Per connettere Active Directory Connector al tuo account Password Boss , ti serviranno i seguenti elementi:

Requisiti di sistema

• Windows Server 2012 R2 SP1 o versione successiva.
• .NET Framework 4.6.1 o successivo
• Memoria RAM: 512 MB
• Spazio su disco: 100 MB
• Porta TCP 443 in uscita dal server che esegue Active Directory Connector verso api.passwordboss.com

Account di servizio

• Avrai bisogno delle credenziali di un account di servizio in Active Directory (AD) che eseguirà Active Directory Connector. L'account di servizio dovrà disporre di privilegi di amministratore per il server che esegue Active Directory Connector.
  • Se Active Directory Connector è installato su un controller di dominio , aggiungere l'account di servizio al gruppo degli amministratori di dominio.
  • Se Active Directory Connector verrà installato su un server membro , aggiungere l'account di servizio al gruppo di amministratori locali del server.
  • Sarà inoltre necessario concedere al tuo account di servizio le autorizzazioni per visualizzare gli utenti eliminati .
  • Per istruzioni sulla creazione di un account di servizio, consultare questo articolo.
• Se Active Directory Connector è installato su un controller di dominio in un singolo dominio AD , è possibile utilizzare anche l'account localsystem per eseguire Active Directory Connector.

Crea un gruppo AD per sincronizzarti con Password Boss

Active Director Connector utilizza un gruppo di sicurezza globale di Active Directory per determinare quali utenti sincronizzare con Password Boss . La procedura consigliata è creare un nuovo gruppo di sicurezza in Active Directory e inserirvi tutti gli utenti Password Boss . Questo metodo semplifica la gestione degli utenti da sincronizzare con Password Boss .

Requisiti dell'account utente

Per sincronizzare Password Boss su ogni account utente devono essere presenti i seguenti attributi:

• Nome di battesimo
• Cognome
• Indirizzo email. Deve essere un indirizzo email valido e instradabile a cui l'utente può ricevere email.

Requisiti di installazione DZM

Se installerai Active Directory Connector in una DMZ, sarà necessario che le seguenti porte siano aperte tra il server DMZ e il controller di dominio:

• TCP/UDP 53 - DNS
• TCP/UDP 88 - Autenticazione Kerberos
• TCP/UDP 289 - LDAP

Ulteriori informazioni sulle porte sono disponibili in questo articolo Microsoft .

Abilitazione di Active Directory Connector sul tuo account

1. La prima cosa da fare è abilitare Active Directory Connector sul tuo account . Puoi farlo dal portale Password Boss . Accedi al portale come utente amministratore e vai alla sezione "Connettori" .
2. Fare clic su Installa per avviare il processo di installazione.
3. Copia il token di autenticazione. Dovrai inserirlo sul server che esegue il connettore Active Directory.
4. Fare clic su Avanti per passare alla scheda Regole di sincronizzazione .
5. Le regole di sincronizzazione servono a configurare l'elaborazione delle modifiche apportate ad Active Directory in Password Boss . Nella maggior parte dei casi, si consigliano le impostazioni predefinite. Ulteriori informazioni sulle regole di sincronizzazione sono disponibili in fondo a questo articolo .
6. Fare clic su OK per salvare le impostazioni.
7. Il tuo account Password Boss è ora pronto per iniziare a ricevere i dati utente da Active Directory.

Installazione di Active Directory Connector sul server

1. Scarica il programma di installazione dalla pagina Active Directory del portale Password Boss .
2. Accedi come amministratore al server su cui verrà installato il connettore Active Directory.
3. Esegui il programma di installazione
4. Fare clic sul pulsante Installa per accettare il contratto di licenza e avviare il programma di installazione.
5. Se necessario, modificare la cartella di installazione e fare clic su Continua .

Configurazione del connettore Active Directory

1. Aprire l'applicazione Password Boss Active Directory Connector.
2. Dalla scheda Configurazione directory , inserisci le credenziali dell'account di servizio che utilizzerai e seleziona i domini che contengono i tuoi account utente. Se l'elenco dei domini è vuoto, significa che l'account di servizio che stai utilizzando non dispone delle autorizzazioni corrette per accedere ad Active Directory.
3. Nella scheda Autenticazione immetti il token di autenticazione ricevuto quando hai abilitato Active Directory Connector sul portale e fai clic su Salva.
4. Dalla scheda, fai clic sul pulsante Modifica per selezionare il gruppo AD contenente gli account utente che sincronizzerai con Password Boss . Consigliamo vivamente di creare un gruppo AD dedicato a questo scopo.
5. Gli utenti vengono ora sincronizzati con Password Boss . Il passaggio successivo per la sincronizzazione dei gruppi è facoltativo.
6. Nella scheda Gruppi è possibile sincronizzare i gruppi AD con Password Boss . Per ulteriori informazioni sulla sincronizzazione dei gruppi, consultare la parte finale di questo articolo.

Comprensione del processo di sincronizzazione

Quando un account utente viene inviato a Password Boss , l'account attraversa le seguenti fasi:

Creazione account : significa che le informazioni utente sono state ricevute da Password Boss e l'account è in fase di creazione. Questo processo richiede in genere solo pochi secondi per account.

