Benutzer aus Active Directory oder LDAP synchronisieren

Gilt für: AuthPoint-Multi-Faktor-Authentifizierung, AuthPoint Total Identity Security Dieses Thema gilt für Konten mit einer Lizenz für AuthPoint-Multi-Faktor-Authentifizierung oder AuthPoint Total Identity Security.

Um Benutzer aus Active Directory oder einer Lightweight Directory Access Protocol (LDAP)-Datenbank zu synchronisieren, müssen Sie eine LDAP-externe Identität hinzufügen und eine oder mehrere Abfragen erstellen.

LDAP-externe Identitäten stellen in AuthPoint externe Benutzerdatenbanken dar. Sie stellen eine Verbindung zu Benutzerdatenbanken her, um Informationen über Benutzerkonten abzurufen und Passwörter zu überprüfen. Die Abfragen, die Sie zu einer externen Identität hinzufügen, geben an, welche Benutzer aus Ihrem Active Directory oder Ihrer LDAP-Datenbank synchronisiert werden sollen. Sie rufen Benutzerinformationen aus der Datenbank ab und erstellen AuthPoint-Benutzerkonten für die Benutzer.

Es gibt zwei Möglichkeiten, Benutzer abzufragen:

• Gruppen synchronisieren — Wählen Sie die LDAP-Gruppen aus, von denen Sie Benutzer synchronisieren möchten. AuthPoint erstellt die Abfrage für Sie.
• Erweiterte Abfragen — Erstellen Sie Ihre eigenen LDAP-Abfragen, um die zu synchronisierenden Gruppen oder Benutzer festzulegen.

Wenn Sie eine Gruppensynchronisierung konfigurieren, um Benutzer aus Active Directory zu synchronisieren, können Sie den Schalter Neue synchronisierte Gruppen erstellen aktivieren, um neue Gruppen in AuthPoint zu erstellen, die auf den Active Directory-Gruppen basieren, aus denen Sie Benutzer synchronisieren. Wir empfehlen, diese Funktion zu verwenden, um synchronisierte LDAP-Benutzer zu Mehrfachgruppen hinzuzufügen.

Die Option Neue synchronisierte Gruppen erstellen ist nur verfügbar, wenn Sie eine Gruppensynchronisierung erstellen. Sie können diese Funktion nicht mit erweiterten Abfragen verwenden.

Bevor Sie beginnen, empfehlen wir Ihnen, sich mit einigen gängigen LDAP-Objekten vertraut zu machen:

Sie müssen externe LDAP-Identitäten mit einem Gateway verknüpfen, und das AuthPoint Gateway muss in Ihrem Firmennetzwerk an einem Ort installiert sein, der einen Internetzugang hat und eine Verbindung zu Ihrem LDAP-Server herstellen kann. Das Gateway ermöglicht die Kommunikation zwischen WatchGuard Cloud und Ihrer Active Directory- oder LDAP-Datenbank.

Um eine hohe Verfügbarkeit zu gewährleisten, empfehlen wir Ihnen die Konfiguration:

• Eine externe Identität mit einer redundanten Adresse.
• Ein primäres Gateway und bis zu fünf sekundäre Gateways (siehe Über Gateways).

Konfigurieren Sie nicht mehrere externe Identitäten für dieselbe Domäne.

Um einen LDAP-Benutzer in AuthPoint zu löschen, ist es eine bewährte Methode, den Benutzer aus seiner Active Directory- oder LDAP-Gruppe zu entfernen, um ihm den Quarantänestatus in AuthPoint zu geben, und dann den Benutzer in AuthPoint zu löschen. Weitere Informationen finden Sie unter Benutzer in Quarantäne.

Eine externe Identität hinzufügen

1. Wählen Sie Externe Identitäten.

2. Klicken Sie auf Externe Identität hinzufügen.
   Die Seite Externe Identität hinzufügen wird geöffnet.

3. Wählen Sie aus der Dropdown-Liste Typ die Option LDAP-Konfiguration.
   Es werden zusätzliche Felder angezeigt.
4. Geben Sie in das Textfeld Name einen beschreibenden Namen für die externe Identität ein.
5. Geben Sie in das Textfeld LDAP-Suchbasis Ihre LDAP-Datenbank ein. In diesem Beispiel ist die Domäne example.com, also geben wir dc=example,dc=com ein. Tipp! Das Standardformat für die Einstellungen der Suchbasis ist: ou=<name of organizational unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server name that appears after the dot>.

