Synchroniseren met Active Directory of LDAP
Dit artikel helpt u op weg met Directory Connector voor het synchroniseren van gebruikers en groepen vanuit uw LDAP- of Active Directory-service naar uw Bitwarden-organisatie. Bitwarden biedt ingebouwde connectoren voor de populairste LDAP-directoryservers, waaronder:
Microsoft Active Directory
Apache Directory Server (ApacheDS)
Apple open directory
Fedora Directory Server
Novell eDirectory
OpenDS
OpenLDAP
Sun Directory Server Enterprise Edition (DSEE)
Elke algemene LDAP-directoryserver
Voer de volgende stappen uit om Directory Connector te configureren om uw LDAP of Active Directory te gebruiken:
Open de Directory Connector desktop app.
Navigeer naar het tabblad Instellingen.
Selecteer Active Directory / LDAP in de vervolgkeuzelijst Type.
De beschikbare velden in dit gedeelte veranderen afhankelijk van het geselecteerde type.
Configureer de volgende opties:
Optie | Beschrijving | Voorbeelden |
|---|---|---|
Server hostnaam | Hostnaam van je mapserver. |
|
Serverpoort | Poort waarop je adreslijstserver luistert. |
|
Wortelpad | Rootpad waarop Directory Connector alle query's moet starten. |
|
Deze server gebruikt active directory | Vink dit vakje aan als de server een Active Directory-server is. | |
Deze server geeft zoekresultaten weer | Vink dit vakje aan als de server zoekresultaten pagineert (alleen LDAP). | |
Deze server gebruikt een versleutelde verbinding | Als u dit vakje aanvinkt, wordt u gevraagd een van de volgende opties te selecteren: SSL gebruiken (LDAPS) Als uw LDAPS-server een niet-vertrouwd certificaat gebruikt, kunt u op dit scherm certificaatopties configureren. TSL gebruiken (STARTTLS) Als uw LDAP-server een zelfondertekend certificaat voor STARTTLS gebruikt, kunt u op dit scherm certificeringsopties configureren. | |
Gebruikersnaam | De gedistingeerde naam van een administratieve gebruiker die de toepassing zal gebruiken bij het verbinden met de directoryserver. Voor Active Directory, als het synchroniseren van de status van gebruikers die verwijderd zijn uit de directory gewenst is, moet de gebruiker lid zijn van de ingebouwde beheerdersgroep. | |
Wachtwoord | Het wachtwoord van de gebruiker die hierboven is opgegeven. Het wachtwoord wordt veilig opgeslagen in de eigen credential manager van het besturingssysteem. |
tip
When you are finished configuring, navigate to the More tab and select the Clear Sync Cache button to prevent potential conflicts with prior sync operations. For more information, see Clear Sync Cache.
Voer de volgende stappen uit om de instellingen te configureren die worden gebruikt bij het synchroniseren met Directory Connector:
noot
If you are using Active Directory, many of these settings are predetermined for you and are therefore are not shown.
Open de Directory Connector desktop app.
Navigeer naar het tabblad Instellingen.
Configureer de volgende opties naar wens in het gedeelte Sync:
Optie | Beschrijving |
|---|---|
Interval | Tijd tussen automatische synchronisatiecontrole (in minuten). |
Verwijder uitgeschakelde gebruikers tijdens synchronisatie | Vink dit vakje aan om gebruikers uit de Bitwarden-organisatie te verwijderen die in uw organisatie zijn uitgeschakeld. |
Bestaande organisatiegebruikers overschrijven op basis van huidige synchronisatie-instellingen | Vink dit vakje aan om de gebruikersset volledig te overschrijven bij elke synchronisatie, inclusief het verwijderen van gebruikers uit je organisatie als ze afwezig zijn in de directory gebruikersset. Voer altijd een testsynchronisatie uit voordat je synchroniseert nadat je deze optie hebt ingeschakeld. |
Naar verwachting zullen meer dan 2000 gebruikers of groepen synchroniseren | Vink dit vakje aan als je verwacht 2000+ gebruikers of groepen te synchroniseren. Als je dit vakje niet aanvinkt, zal Directory Connector een synchronisatie beperken tot 2000 gebruikers of groepen. |
Lid Attribuut | Naam van het attribuut dat door de directory wordt gebruikt om het groepslidmaatschap te definiëren (bijvoorbeeld |
Aanmaakgegevens Attribuut | Naam van het attribuut dat door de map wordt gebruikt om aan te geven wanneer een vermelding werd aangemaakt (bijvoorbeeld |
Herzieningsdatum Attribuut | Naam van het attribuut dat door de map wordt gebruikt om aan te geven wanneer een vermelding voor het laatst is gewijzigd (bijvoorbeeld |
Als een gebruiker geen e-mailadres heeft, combineer dan een voorvoegsel voor de gebruikersnaam met een achtervoegsel om een e-mailadres te vormen. | Vink dit vakje aan om geldige e-mailopties te vormen voor gebruikers die geen e-mailadres hebben. Gebruikers zonder echte of gevormde e-mailadressen worden overgeslagen door Directory Connector. |
E-mail Voorvoegsel Attribuut | Attribuut dat wordt gebruikt om een voorvoegsel te maken voor gevormde e-mailadressen. |
E-mail achtervoegsel | Een tekenreeks |
Gebruikers synchroniseren | Vink dit vakje aan om gebruikers te synchroniseren met je organisatie. |
Gebruikersfilter | Zie Sync-filters opgeven. |
Gebruikerspad | Attribuut dat wordt gebruikt met het opgegeven rootpad om te zoeken naar gebruikers (bijvoorbeeld |
Klasse Gebruikersobject | Naam van de klasse die wordt gebruikt voor het LDAP-gebruikersobject (bijvoorbeeld |
Email attribuut gebruiker | Attribuut dat moet worden gebruikt om het opgeslagen e-mailadres van een gebruiker te laden. |
Groepen synchroniseren | Vink dit vakje aan om groepen te synchroniseren met je organisatie. |
Groep Filter | Zie Sync-filters opgeven. |
Groepspad | Attribuut dat wordt gebruikt met het opgegeven rootpad om groepen te zoeken (bijvoorbeeld |
Klasse groepsobject | Naam van de klasse die wordt gebruikt voor het LDAP-groepsobject (bijvoorbeeld |
Groepsnaam Attribuut | Naam van het attribuut dat door de map wordt gebruikt om de naam van een groep te definiëren (bijvoorbeeld |
Gebruikers- en groepsfilters kunnen de vorm hebben van elk LDAP-compatibel zoekfilter.