Attivo - Dopo la creazione di un account utente, questo verrà visualizzato come Attivo nel portale. A questo punto, all'utente verrà inviata un'e-mail con una password temporanea che potrà utilizzare per accedere al proprio account. Al primo accesso, l'utente riceverà anche un codice di verifica via e-mail che dovrà inserire nell'applicazione sul proprio computer o dispositivo mobile. Una volta accettato il codice di verifica, all'utente verrà richiesto di modificare la password principale.

In attesa di approvazione : questo stato può verificarsi per uno dei due seguenti motivi.

1. Nelle regole di sincronizzazione del connettore AD sul portale, hai scelto di creare account in sospeso in Password Boss che devono essere approvati manualmente.
2. Hai sincronizzato più utenti con Password Boss di quelli acquistati. Dovrai rimuovere alcuni utenti dal tuo account Password Boss o acquistare licenze aggiuntive.

Disabilitato - Quando un account utente viene rimosso dalla sincronizzazione, eliminando l'utente in AD o rimuovendo l'utente dal gruppo che sta sincronizzando gli utenti con Password Boss , l'azione predefinita è disabilitare l'account utente in Password Boss .

Regole di sincronizzazione

Le regole di sincronizzazione determinano come le modifiche apportate in Active Directory vengono riflesse in Password Boss . Le regole di sincronizzazione vengono configurate dal portale Password Boss modificando il connettore Active Directory.

1. Quando un nuovo account utente viene sincronizzato da Active Directory a Password Boss

• Crea un account utente su Password Boss . Questa è l'impostazione consigliata e funziona al meglio per la maggior parte delle aziende.
• Crea un account utente in sospeso in Password Boss che deve essere approvato da un amministratore. Scegliendo questa impostazione, i nuovi account rimarranno in sospeso finché un amministratore non li approverà manualmente nel portale Password Boss .

2. Quando un account utente viene eliminato in Active Directory

• Disabilitare l'account utente in Password Boss . Questa è l'impostazione consigliata e funzionerà per la maggior parte delle aziende. Nota: non è possibile eliminare automaticamente gli account in Password Boss dal connettore Active Directory. Questo è un meccanismo di sicurezza per evitare l'eliminazione accidentale di account Password Boss in caso di errore in Active Directory.
• Rimuovi l'utente dal tuo account e convertilo in un account personale. Questa impostazione è generalmente utile solo per le aziende in cui gli utenti utilizzano i propri indirizzi email personali per i propri account Password Boss .

3. Quando un account utente è disabilitato in Active Directory

• Disattiva l'account utente in Password Boss . Questa è l'impostazione consigliata e funzionerà per la maggior parte delle aziende.
• Rimuovi l'utente dal tuo account e convertilo in un account personale. Questa impostazione è generalmente utile solo per le aziende in cui gli utenti utilizzano i propri indirizzi email personali per i propri account Password Boss .

4. Quando un account Active Directory viene rimosso dalla sincronizzazione con Password Boss

• Disattiva l'account utente in Password Boss . Questa è l'impostazione consigliata e funzionerà per la maggior parte delle aziende.
• Rimuovi l'utente dal tuo account e convertilo in un account personale. Questa impostazione è generalmente utile solo per le aziende in cui gli utenti utilizzano i propri indirizzi email personali per i propri account Password Boss .

Sincronizzazione di gruppo

I gruppi in Password Boss vengono utilizzati dagli utenti quando condividono le password nell'app Password Boss . Se hai creato gruppi in Active Directory che saranno utili agli utenti quando condividono le password, abilitando la sincronizzazione dei gruppi in Active Directory Connector potrai amministrare i gruppi in Active Directory e sincronizzare le modifiche con Password Boss .

Quando la sincronizzazione dei gruppi è abilitata, gli utenti configurati per la sincronizzazione con Password Boss (scheda Utenti in Active Directory Connector) avranno anche gruppi associati ai propri account in Password Boss . Password Boss sincronizzerà i gruppi di sicurezza globali .

L'abilitazione della sincronizzazione di gruppo non aggiunge ulteriori utenti al tuo account in Password Boss . Gli unici utenti che si sincronizzeranno con Password Boss saranno quelli appartenenti al gruppo elencato nella scheda Utenti di Active Directory Connector sul tuo server Windows.

Ad esempio, se hai i seguenti utenti e gruppi:

• Utenti AD = Utente1, Utente2, Utente3, Utente4, Utente5
• Gruppo = " Utenti Password Boss " - Utente1, Utente2, Utente3
• Gruppo = " Marketing " - Utente1
• Gruppo = " HR " - Utente2, Utente4
• Gruppo = " Finanza " - Utente3, Utente5

Ecco come gli utenti e i gruppi verranno sincronizzati con Password Boss

1. Nella scheda Utenti di Active Directory Connector è selezionato il gruppo " Utenti Password Boss "
2. Nella scheda Gruppi di Active Directory Connector sono selezionati " Marketing " e " HR "
3. I seguenti utenti si sincronizzeranno con Password Boss : Utente1, Utente2, Utente3
4. I seguenti gruppi si sincronizzeranno con Password Boss : " Marketing ", " HR "
5. In Password Boss il gruppo " Marketing " conterrà: Utente1
6. In Password Boss il gruppo " HR " conterrà: Utente2 . Utente4 non è sincronizzato perché Utente4 non è nel gruppo "Utenti Password Boss ".
7. In Password Boss il gruppo " Finanza " non è sincronizzato poiché il gruppo non è selezionato nella scheda Gruppi di Active Directory Connector.