   Weitere Informationen zur LDAP-Syntax und zur Verwendung einer Suchbasis zur Einschränkung der Verzeichnisse auf dem Authentifizierungsserver, in denen die externe Identität nach Benutzern suchen kann, finden Sie unter Finden Sie Ihre Active Directory-Suchbasis.

6. Geben Sie in die Textfelder Systemkonto und Passphrase die Zugangsdaten für einen Benutzer ein, der die Berechtigung hat, LDAP-Suchen und -Bindungen durchzuführen. Wenn sich dieser Benutzer nicht im Standardordner Benutzer befindet, aktivieren Sie den Schalter und geben Sie den zugewiesenen Namen des Benutzers ein. Sie können eine Passphrase von bis zu 255 Zeichen vorgeben.Tipp! Das Standardformat des zugewiesenen Namens eines Benutzers ist: cn=<name of user>,ou=<name of organizational unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server name that appears after the dot>.

   In diesem Beispiel haben wir einen Benutzer namens administrator, der sich in einer OU namens AuthPoint befindet (nicht im Standardordner Benutzer). Wir müssen also den Schalter auswählen und den zugewiesenen Namen unseres Benutzers als CN=administrator,OU=AuthPoint,DC=example,DC=com eingeben. Wenn sich dieser Benutzer im Standardordner Benutzer befand, lediglich den Benutzernamen administrator eingeben.

   Wenn sich der Benutzer im Ordner Benutzer befindet und der Benutzername nicht mit dem Kontonamen (sAMAccountName) übereinstimmt, müssen Sie den Kontonamen in das Textfeld Systemkonto eingeben.

7. Geben Sie in der Dropdown-Liste Synchronisierungsintervall an, wie oft Sie die LDAP-Datenbank synchronisieren möchten. Wenn Sie Alle 24 Stunden wählen, müssen Sie auch für jeden Tag angeben, wann die Synchronisierung beginnt.

   Für LDAP-externe Identitäten, die Sie so konfigurieren, dass sie alle 24 Stunden synchronisiert werden, wird als Zeit für das Synchronisierungsintervall die Zeitzone des LDAP-Server genutzt.

8. Wählen Sie unter Typ aus, ob es sich um einen Active Directory-Server oder einen anderen Typ von LDAP-Datenbank handelt. Bei anderen Datenbanken müssen Sie alle Attributwerte angeben. Bei Active Directory müssen Sie dies nicht tun, da die Attributwerte bekannt sind.
9. Geben Sie in das Textfeld Domäne den Namen Ihrer LDAP-Domäne ein.
10. Wenn es sich nicht um einen Active Directory-Server handelt, geben Sie für jedes Attribut einen Wert ein.

    Wenn Ihre Active Directory-Benutzer ADFS verwenden, müssen Sie den Standardwert sAMAccountName für das Attribut zur Benutzeranmeldung beibehalten.

11. Geben Sie in das Textfeld Serveradresse die IP-Adresse Ihres LDAP-Servers ein.

    Wenn Ihre Active Directory-Instanz kein LDAPS Secure Lightweight Directory Access Protocol verwendet, müssen Sie den LDAPS-Schalter für die externe Identität deaktivieren. In diesem Fall ändert sich der Standard-Port von 636 zu 389.

12. Geben Sie in das Textfeld Serverport den Port für Ihren Server ein.

13. (Optional) Um eine redundante Adresse für Ihre externe Identität hinzuzufügen, klicken Sie auf Redundante Adresse hinzufügen und geben Sie eine andere Adresse und einen anderen Port für dieselbe LDAP-Datenbank ein.
14. Klicken Sie auf Speichern.

Hinzufügen der externen Identität zur Gateway-Konfiguration

Sie müssen die externe Identität zur Konfiguration eines Gateways hinzufügen, das in Ihrem Firmennetzwerk installiert ist und Zugriff auf den LDAP-Server hat. Danach können Sie die Verbindung zu Ihren LDAP-Datenbanken testen.

Wenn Sie noch kein Gateway haben, müssen Sie eines hinzufügen. Weitere Informationen finden Sie unter Über Gateways.

Hinzufügen einer externen Identität zur Konfiguration für ein Gateway:

1. Wählen Sie im Navigationsmenü Gateway.
2. Klicken Sie auf den Namen Ihres Gateways.

3. Wählen Sie im Abschnitt LDAP in der Liste LDAP-externe Identität auswählen die externe Identität für Ihren LDAP- oder Active Directory-Server.

