Benutzer synchronisieren aus Active Directory oder LDAP

Um Benutzer aus Active Directory oder einer Lightweight Directory Access Protocol (LDAP)-Datenbank zu synchronisieren, müssen Sie eine LDAP-externe Identität hinzufügen und eine oder mehrere Abfragen erstellen.

LDAP-externe Identitäten stellen in AuthPoint externe Benutzerdatenbanken dar. Sie stellen eine Verbindung zu Benutzerdatenbanken her, um Informationen über Benutzerkonten abzurufen und Passwörter zu überprüfen. Die Abfragen, die Sie zu einer externen Identität hinzufügen, geben an, welche Benutzer aus Ihrem Active Directory oder Ihrer LDAP-Datenbank synchronisiert werden sollen. Sie rufen Benutzerinformationen aus der Datenbank ab und erstellen AuthPoint-Benutzerkonten für die Benutzer.

Es gibt zwei Möglichkeiten, Benutzer abzufragen:

• Gruppen synchronisieren — Wählen Sie die LDAP-Gruppen aus, von denen Sie Benutzer synchronisieren möchten und AuthPoint erstellt die Abfrage für Sie.
• Erweiterte Abfragen — Erstellen Sie Ihre eigenen LDAP-Abfragen, um die zu synchronisierenden Gruppen oder Benutzer festzulegen.

Wenn Sie eine Gruppensynchronisierung konfigurieren, um Benutzer aus Active Directory zu synchronisieren, können Sie den Schalter Neue synchronisierte Gruppen erstellen aktivieren, um neue Gruppen in AuthPoint zu erstellen, die auf den Active Directory-Gruppen basieren, aus denen Sie Benutzer synchronisieren.

Die Option zum Erstellen neuer synchronisierter Gruppen ist nur verfügbar, wenn Sie eine Gruppensynchronisierung erstellen. Sie können diese Funktion nicht mit erweiterten Abfragen verwenden.

Bevor Sie beginnen, empfehlen wir Ihnen, sich mit einigen gängigen LDAP-Objekten vertraut zu machen:

Sie müssen externe LDAP-Identitäten mit einem Gateway verknüpfen, und das AuthPoint Gateway muss in Ihrem Firmennetzwerk an einem Ort installiert sein, der einen Internetzugang hat und eine Verbindung zu Ihrem LDAP-Server herstellen kann. Das Gateway ermöglicht die Kommunikation zwischen WatchGuard Cloud und Ihrer Active Directory- oder LDAP-Datenbank.

Um eine hohe Verfügbarkeit zu gewährleisten, empfehlen wir Ihnen die Konfiguration:

• Eine externe Identität mit einer redundanten Adresse.
• Ein primäres Gateway und bis zu fünf sekundäre Gateways (siehe Über Gateways).

Konfigurieren Sie nicht mehrere externe Identitäten für dieselbe Domäne.

Um einen LDAP-Benutzer in AuthPoint zu löschen, ist es eine bewährte Methode, den Benutzer aus seiner AD- oder LDAP-Gruppe zu entfernen, um ihm den Quarantänestatus in AuthPoint zu geben, und dann den Benutzer in AuthPoint zu löschen. Weitere Informationen finden Sie unter Benutzer in Quarantäne.

Eine externe Identität hinzufügen

1. Wählen Sie Externe Identitäten.
2. Wählen Sie in der Dropdown-Liste Externen Identitätstyp auswählen die Option LDAP. Klicken Sie auf Externe Identität hinzufügen.

3. Geben Sie in das Textfeld Name einen beschreibenden Namen für die externe Identität ein.
4. Geben Sie in das Textfeld LDAP-Suchbasis Ihre LDAP-Datenbank ein. In diesem Beispiel ist die Domäne example.com, also geben wir dc=example,dc=com ein. Tipp! Das Standardformat für die Einstellung der Suchbasis ist: ou=<Name der Organisationseinheit>,dc=<erster Teil des Namens des zugewiesenen Servers>,dc=<alle Teile des Namen des zugewiesenen Servers, der nach dem Punkt erscheint>.