Active Directory biedt een aantal geavanceerde opties en beperkingen voor het schrijven van zoekfilters, vergeleken met standaard LDAP-richtingen. Lees hier meer over het schrijven van Active Directory zoekfilters.
noot
Nested groups can sync multiple group objects with a single referent in the Directory Connector. Do this by creating a group whose members are other groups.
Monsters
Om een synchronisatie te filteren op alle items met objectClass=user en cn (algemene naam) die Marketing bevat:
Bash(&(objectClass=user)(cn=*Marketing*))
(alleen LDAP) Om een synchronisatie te filteren op alle items met een ou (organization unit) component van hun dn (distinguished name) die Miami of Orlando is:
Bash(|(ou:dn:=Miami)(ou:dn:=Orlando))
(Alleen LDAP) Om entiteiten uit te sluiten die overeenkomen met een uitdrukking, bijvoorbeeld alle ou=Chicago vermeldingen behalve diegene die ook overeenkomen met een ou=Wrigleyville kenmerk:
Bash(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville)))
(Alleen AD) Om een synchronisatie te filteren voor gebruikers in de groep Heroes:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=Heroes,ou=users,dc=company,dc=com))
(Alleen AD) Om een synchronisatie te filteren op gebruikers die lid zijn van de Heroes groep, in de directory of via nesting:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=Heroes,ou=users,dc=company,dc=com))
tip
Before testing or executing a sync, check that Directory Connector is connected to the right cloud server (e.g. US or EU) or self-hosted server. Learn how to do so with the desktop app or CLI.
Om te testen of Directory Connector succesvol verbinding maakt met je directory en de gewenste gebruikers en groepen retourneert, navigeer je naar het tabblad Dashboard en selecteer je de knop Nu testen. Als dit lukt, worden gebruikers en groepen afgedrukt in het Directory Connector-venster volgens de opgegeven synchronisatieopties en filters:
Zodra de synchronisatieopties en filters geconfigureerd en getest zijn, kun je beginnen met synchroniseren. Voer de volgende stappen uit om de automatische synchronisatie met Directory Connector te starten:
Open de bureaubladtoepassing Directory Connector.
Navigeer naar het tabblad Dashboard.
Selecteer in het gedeelte Synchronisatie de knop Synchronisatie starten.
Je kunt ook de knop Nu synchroniseren selecteren om een eenmalige handmatige synchronisatie uit te voeren.
Directory Connector begint je directory te controleren op basis van de geconfigureerde synchronisatieopties en filters.
Als je de toepassing afsluit of sluit, stopt de automatische synchronisatie. Als je Directory Connector op de achtergrond wilt laten draaien, minimaliseer je de toepassing of verberg je deze in het systeemvak.
noot
Als je het Teams Starter-plan gebruikt, ben je beperkt tot 10 leden. Directory Connector geeft een fout weer en stopt met synchroniseren als je meer dan 10 leden probeert te synchroniseren.
Waardelimiet bereikt bij synchroniseren vanuit een Active Directory instantie:
De Active Directory MaxValRange heeft een standaardinstelling van 1500. Als een attribuut, zoals leden op een Groep, meer dan 1500 waarden heeft, retourneert Active Directory zowel een leeg ledenattribuut als een ingekorte lijst van leden op afzonderlijke attributen, tot de waarde MaxValRange.
Je kunt het beleid
MaxValRangeinstellen op een waarde die hoger is dan het aantal leden van je grootste groep in Active Directory. Raadpleeg de Microsoft-documentatie voor het instellen van Active Directory LDAP-beleidsregels met het hulpprogramma ntdsutll.exe.