des Password Boss -Portals herunter.
2. Melden Sie sich als Administrator auf dem Server an, auf dem der Active Directory-Connector installiert wird.
   Führen Sie das Installationsprogramm aus
3. Klicken Sie auf die Schaltfläche „Installieren“, um die Lizenzvereinbarung zu akzeptieren und das Installationsprogramm zu starten.
4. Ändern Sie bei Bedarf den Installationsordner und klicken Sie auf „Fortfahren“.

Konfigurieren des Active Directory Connectors

1. Öffnen Sie die Anwendung Password Boss Active Directory Connector.
2. Geben Sie auf der Registerkarte „Verzeichnis-Setup“ die Anmeldeinformationen für das zu verwendende Dienstkonto ein und wählen Sie die Domänen aus, die Ihre Benutzerkonten enthalten. Wenn die Domänenliste leer ist, bedeutet dies, dass das von Ihnen verwendete Dienstkonto nicht über die erforderlichen Berechtigungen für AD verfügt.
3. Geben Sie auf der Registerkarte „Authentifizierung“ das Authentifizierungstoken ein, das Sie beim Aktivieren des Active Directory Connectors im Portal erhalten haben, und klicken Sie auf „Speichern“.
4. Klicken Sie auf der Registerkarte auf die Schaltfläche „Bearbeiten“, um die AD-Gruppe auszuwählen, die die Benutzerkonten enthält, die Sie mit Password Boss synchronisieren möchten. Wir empfehlen dringend, hierfür eine eigene AD-Gruppe zu erstellen.
   Benutzer werden nun mit Password Boss synchronisiert. Der folgende Schritt zur Gruppensynchronisierung ist optional.
5. Auf der Registerkarte „Gruppen“ haben Sie die Möglichkeit, AD-Gruppen mit Password Boss zu synchronisieren. Weitere Informationen zur Gruppensynchronisierung finden Sie am Ende dieses Artikels.

Grundlegendes zum Synchronisierungsprozess

Wenn ein Benutzerkonto an Password Boss gesendet wird, durchläuft das Konto die folgenden Phasen:

Konto erstellen – dies bedeutet, dass die Benutzerinformationen von Password Boss empfangen wurden und das Konto erstellt wird. Dieser Vorgang dauert in der Regel nur wenige Sekunden pro Konto.

Aktiv – Nach der Erstellung eines Benutzerkontos wird dieses im Portal als „Aktiv“ angezeigt. Anschließend erhält der Benutzer eine E-Mail mit einem temporären Passwort, mit dem er sich bei seinem Konto anmelden kann. Bei der ersten Anmeldung erhält der Benutzer außerdem einen Bestätigungscode per E-Mail, den er in die Anwendung auf seinem Computer oder Mobilgerät eingeben muss. Nach der Annahme des Bestätigungscodes muss der Benutzer sein Master-Passwort ändern.

Genehmigung ausstehend – Dieser Status kann aus einem von zwei Gründen auftreten.

• In den Synchronisierungsregeln des AD-Connectors auf dem Portal haben Sie die Erstellung ausstehender Konten in Password Boss ausgewählt, die manuell genehmigt werden müssen.
• Sie haben mehr Benutzer mit Password Boss synchronisiert, als Sie gekauft haben. Sie müssen entweder einige Benutzer aus Ihrem Password Boss -Konto entfernen oder zusätzliche Lizenzen erwerben.

Deaktiviert – Wenn ein Benutzerkonto aus der Synchronisierung entfernt wird, entweder durch Löschen des Benutzers in AD oder durch Entfernen des Benutzers aus der Gruppe, die Benutzer mit Password Boss synchronisiert, besteht die Standardaktion darin, das Benutzerkonto in Password Boss zu deaktivieren.