Om de Active Directory Connector te verbinden met uw Password Boss account, hebt u het volgende nodig:

Systeemvereisten

• Windows Server 2012 R2 SP1 of hoger.
• .NET Framework 4.6.1 of hoger
• RAM: 512 MB
• Schijfruimte: 100 MB
• Uitgaande TCP-poort 443 van de server waarop de Active Directory Connector draait naar api.passwordboss.com

Serviceaccount

• U hebt de inloggegevens nodig voor een serviceaccount in uw Active Directory (AD) dat de Active Directory Connector uitvoert. Het serviceaccount heeft beheerdersrechten nodig voor de server waarop de Active Directory Connector draait.
  • Als Active Directory Connector op een domeincontroller is geïnstalleerd , voegt u uw serviceaccount toe aan de groep domeinbeheerders.
  • Als Active Directory Connector op een lidserver wordt geïnstalleerd , voegt u het serviceaccount toe aan de lokale beheerdersgroep van de server.
  • U moet ook machtigingen aan uw serviceaccount verlenen om verwijderde gebruikers te kunnen zien .
  • Zie dit artikel voor instructies over het maken van een serviceaccount.
• Als de Active Directory Connector is geïnstalleerd op een domeincontroller in een enkel domein AD, kunt u ook het lokale systeemaccount gebruiken om de Active Directory Connector uit te voeren.

Maak een AD-groep om te synchroniseren met Password Boss

De Active Director Connector gebruikt een AD Global Security Group om te bepalen welke gebruikers met Password Boss moeten worden gesynchroniseerd. Het is raadzaam om een nieuwe beveiligingsgroep in uw AD aan te maken en al uw Password Boss gebruikers in die groep te plaatsen. Deze methode maakt het eenvoudig om te beheren welke gebruikers naar Password Boss worden doorgestuurd.

Vereisten voor gebruikersaccounts

De volgende kenmerken moeten aanwezig zijn op elk gebruikersaccount om te worden gesynchroniseerd met Password Boss :

• Voornaam
• Achternaam
• E-mailadres. Dit moet een geldig, routeerbaar e-mailadres zijn waar de gebruiker e-mails kan ontvangen.

DZM-installatievereisten

Als u de Active Directory Connector in een DMZ installeert, moeten de volgende poorten open zijn tussen de DMZ-server en uw domeincontroller:

• TCP/UDP 53 - DNS
• TCP/UDP 88 - Kerberos-authenticatie
• TCP/UDP 289 - LDAP

Aanvullende informatie over poorten vindt u in dit Microsoft-artikel .

Active Directory Connector inschakelen op uw account

1. Het eerste wat u moet doen, is de Active Directory Connector voor uw account inschakelen . Dit doet u via de Password Boss Portal . Meld u aan bij de portal als beheerder en ga naar Connectors .
2. Klik op Installeren om het installatieproces te starten.
3. Kopieer het authenticatietoken. U moet dit invoeren op de server waarop de Active Directory-connector draait.
4. Klik op Volgende om naar het tabblad Synchronisatieregels te gaan.
5. De synchronisatieregels worden gebruikt om te configureren hoe wijzigingen vanuit uw Active Directory worden verwerkt in Password Boss . In de meeste gevallen worden de standaardinstellingen aanbevolen. Meer informatie over de synchronisatieregels vindt u onderaan dit artikel .
6. Klik op OK om uw instellingen op te slaan.
7. Uw Password Boss account is nu klaar om gebruikersgegevens van uw Active Directory te ontvangen.

De Active Directory Connector op uw server installeren

1. Download het installatieprogramma vanaf de Active Directory-pagina van het Password Boss -portaal.
2. Meld u aan als beheerder op de server waarop de Active Directory-connector wordt geïnstalleerd.
3. Voer het installatieprogramma uit
4. Klik op de knop Installeren om de licentieovereenkomst te accepteren en het installatieprogramma te starten.
5. Wijzig indien nodig de installatiemap en klik op Doorgaan .

