Synkronisera med Active Directory eller LDAP
Den här artikeln hjälper dig att komma igång med att använda Directory Connector för att synkronisera användare och grupper från din LDAP- eller Active Directory-tjänst till din Bitwarden-organisation. Bitwarden tillhandahåller inbyggda kontakter för de mest populära LDAP-katalogservrarna, inklusive:
Microsoft Active Directory
Apache Directory Server (ApacheDS)
Apple Open Directory
Fedora Directory Server
Novell eDirectory
ÖppnaDS
ÖppnaLDAP
Sun Directory Server Enterprise Edition (DSEE)
Vilken generisk LDAP-katalogserver som helst
Anslut till din server
Slutför följande steg för att konfigurera Directory Connector för att använda din LDAP eller Active Directory:
Öppna skrivbordsappen Directory Connector.
Navigera till fliken Inställningar.
Från rullgardinsmenyn Typ, välj Active Directory / LDAP.
De tillgängliga fälten i det här avsnittet kommer att ändras enligt din valda typ.
Konfigurera följande alternativ:
Alternativ | Beskrivning | Exempel |
|---|---|---|
Serverns värdnamn | Värdnamn för din katalogserver. |
|
Serverport | Port som din katalogserver lyssnar på. |
|
Rotväg | Rotsökväg där Directory Connector ska starta alla frågor. |
|
Denna server använder Active Directory | Markera den här rutan om servern är en Active Directory-server. | |
Denna server visar sökresultat | Markera den här rutan om servern paginerar sökresultat (endast LDAP). | |
Denna server använder en krypterad anslutning | Om du markerar den här rutan uppmanas du att välja ett av följande alternativ: Använd SSL (LDAPS) Om din LDAPS-server använder ett opålitligt certifikat kan du konfigurera certifikatalternativ på den här skärmen. Använd TSL (STARTTLS) Om din LDAP-server använder ett självsignerat certifikat för STARTTLS kan du konfigurera certifieringsalternativ på den här skärmen. | |
Användarnamn | Det distinguerade namnet på en administrativ användare som programmet kommer att använda vid anslutning till katalogservern. För Active Directory, om synkronisering av status för användare som tagits bort från katalogen önskas, bör användaren vara medlem i den inbyggda administratörsgruppen. | |
Lösenord | Lösenordet för användaren som anges ovan. Lösenordet lagras säkert i operativsystemets inbyggda behörighetshanterare. |
Konfigurera synkroniseringsalternativ
tip
When you are finished configuring, navigate to the More tab and select the Clear Sync Cache button to prevent potential conflicts with prior sync operations. For more information, see Clear Sync Cache.
Utför följande steg för att konfigurera inställningarna som används vid synkronisering med Directory Connector:
note
If you are using Active Directory, many of these settings are predetermined for you and are therefore are not shown.
Öppna skrivbordsappen Directory Connector.
Navigera till fliken Inställningar.
I avsnittet Synkronisera konfigurerar du följande alternativ efter önskemål:
Alternativ | Beskrivning |
|---|---|
Intervall | Tid mellan automatisk synkroniseringskontroll (i minuter). |
Ta bort inaktiverade användare under synkronisering (ej tillgängligt för LDAP) | Markera den här rutan för att ta bort användare från Bitwarden-organisationen som har inaktiverats i din organisation. |
Skriv över befintliga organisationsanvändare baserat på aktuella synkroniseringsinställningar | Markera den här rutan för att helt skriva över användaruppsättningen vid varje synkronisering, inklusive att ta bort användare från din organisation när de är frånvarande från kataloganvändaruppsättningen. Kör alltid en testsynkronisering före synkronisering efter att du har aktiverat det här alternativet. |
Mer än 2000 användare eller grupper förväntas synkronisera | Markera den här rutan om du förväntar dig att synkronisera 2000+ användare eller grupper. Om du inte markerar den här rutan kommer Directory Connector att begränsa en synkronisering till 2000 användare eller grupper. |
Medlemsattribut | Namn på attributet som används av katalogen för att definiera en grupps medlemskap (till exempel |
Skapande dataattribut | Namn på attributet som används av katalogen för att ange när en post skapades (till exempel |
Revisionsdatum Attribut | Namn på det attribut som används av katalogen för att ange när en post senast ändrades (till exempel |
Om en användare inte har någon e-postadress, kombinera ett användarnamnsprefix med ett suffixvärde för att bilda ett e-postmeddelande | Markera den här rutan för att skapa giltiga e-postalternativ för användare som inte har en e-postadress. Användare utan riktiga eller bildade e-postadresser kommer att hoppas över av Directory Connector. |
E-postprefixattribut | Attribut används för att skapa ett prefix för bildade e-postadresser. |
E-postsuffix | En sträng ( |
Synkronisera användare | Markera den här rutan för att synkronisera användare med din organisation. |
Användarfilter | |
Användarväg | Attribut som används med den angivna rotsökvägen för att söka efter användare (till exempel |
Användarobjektklass | Namnet på klassen som används för LDAP-användarobjektet (till exempel |
Användarens e-postattribut | Attribut som ska användas för att ladda en användares lagrade e-postadress. |
Synkronisera grupper | Markera den här rutan för att synkronisera grupper med din organisation. |
Gruppfilter | |
Gruppväg | Attribut som används med den angivna rotsökvägen för att söka efter grupper (till exempel |
Gruppobjektklass | Namnet på klassen som används för LDAP-gruppobjektet (till exempel |
Attribut för gruppnamn | Namn på det attribut som används av katalogen för att definiera namnet på en grupp (till exempel |
Ange synkroniseringsfilter
Användar- och gruppfilter kan vara i form av vilket LDAP-kompatibelt sökfilter som helst.