   Weitere Informationen zur LDAP-Syntax und zur Verwendung einer Suchbasis zur Einschränkung der Verzeichnisse auf dem Authentifizierungsserver, in denen die externe Identität nach Benutzern suchen kann, finden Sie unter .

5. Geben Sie in die Textfelder Systemkonto und Passphrase die Zugangsdaten für einen Benutzer ein, der die Berechtigung hat, LDAP-Suchen und -Bindungen durchzuführen. Wenn sich dieser Benutzer nicht im Standardordner Benutzer befindet, aktivieren Sie den Schalter und geben Sie den zugewiesenen Namen des Benutzers ein. Tipp! Das Standardformat für den zugewiesenen Namen eines Benutzers ist: cn=<Name des Benutzers>,ou=<Name der Organisationseinheit>,dc=<erster Teil des zugewiesenen Servernamens>,dc=<alle Teile des Namens des zugewiesenen Servers, der nach dem Punkt erscheint>.

   In diesem Beispiel haben wir einen Benutzer namens administrator, der sich in einer OU namens AuthPoint befindet (nicht im Standardordner Benutzer). Wir müssen also den Schalter auswählen und den zugewiesenen Namen unseres Benutzers als CN=administrator,OU=AuthPoint,DC=example,DC=com eingeben.

   Wenn sich der Benutzer im Ordner Benutzer befindet und der Benutzername nicht mit dem Kontonamen (sAMAccountName) übereinstimmt, müssen Sie den Kontonamen in das Textfeld Systemkonto eingeben.

6. Geben Sie in der Dropdown-Liste Synchronisierungsintervall an, wie oft Sie die LDAP-Datenbank synchronisieren möchten. Wenn Sie Alle 24 Stunden wählen, müssen Sie auch für jeden Tag angeben, wann die Synchronisierung beginnt.
7. Wählen Sie unter Typ aus, ob es sich um einen Active Directory-Server oder einen anderen Typ von LDAP-Datenbank handelt. Bei anderen Datenbanken müssen Sie alle Attributwerte angeben. Bei Active Directory müssen Sie dies nicht tun, da die Attributwerte bekannt sind.
8. Geben Sie in das Textfeld Domäne den Namen Ihrer LDAP-Domäne ein.
9. Wenn es sich nicht um einen Active Directory-Server handelt, geben Sie für jedes Attribut einen Wert ein.

   Wenn Ihre Active Directory-Benutzer ADFS verwenden, müssen Sie den Standardwert sAMAccountName für das Attribut zur Benutzeranmeldung beibehalten.

10. Geben Sie in das Textfeld Serveradresse die IP-Adresse Ihres LDAP-Servers ein.
11. Geben Sie in das Textfeld Serverport den Port für Ihren Server ein.

12. (Optional) Um eine redundante Adresse für Ihre externe Identität hinzuzufügen, klicken Sie auf Redundante Adresse hinzufügen und geben Sie eine andere Adresse und einen anderen Port für dieselbe LDAP-Datenbank ein.
13. Klicken Sie auf Speichern.

Hinzufügen der externen Identität zur Gateway-Konfiguration

Sie müssen die externe Identität zur Konfiguration eines Gateways hinzufügen, das in Ihrem Firmennetzwerk installiert ist und Zugriff auf den LDAP-Server hat. Danach können Sie die Verbindung zu Ihren LDAP-Datenbanken testen.

Wenn Sie noch kein Gateway haben, müssen Sie eines hinzufügen. Weitere Informationen finden Sie unter Über Gateways.

Hinzufügen einer externen Identität zur Konfiguration für ein Gateway:

1. Wählen Sie im Navigationsmenü Gateway.
2. Klicken Sie auf den Namen Ihres Gateways.

3. Wählen Sie im Abschnitt LDAP in der Liste Wählen Sie eine LDAP-externe Identität aus die externe Identität für Ihren LDAP- oder Active Directory-Server.

