Synchroniseren met Actieve Directory (AD) of LDAP
Dit artikel helpt u op weg met Directory Connector voor het synchroniseren van gebruikers en groepen vanuit uw LDAP- of Actieve Directory (AD)-service naar uw Bitwarden-organisatie. Bitwarden biedt ingebouwde connectoren voor de populairste LDAP-directoryservers, waaronder:
Microsoft Actieve Directory
Apache Directory Server (ApacheDS)
Apple open directory
Fedora Directory Server
Novell eDirectory
OpenDS
OpenLDAP
Sun Directory Server Enterprise Editie (DSEE)
Elke algemene LDAP-directoryserver
Voer de volgende stappen uit om Directory Connector te configureren om uw LDAP of Actieve Directory (AD) te gebruiken:
Open de Directory Connector desktop app.
Navigeer naar het tabblad Instellingen.
In de dropdownlijst Type selecteert u Actieve Directory / LDAP.
De beschikbare velden in dit gedeelte veranderen afhankelijk van het geselecteerde type.
Configureer de volgende opties:
Optie | Beschrijving | Voorbeelden |
|---|---|---|
Server hostnaam | Hostnaam van uw mapserver. |
|
Serverpoort | Poort waarop u directory server luistert. |
|
Root Path | Root path waarop Directory Connector alle query's moet starten. |
|
Deze server gebruikt Actieve Directory (AD) | Vink dit vakje aan als de server een Actieve Directory (AD)-server is. | |
Deze server geeft zoekresultaten weer | Vink dit vakje aan als de server zoekresultaten pagineert (alleen LDAP). | |
Deze server gebruikt een versleutelde verbinding | Als u dit vakje aanvinkt, wordt u gevraagd een van de volgende opties te selecteren: SSL gebruiken (LDAPS) Als uw LDAPS-server een niet-vertrouwd certificaat gebruikt, kunt u op dit scherm certificaatopties configureren. TSL gebruiken (STARTTLS) Als u LDAP-server een zelfondertekend certificaat voor STARTTLS gebruikt, kunt u op dit scherm certificeringsopties configureren. | |
Gebruikersnaam | De gedistingeerde naam van een administratieve gebruiker die de toepassing zal gebruiken bij het verbinden met de directoryserver. Voor Actieve Directory (AD), als het synchroniseren van de status van gebruikers die verwijderd zijn uit de directory gewenst is, moet de gebruiker lid zijn van de ingebouwde beheerdersgroep. | |
Wachtwoord | Het wachtwoord van de gebruiker die hierboven is opgegeven. Het wachtwoord wordt veilig opgeslagen in de wachtwoordmanager van het eigen besturingssysteem. |
tip
Als u klaar bent met configureren, navigeer dan naar het tabblad Meer en selecteer de knop Synchronisatiecache wissen om mogelijke conflicten met eerdere synchronisatiebewerkingen te voorkomen. Zie Synchronisatiecache wissen voor meer informatie.
Voer de volgende stappen uit om de instellingen te configureren die worden gebruikt bij het synchroniseren met Directory Connector:
noot
Als u Actieve Directory (AD) gebruikt, zijn veel van deze instellingen vooraf voor ubepaald en worden daarom niet weergegeven.
Open de Directory Connector desktop app.
Navigeer naar het tabblad Instellingen.
Configureer de volgende opties naar wens in het gedeelte Sync:
Optie | Beschrijving |
|---|---|
Interval | Tijd tussen automatische synchronisatiecontrole (in minuten). |
Verwijder uitgeschakelde gebruikers tijdens synchronisatie | Vink dit vakje aan om gebruikers uit de Bitwarden-organisatie te verwijderen die in uw organisatie zijn uitgeschakeld. |
Bestaande organisatiegebruikers overschrijven op basis van huidige synchronisatie-instellingen | Vink dit vakje aan om de gebruikersset volledig te overschrijven bij elke synchronisatie, inclusief het verwijderen van gebruikers uit uw organisatie als ze afwezig zijn in de gebruikersset van de directory. Voer altijd een testsynchronisatie uit voordat u synchroniseert nadat u deze optie hebt ingeschakeld. |
Naar verwachting zullen er meer dan 2000 gebruikers of groepen gesynchroniseerd worden | Vink dit vakje aan als u verwacht 2000+ gebruikers of groepen te synchroniseren. Als u dit vakje niet aanvinkt, zal Directory Connector een synchronisatie beperken tot 2000 gebruikers of groepen. |
Lid Attribuut | Naam van het attribuut dat door de directory wordt gebruikt om het groepslidmaatschap te definiëren (bijvoorbeeld |
Aanmaakgegevens Attribuut | Naam van het attribuut dat door de map wordt gebruikt om aan te geven wanneer een record werd aangemaakt (bijvoorbeeld |
Herzieningsdatum Attribuut | Naam van het attribuut dat door de map wordt gebruikt om aan te geven wanneer een record voor het laatst is gewijzigd (bijvoorbeeld |
Als een gebruiker geen e-mailadres heeft, combineer dan een voorvoegsel voor de gebruikersnaam met een achtervoegsel om een e-mailadres te vormen. | Vink dit vakje aan om geldige e-mailopties te vormen voor gebruikers die geen e-mailadres hebben. Gebruikers zonder echte of aangemaakte e-mailadressen worden overgeslagen door Directory Connector. |
E-mail Voorvoegsel Attribuut | Attribuut dat wordt gebruikt om een voorvoegsel aan te maken voor aangemaakte e-mailadressen. |
achtervoegsel e-mail | Een tekenreeks |
Gebruikers synchroniseren | Vink dit vakje aan om gebruikers te synchroniseren met uw organisatie. |
Gebruikersfilter | Zie Sync-filters opgeven. |
Gebruikerspad | Attribuut dat wordt gebruikt met het opgegeven root path om te zoeken naar gebruikers (bijvoorbeeld |
Klasse Gebruikersobject | Naam van de klasse die wordt gebruikt voor het LDAP-gebruikersobject (bijvoorbeeld |
Email attribuut gebruiker | Attribuut dat moet worden gebruikt om het opgeslagen e-mailadres van een gebruiker te laden. |
Groepen synchroniseren | Vink dit vakje aan om groepen te synchroniseren met uw organisatie. |
Groepsfilter | Zie Sync-filters opgeven. |
Groepspad | Attribuut dat wordt gebruikt met het opgegeven root path om groepen te zoeken (bijvoorbeeld |
Klasse groepsobject | Naam van de klasse die wordt gebruikt voor het LDAP-groepsobject (bijvoorbeeld |
Attribuut Groepsnaam | Naam van het attribuut dat door de map wordt gebruikt om de naam van een groep te definiëren (bijvoorbeeld |
Gebruikers- en groepsfilters kunnen de vorm hebben van elk LDAP-compatibel zoekfilter.