De Active Directory Connector configureren

1. Open de Password Boss Active Directory Connector-applicatie.
2. Voer op het tabblad Directory Setup de inloggegevens in voor het serviceaccount dat u wilt gebruiken en selecteer het/de domein(en) waarin uw gebruikersaccounts zich bevinden. Als de lijst met domeinen leeg is, betekent dit dat het serviceaccount dat u gebruikt niet de juiste machtigingen voor AD heeft.
3. Voer op het tabblad Authenticatie het authenticatietoken in dat u hebt ontvangen toen u Active Directory Connector op de portal inschakelde en klik op Opslaan.
4. Klik op het tabblad Bewerken om de AD-groep te selecteren met de gebruikersaccounts die u met Password Boss wilt synchroniseren . We raden u ten zeerste aan hiervoor een speciale AD-groep aan te maken.
5. Gebruikers worden nu gesynchroniseerd met Password Boss . De volgende stap voor groepssynchronisatie is optioneel.
6. Op het tabblad Groepen kunt u AD-groepen synchroniseren met Password Boss . Zie de aanvullende informatie onderaan dit artikel over groepssynchronisatie.

Het synchronisatieproces begrijpen

Wanneer een gebruikersaccount naar Password Boss wordt verzonden, doorloopt het account de volgende fasen:

Account aanmaken - dit betekent dat de gebruikersgegevens door Password Boss zijn ontvangen en dat het account wordt aangemaakt. Dit proces duurt doorgaans slechts enkele seconden per account.

Actief - Nadat een gebruikersaccount is aangemaakt, wordt het account weergegeven als Actief in de portal. Vervolgens wordt er een e-mail naar de gebruiker verzonden met een tijdelijk wachtwoord waarmee hij of zij kan inloggen op zijn of haar account. Wanneer de gebruiker voor de eerste keer inlogt, ontvangt hij of zij ook een verificatiecode per e-mail. Deze code moet hij of zij invoeren in de applicatie op zijn of haar computer of mobiele apparaat. Zodra de verificatiecode is geaccepteerd, moet de gebruiker zijn of haar hoofdwachtwoord wijzigen.

In afwachting van goedkeuring : deze status kan om twee redenen voorkomen.

1. In de synchronisatieregels van de AD-connector op de portal hebt u ervoor gekozen om in behandeling zijnde accounts te maken in Password Boss die handmatig moeten worden goedgekeurd.
2. U hebt meer gebruikers met Password Boss gesynchroniseerd dan u hebt aangeschaft. U moet een aantal gebruikers uit uw Password Boss -account verwijderen of extra licenties aanschaffen.

Uitgeschakeld - Wanneer een gebruikersaccount wordt verwijderd uit synchronisatie, hetzij door het verwijderen van de gebruiker in AD, hetzij door het verwijderen van de gebruiker uit de groep die gebruikers synchroniseert met Password Boss , is de standaardactie het uitschakelen van het gebruikersaccount in Password Boss .

Synchronisatieregels

Synchronisatieregels bepalen hoe wijzigingen in AD worden doorgevoerd in Password Boss . De synchronisatieregels worden geconfigureerd via de Password Boss portal door uw Active Directory Connector te bewerken.

1. Wanneer een nieuw gebruikersaccount wordt gesynchroniseerd van Active Directory naar Password Boss

• Maak een gebruikersaccount aan in Password Boss . Dit is de aanbevolen instelling en werkt het beste voor de meeste bedrijven.
• Maak een gebruikersaccount in behandeling aan in Password Boss dat door een beheerder moet worden goedgekeurd. Wanneer deze instelling is geselecteerd, blijven de nieuwe accounts in behandeling totdat een beheerder de accounts handmatig goedkeurt in de Password Boss Portal.