4. Klicken Sie auf Speichern.

Ihre externe Identität ist nun mit Ihrem Gateway verbunden. Das ermöglicht die Kommunikation zwischen WatchGuard Cloud und Ihrer Active Directory- oder LDAP-Datenbank.

So testen Sie die Verbindung zu Ihrer externen Identität:

1. Wählen Sie im Navigationsmenü Externe Identitäten.
2. Klicken Sie neben der externen Identität, die Sie für Ihre LDAP-Datenbank hinzugefügt haben, auf und wählen Sie Verbindung prüfen.

   Wenn Ihr Verbindungstest fehlschlägt und NPS auf dem Gateway-Server ausgeführt wird, ändern Sie den RADIUS-Port, den das AuthPoint Gateway verwendet.

Synchronisieren Ihrer Benutzer

Nachdem Sie eine externe Identität für Ihre LDAP-Datenbank erstellt und die externe Identität mit Ihrer Gateway-Konfiguration verbunden haben, müssen Sie angeben, welche Benutzer mit Ihrer LDAP-Datenbank synchronisiert werden sollen.

Es gibt zwei Möglichkeiten, Benutzer abzufragen:

• Verwenden Sie die Funktion Gruppen synchronisieren (empfohlen)
• Hinzufügen einer erweiterten Abfrage

Nachdem Sie eine Abfrage hinzugefügt haben, um Ihre Benutzer zu finden (manuell oder mit Gruppen synchronisieren), wird Ihr AuthPoint im nächsten Synchronisierungsintervall mit Ihrem Active Directory oder Ihrer LDAP-Datenbank synchronisiert Dies wird in der Dropdown-Liste Synchronisierungsintervall auf der LDAP-Konfigurationsseite für Ihre externe Identität definiert. und ein AuthPoint-Benutzerkonto für jeden durch die Abfrage identifizierten Benutzer erstellt. Wenn Ihre Abfrage mehr Benutzer ergibt, als Sie AuthPoint-Lizenzen zur Verfügung haben, werden bei der Synchronisierung nur so viele Benutzer angelegt, wie Ihre Lizenz unterstützt.

Die erstellten Benutzerkonten werden auf der Seite Benutzer mit einem grünen Statussymbol Aktiviert neben dem Benutzernamen angezeigt. Das Statussymbol Aktiviert zeigt an, dass der Benutzer erstellt wurde und derzeit aktiv ist (nicht blockiert). Sie können Benutzer, die von einer externen Identität synchronisiert wurden, anhand der LDAP-Bezeichnung in der Spalte Typ in der Benutzerliste identifizieren.

Jeder Benutzer erhält eine E-Mail, mit der er sein Token in der AuthPoint Mobile App aktivieren kann. Wenn ein Benutzer sein Token aktiviert, werden seine Token-Informationen in der Spalte Token mit einem grünen Statussymbol Aktiviert neben dem Token angezeigt.

Wenn ein Benutzer die E-Mail für die Token-Aktivierung erhalten hat, können Sie ihm eine neue Aktivierungs-E-Mail schicken, damit er sein Token aktivieren kann. Detaillierte Schritte zum erneuten Versenden der Aktivierungs-E-Mail finden Sie unter Aktivierungs-E-Mail erneut senden.

Vergewissern Sie sich vor der Synchronisierung der Benutzer, dass jedes Benutzerkonto eine gültige E-Mail-Adresse hat. Wenn die E-Mail-Adresse für ein Benutzerkonto nicht korrekt ist, kann der Benutzer die E-Mail-Nachricht zur Aktivierung eines Tokens nicht erhalten.

Um LDAP-Benutzer zu mehreren AuthPoint-Gruppen hinzuzufügen, müssen Sie für jede AuthPoint-Gruppe, zu der Sie die synchronisierten LDAP-Benutzer hinzufügen möchten, eine eigene Gruppensynchronisierung oder erweiterte Abfrage erstellen.