Active Directory ger några avancerade alternativ och begränsningar för att skriva sökfilter, jämfört med vanliga LDAP-anvisningar. Läs mer om hur du skriver Active Directory-sökfilter här.
note
Nested groups can sync multiple group objects with a single referent in the Directory Connector. Do this by creating a group whose members are other groups.
Prover
Så här filtrerar du en synkronisering för alla poster som har objectClass=user och cn (vanligt namn) som innehåller marknadsföring:
Bash(&(objectClass=user)(cn=*Marketing*))
(endast LDAP) För att filtrera en synkronisering för alla poster med en ou (organisationsenhet)-komponent i deras dn (särskilt namn) som är antingen Miami eller Orlando:
Bash(|(ou:dn:=Miami)(ou:dn:=Orlando))
(endast LDAP) För att utesluta entiteter som matchar ett uttryck, till exempel alla ou=Chicago-poster utom de som också matchar ett ou=Wrigleyville-attribut:
Bash(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville)))
(Endast AD) Så här filtrerar du en synkronisering för användare i Heroes-gruppen:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=Heroes,ou=users,dc=company,dc=com))
(Endast AD) Så här filtrerar du en synkronisering för användare som är medlemmar i Heroes-gruppen, antingen direkt eller via kapsling:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=Heroes,ou=users,dc=company,dc=com))
Testa en synkronisering
tip
Innan du testar eller kör en synkronisering, kontrollera att Directory Connector är ansluten till rätt molnserver (t.ex. USA eller EU) eller egenhostad server. Lär dig hur du gör det med skrivbordsappen eller CLI.
För att testa om Directory Connector lyckas ansluta till din katalog och returnera önskade användare och grupper, navigera till fliken Dashboard och välj knappen Testa nu. Om det lyckas kommer användare och grupper att skrivas ut till fönstret Directory Connector enligt de angivna synkroniseringsalternativen och filtren:
Starta automatisk synkronisering
När synkroniseringsalternativ och filter har konfigurerats och testats kan du börja synkronisera. Slutför följande steg för att starta automatisk synkronisering med Directory Connector:
Navigera till fliken Dashboard.
I avsnittet Sync, välj knappen Start Sync.
Du kan alternativt välja knappen Synkronisera nu för att utföra en manuell engångssynkronisering.
Directory Connector börjar polla din katalog baserat på de konfigurerade synkroniseringsalternativen och filtren.
Om du avslutar eller stänger programmet kommer den automatiska synkroniseringen att stoppas. För att hålla Directory Connector igång i bakgrunden, minimera programmet eller dölj det i systemfältet.
note
Om du har Teams Starter-plan är du begränsad till 10 medlemmar. Directory Connector visar ett felmeddelande och slutar synkronisera om du försöker synkronisera fler än 10 medlemmar.
Den här planen går inte längre att köpa. Det här felet gäller inte för Teams planer.
Synkronisera med Active Directory-felsökning
Värdegräns uppnådd vid synkronisering från en Active Directory-instans:
Active Directory MaxValRange har en standardinställning på 1500. Om ett attribut, såsom medlemmar i en grupp, har fler än 1500 värden, kommer Active Directory att returnera både ett tomt attribut för medlemmar, såväl som en trunkerad lista med medlemmar på separata attribut, upp till värdet för MaxValRange.
Du kan justera
MaxValRange-policyntill ett värde som är högre än antalet medlemmar i din största grupp i Active Directory. Se Microsofts dokumentation för att ställa in Active Directory LDAP-policyer med hjälp av verktyget ntdsutll.exe.