Actieve Directory (AD) biedt een aantal geavanceerde opties en beperkingen voor het schrijven van zoekfilters, vergeleken met standaard LDAP-richtingen. Lees hier meer over het schrijven van Actieve Directory (AD) zoekfilters.
noot
Geneste groepen kunnen meerdere groepsobjecten synchroniseren met een enkele referentie in de Directory Connector. Doe dit door een groep aan te maken waarvan de leden andere groepen zijn.
Monsters
Om een synchronisatie te filteren op alle items met objectClass=user en cn (algemene naam) die Marketing bevat:
Bash(&(objectClass=user)(cn=*Marketing*))
(alleen LDAP) Om een synchronisatie te filteren op alle items met een ou (organization unit) component van hun dn (distinguished name) die Miami of Orlando is:
Bash(|(ou:dn:=Miami)(ou:dn:=Orlando))
(Alleen LDAP) Om entiteiten uit te sluiten die overeenkomen met een uitdrukking, bijvoorbeeld alle ou=Chicago vermeldingen behalve diegene die ook overeenkomen met een ou=Wrigleyville kenmerk:
Bash(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville)))
(Alleen AD) Om een synchronisatie te filteren voor gebruikers in de groep Helden:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=Heroes,ou=users,dc=company,dc=com))
(Alleen AD) Om een synchronisatie te filteren op gebruikers die lid zijn van de Helden groep, in de directory of via nesting:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=Heroes,ou=users,dc=company,dc=com))
tip
Voordat u een synchronisatie test of uitvoert, moet u controleren of Directory Connector is verbonden met de juiste cloudserver (bijv. VS of EU) of zelf gehoste server Leer hoe u dat doet met de desktop app of CLI
Om te testen of Directory Connector succesvol verbinding maakt met uw directory en de gewenste gebruikers en groepen retourneert, navigeert u naar het tabblad Dashboard en selecteert u de knop Nu testen. Als dit lukt, worden gebruikers en groepen getoond in het Directory Connector-venster volgens de opgegeven synchronisatieopties en filters:
Zodra de synchronisatieopties en filters geconfigureerd en getest zijn, kunt u beginnen met synchroniseren. Voer de volgende stappen uit om de automatische synchronisatie met Directory Connector te starten:
Open de bureaubladtoepassing Directory Connector.
Navigeer naar het tabblad Dashboard.
Selecteer in het gedeelte Synchronisatie de knop Synchronisatie starten.
U kunt ook de knop Nu synchroniseren selecteren om een eenmalige handmatige synchronisatie uit te voeren.
Directory Connector begint uw directory te controleren op basis van de geconfigureerde synchronisatieopties en filters.
Als u de toepassing verlaat of afsluit, stopt de automatische synchronisatie. Als u Directory Connector op de achtergrond wilt laten draaien, minimaliseert u de toepassing of verbergt u deze in het systeemvak.
noot
Als u het Teams Starter-plan gebruikt, bent u beperkt tot 10 licenties. Directory Connector geeft een fout weer en stopt met synchroniseren als u meer dan 10 licenties probeert te synchroniseren.
Waardelimiet bereikt bij synchroniseren vanuit een Actieve Directory (AD) instantie:
De Actieve Directory (AD) MaxValRange heeft een standaardinstelling van 1.500. Als een attribuut, zoals leden van een groep, meer dan 1.500 waarden heeft, retourneert Actieve Directory (AD) zowel een leeg ledenattribuut als een ingekorte lijst van leden op afzonderlijke attributen, tot de waarde MaxValRange.
U kunt het beleid
MaxValRangeinstellen op een waarde die hoger is dan het aantal leden van uw grootste groep in Actieve Directory (AD). Raadpleeg de Microsoft-documentatie voor het instellen van Actieve Directory (AD) LDAP-beleidsregels met het hulpprogramma ntdsutll.exe.