Wenn Sie Gruppen synchronisieren für Active Directory-Benutzer erstellen, können Sie den Schalter Neue synchronisierte Gruppen erstellen aktivieren, um neue Gruppen in AuthPoint zu erstellen, die auf den Active Directory-Gruppen basieren, aus denen Sie Benutzer synchronisieren. Die Benutzer werden mit den neuen Gruppen basierend auf der Gruppenmitgliedschaft in Active Directory, zusätzlich zu der ausgewählten AuthPoint-Gruppe synchronisiert. Wir empfehlen diese Option, da sie die Gruppenverwaltung erleichtert und nur eine Gruppensynchronisierung erfordert.

Gruppen synchronisieren

Bei Gruppen synchronisieren wählen Sie die LDAP-Gruppen aus, von denen Sie die Benutzer synchronisieren möchten, und die AuthPoint-Gruppe, zu der die Benutzer hinzugefügt werden. Wir empfehlen Ihnen, Gruppen synchronisieren für die Synchronisierung Ihrer Benutzer zu verwenden, da sie eine Abfrage für Sie erstellt.

Bevor Sie fortfahren, sollten Sie sich über diese Anforderungen im Klaren sein:

• Wenn die ausgewählten LDAP-Gruppen mehr Benutzer haben, als Sie AuthPoint-Lizenzen zur Verfügung haben, werden nur so viele Benutzer angelegt, wie Ihre Lizenz unterstützt
• LDAP-Benutzer ohne Vorname, Benutzername oder eine E-Mail-Adresse, werden bei der Synchronisierung nicht berücksichtigt

Zum Synchronisieren von LDAP-Gruppen:

1. Wählen Sie Externe Identitäten.
2. Klicken Sie neben Ihrer externen Identität auf und wählen Sie Gruppen synchronisieren.

3. Klicken Sie auf der Seite Gruppen synchronisieren auf Neue Gruppe zu Synchronisieren hinzufügen.

4. Wählen Sie im Fenster Gruppen synchronisieren hinzufügen in der Dropdown-Liste LDAP-Gruppen für das Synchronisieren von Benutzern auswählen die LDAP-Gruppen aus, mit denen Sie Benutzer synchronisieren möchten. Sie können mehrere Gruppen auswählen.

5. Wählen Sie in der Dropdown-Liste AuthPoint-Gruppe auswählen, zu der Sie Benutzer hinzufügen möchten die AuthPoint-Gruppe aus, zu der die Benutzer hinzugefügt werden sollen. Die synchronisierten Benutzer müssen mindestens einer AuthPoint-Gruppe hinzugefügt werden.

   Bei jeder Gruppensynchronisierung werden alle Benutzer zur gleichen AuthPoint-Gruppe hinzugefügt. Um Benutzer zu mehreren AuthPoint-Gruppen hinzuzufügen, müssen Sie für jede AuthPoint-Gruppe, zu der Sie die Benutzer hinzufügen möchten, eine Gruppensynchronisierung erstellen. Um Benutzer aus jeder LDAP-Gruppe zu separaten AuthPoint-Gruppen hinzuzufügen, müssen Sie eine separate Gruppensynchronisierung für jede LDAP-Gruppe erstellen.

6. Um neue Gruppen in AuthPoint zu erstellen, die auf den Active Directory-Gruppen basieren, aus denen Sie Benutzer synchronisieren, aktivieren Sie den Schalter Neue synchronisierte Gruppen erstellen. Wenn Sie diese Option aktivieren, werden die Benutzer mit den neuen Gruppen basierend auf der Gruppenmitgliedschaft in der LDAP-Datenbank, zusätzlich zu der ausgewählten AuthPoint-Gruppe synchronisiert.

   Diese Option ist nur für Active Directory und Azure Active Directory LDAP-Datenbanken verfügbar.