2. Wanneer een gebruikersaccount in Active Directory wordt verwijderd

• Schakel het gebruikersaccount in Password Boss uit. Dit is de aanbevolen instelling en werkt voor de meeste bedrijven. Let op: er is geen manier om accounts in Password Boss automatisch te verwijderen uit de Active Directory Connector. Dit is een veiligheidsmechanisme om te voorkomen dat Password Boss -accounts per ongeluk worden verwijderd als er een fout wordt gemaakt in AD.
• Verwijder de gebruiker uit uw account en converteer de gebruiker naar een persoonlijk account. Deze instelling is over het algemeen alleen nuttig voor bedrijven waar gebruikers hun persoonlijke e-mailadres gebruiken voor hun Password Boss -account.

3. Wanneer een gebruikersaccount is uitgeschakeld in Active Directory

• Schakel het gebruikersaccount in Password Boss uit. Dit is de aanbevolen instelling en werkt voor de meeste bedrijven.
• Verwijder de gebruiker uit uw account en converteer de gebruiker naar een persoonlijk account. Deze instelling is over het algemeen alleen nuttig voor bedrijven waar gebruikers hun persoonlijke e-mailadres gebruiken voor hun Password Boss -account.

4. Wanneer een Active Directory-account wordt verwijderd uit de synchronisatie met Password Boss

• Schakel het gebruikersaccount in Password Boss uit. Dit is de aanbevolen instelling en werkt voor de meeste bedrijven.
• Verwijder de gebruiker uit uw account en converteer de gebruiker naar een persoonlijk account. Deze instelling is over het algemeen alleen nuttig voor bedrijven waar gebruikers hun persoonlijke e-mailadres gebruiken voor hun Password Boss -account.

Groepssynchronisatie

Groepen in Password Boss worden door uw gebruikers gebruikt wanneer ze wachtwoorden delen in de Password Boss -app. Als u groepen in AD hebt aangemaakt die handig zijn voor uw gebruikers wanneer ze wachtwoorden delen, kunt u door Groepssynchronisatie in de Active Directory Connector in te schakelen groepen in AD beheren en wijzigingen synchroniseren met Password Boss .

Wanneer groepssynchronisatie is ingeschakeld, krijgen de gebruikers die u hebt geconfigureerd om te synchroniseren met Password Boss (tabblad Gebruikers in Active Directory Connector) ook groepen gekoppeld aan hun accounts in Password Boss . Password Boss synchroniseert Global Security Groups .

Het inschakelen van groepssynchronisatie voegt geen extra gebruikers toe aan uw account in Password Boss . De enige gebruikers die met Password Boss worden gesynchroniseerd, zijn de gebruikers die deel uitmaken van de groep die wordt vermeld op het tabblad Gebruikers van Active Directory Connector op uw Windows-server.

Stel dat u de volgende gebruikers en groepen hebt:

• AD-gebruikers = Gebruiker1, Gebruiker2, Gebruiker3, Gebruiker4, Gebruiker5
• Groep = " Password Boss gebruikers " - Gebruiker1, Gebruiker2, Gebruiker3
• Groep = " Marketing " - Gebruiker1
• Groep = " HR " - Gebruiker2, Gebruiker4
• Groep = " Financiën " - Gebruiker3, Gebruiker5

Zo worden de gebruikers en groepen gesynchroniseerd met Password Boss

1. Op het tabblad Gebruikers van de Active Directory Connector is de groep ' Password Boss gebruikers ' geselecteerd
2. Op het tabblad Groepen van de Active Directory Connector zijn " Marketing " en " HR " geselecteerd
3. De volgende gebruikers worden gesynchroniseerd met Password Boss : Gebruiker1, Gebruiker2, Gebruiker3
4. De volgende groepen worden gesynchroniseerd met Password Boss : " Marketing ", " HR "
5. In Password Boss zal de groep " Marketing " het volgende bevatten: Gebruiker1
6. In Password Boss bevat de groep " HR ": Gebruiker2 . Gebruiker4 is niet gesynchroniseerd omdat Gebruiker4 niet in de groep " Password Boss gebruikers" zit.
7. In Password Boss wordt de groep ' Financiën ' niet gesynchroniseerd, omdat de groep niet is geselecteerd op het tabblad Groepen van Active Directory Connector.