   Um diese Funktion zu nutzen, müssen Sie Version 6.1 oder höher von AuthPoint Gateway installieren.

7. Klicken Sie auf Speichern.
   Das Fenster Gruppen synchronisieren hinzufügen wird geschlossen.

AuthPoint synchronisiert sich mit Ihrer Active Directory- oder LDAP-Datenbank im nächsten Synchronisierungsintervall Dies wird in der Dropdown-Liste Synchronisierungsintervall auf der LDAP-Konfigurationsseite für Ihre externe Identität definiert. und ein AuthPoint-Benutzerkonto für jeden durch die Abfrage identifizierten Benutzer erstellt.

Um eine Synchronisierung sofort zu starten, klicken Sie auf der Seite Externe Identitäten neben der externen Identität auf und wählen Synchronisierung starten.

Wird ein Benutzer in Ihrer Active Directory- oder LDAP-Datenbank gelöscht, wird das zugehörige AuthPoint-Benutzerkonto nicht gelöscht. Stattdessen erhält der Benutzer den Quarantänestatus. Weitere Informationen finden Sie unter Benutzer in Quarantäne.

Wenn Sie den Schalter Neue synchronisierte Gruppen erstellen aktiviert haben, werden die synchronisierten Gruppen in AuthPoint erstellt. Die neu erstellten Gruppen werden auf der Gruppen-Seite angezeigt. Sie können synchronisierte Gruppen in der Liste Gruppen anhand der LDAP-Bezeichnung in der Spalte Typ identifizieren.

Wenn Sie den Namen einer synchronisierten Gruppe in Active Directory ändern, wird die synchronisierte Gruppe in AuthPoint automatisch entsprechend aktualisiert. Sie können die synchronisierten Gruppen in AuthPoint nicht bearbeiten.

Wenn Sie die Gruppe in Active Directory löschen oder die Gruppensynchronisierung löschen, wird die synchronisierte Gruppe in AuthPoint nicht gelöscht. Sie müssen die synchronisierte Gruppe manuell in AuthPoint löschen.

Hinzufügen einer erweiterten Abfrage

Mit erweiterten Abfragen können Sie Ihre eigene LDAP-Abfrage erstellen, um festzulegen, welche Gruppen oder Benutzer synchronisiert werden sollen. Wenn Sie eine erweiterte Abfrage hinzufügen und validieren, werden AuthPoint-Benutzerkonten für jeden durch die Abfrage identifizierten Benutzer erstellt.

Bevor Sie fortfahren, sollten Sie sich über diese Anforderungen im Klaren sein:

• Wenn Ihre Abfrage mehr Benutzer ergibt, als Sie Lizenzen zur Verfügung haben, erstellt AuthPoint nur so viele Benutzer, wie Ihre Lizenz unterstützt
• LDAP-Benutzer ohne Vorname, Benutzername oder eine E-Mail-Adresse, werden bei der Synchronisierung nicht berücksichtigt

Hinzufügen einer erweiterten Abfrage:

1. Wählen Sie Externe Identitäten.
2. Klicken Sie neben der von Ihnen hinzugefügten LDAP-externe Identität auf und wählen Sie Erweiterte Abfrage.

3. Klicken Sie auf der Seite Erweiterte Abfrage auf Erweiterte Abfrage hinzufügen.

4. Geben Sie in das Textfeld Name einen beschreibenden Namen für die Abfrage ein.
5. Wählen Sie aus der Dropdown-Liste Gruppe die AuthPoint-Gruppe aus, zu der die Benutzer aus dieser Abfrage hinzugefügt werden sollen. Die synchronisierten Benutzer müssen mindestens einer AuthPoint-Gruppe hinzugefügt werden.

   Für jede erweiterte Abfrage werden alle Benutzer zur gleichen AuthPoint-Gruppe hinzugefügt. Um Benutzer zu mehreren AuthPoint-Gruppen hinzuzufügen, müssen Sie für jede AuthPoint-Gruppe, zu der Sie die Benutzer hinzufügen möchten, eine erweiterte Abfrage erstellen. Um Benutzer aus jeder LDAP-Gruppe zu separaten AuthPoint-Gruppen hinzuzufügen, müssen Sie für jede LDAP-Gruppe eine eigene erweiterte Abfrage erstellen.

6. Geben Sie im Textfeld Erweiterte Abfrage Ihre Abfrage ein. In den meisten Fällen wird Ihre Abfrage memberOf= lauten, gefolgt von dem zugewiesenen Namen der Gruppe, die Sie mit der Abfrage synchronisieren möchten. Wenn der zugewiesene Name Ihrer Gruppe beispielsweise CN=MyAuthGroup,CN=Users,DC=myorg,DC=local lautet, lautet Ihre Abfrage memberOf=CN=MyAuthGroup,CN=Users,DC=myorg,DC=local.
   Zugewiesenen Namen einer Active Directory-Gruppe finden:

   1. Öffnen Sie Active Directory.
   2. Wählen Sie Anzeigen > Erweiterte Funktionen.
   3. Klicken Sie mit der rechten Maustaste auf die Gruppe, die Sie synchronisieren möchten, und wählen Sie Eigenschaften.
      Das Fenster Eigenschaften wird geöffnet.
   4. Im Fenster Eigenschaften wählen Sie den Attribut-Editor.
   5. Wählen Sie den Wert distinguishedName und klicken Sie auf View.
   6. Kopieren Sie den Wert. Wenn Sie "memberOf=" vor diesem Wert anhängen, ist das Ihre erweiterte Abfrage.

7. Um eine Vorschau Ihrer Abfrageergebnisse zu erhalten, klicken Sie auf Erweiterte Abfrage validieren. Sie können die Anzahl der Benutzer, die Ihre Abfrage zurückgibt, und eine Vorschau der ersten 10 Benutzer sehen.

   Wenn Sie eine Abfrage validieren, werden keine Benutzer synchronisiert. Benutzer werden erst synchronisiert, nachdem Sie Ihre Abfrage zur externen Identität hinzugefügt und die Änderungen gespeichert haben.

8. Um Ihre Abfrage zur externen Identität hinzuzufügen, klicken Sie auf Hinzufügen.

AuthPoint synchronisiert sich mit Ihrer Active Directory- oder LDAP-Datenbank im nächsten Synchronisierungsintervall Dies wird in der Dropdown-Liste Synchronisierungsintervall auf der LDAP-Konfigurationsseite für Ihre externe Identität definiert. und erstellt ein AuthPoint-Benutzerkonto für jeden durch die erweiterte Abfrage identifizierten Benutzer.

Um eine Synchronisierung sofort zu starten, klicken Sie auf der Seite Externe Identitäten neben der externen Identität auf und wählen Synchronisierung starten.

Wird ein Benutzer in Ihrer Active Directory- oder LDAP-Datenbank gelöscht, wird das zugehörige AuthPoint-Benutzerkonto nicht gelöscht. Stattdessen erhält der Benutzer den Quarantänestatus. Weitere Informationen finden Sie unter Benutzer in Quarantäne.

Bearbeiten einer erweiterten Abfrage

1. Wählen Sie Externe Identitäten.
2. Klicken Sie neben der von Ihnen hinzugefügten LDAP-externe Identität auf und wählen Sie Erweiterte Abfrage.

3. Klicken Sie auf der Seite Erweiterte Abfrage in der Abfrageliste auf den Namen der Abfrage, die Sie bearbeiten möchten.

4. Nehmen Sie im Fenster Erweiterte Abfrage hinzufügen Ihre Änderungen vor.
5. Klicken Sie auf Aktualisieren.

Siehe auch

Testen der Verbindung zu einer externen Identität

Benutzer aus Azure Active Directory synchronisieren

Lokale AuthPoint-Benutzer hinzufügen

Über Gateways

Benutzer in Quarantäne