4. Klicken Sie auf Speichern.

Ihre externe Identität ist nun mit Ihrem Gateway verbunden. Das ermöglicht die Kommunikation zwischen WatchGuard Cloud und Ihrer Active Directory- oder LDAP-Datenbank.

So testen Sie die Verbindung zu Ihrer externen Identität:

1. Wählen Sie im Navigationsmenü Externe Identitäten.
2. Klicken Sie neben der externen Identität, die Sie für Ihre LDAP-Datenbank hinzugefügt haben, auf und wählen Sie Verbindung prüfen.

   Wenn Ihr Verbindungstest fehlschlägt und NPS auf dem Gateway-Server ausgeführt wird, ändern Sie den RADIUS-Port, den das AuthPoint Gateway verwendet.

   Wenn Ihr Verbindungstest erfolgreich ist, AuthPoint jedoch keine Benutzer synchronisiert, empfehlen wir, die Zugangsdaten und Berechtigungen des Systemkonto-Benutzers zu überprüfen. Wenn Ihre Active Directory-Instanz kein LDAPS verwendet, müssen Sie die LDAPS-Schalter für die externe Identität deaktivieren.

Ihre Benutzer synchronisieren

Nachdem Sie eine externe Identität für Ihre LDAP-Datenbank erstellt und die externe Identität mit Ihrer Gateway-Konfiguration verbunden haben, müssen Sie angeben, welche Benutzer mit Ihrer LDAP-Datenbank synchronisiert werden sollen.

Es gibt zwei Möglichkeiten, Benutzer abzufragen:

• Verwenden Sie die Funktion Gruppensynchronisierung (empfohlen)
• Erweiterte Abfragen hinzufügen

Wenn Sie eine Abfrage erstellen, um Ihre Benutzer zu finden (manuell oder mit Gruppensynchronisierung), müssen Sie festlegen, ob AuthPoint ein mobiles Token für die synchronisierten Benutzer erstellen und diesen eine E-Mail senden soll, um ihr mobiles Token zu aktivieren. Dies erfolgt standardmäßig durch AuthPoint. In den meisten Fällen empfehlen wir, dass Sie Benutzern ein Token zuweisen und ihnen eine E-Mail zur Token-Aktivierung senden. Benutzerkonten benötigen ein Token für die Authentifizierung bei AuthPoint. Sie können sich entscheiden, dies für Benutzer, die Hardware-Token zur Authentifizierung nutzen, oder für Dienstkonten, die MFA mit Standardauthentifizierung umgehen, nicht zu tun.

Nachdem Sie eine Abfrage hinzugefügt haben, wird AuthPoint mit Ihrer Active Directory- oder LDAP-Datenbank beim nächsten Synchronisierungsintervall Dies ist in der Dropdown-Liste Synchronisierungsintervall auf der LDAP-Konfigurationsseite für Ihre externe Identität definiert. synchronisiert und ein AuthPoint-Benutzerkonto für jeden durch die Abfrage identifizierten Benutzer erstellt. Wenn Ihre Abfrage mehr Benutzer ergibt, als Sie AuthPoint-Lizenzen zur Verfügung haben, werden bei der Synchronisierung nur so viele Benutzer angelegt, wie Ihre Lizenz unterstützt.

Wenn ein durch Ihre Abfrage identifizierter Benutzer dieselbe E-Mail-Adresse wie ein anderes, bereits vorhandenes AuthPoint-Benutzerkonto hat, synchronisiert AuthPoint den externen Benutzer nicht.

AuthPoint führt die Synchronisierung mit Ihrer Active Directory- oder LDAP-Datenbank nur dann durch, wenn seit der letzten Synchronisierung Änderungen vorgenommen wurden.

Die erstellten Benutzerkonten werden auf der Seite Benutzer mit einem grünen Statussymbol Aktiviert neben dem Benutzernamen angezeigt. Das Statussymbol Aktiviert zeigt an, dass der Benutzer erstellt wurde und derzeit aktiv ist (nicht blockiert). Sie können Benutzer, die von einer externen Identität synchronisiert wurden, anhand der LDAP-Bezeichnung in der Spalte Typ in der Benutzerliste identifizieren.

Jeder Benutzer erhält eine E-Mail, mit der er sein Token in der AuthPoint Mobile App aktivieren kann. Wenn ein Benutzer sein Token aktiviert, werden seine Token-Informationen in der Spalte Token mit einem grünen Statussymbol Aktiviert neben dem Token angezeigt.

Wenn ein Benutzer die E-Mail für die Token-Aktivierung erhalten hat, können Sie ihm eine neue Aktivierungs-E-Mail schicken, damit er sein Token aktivieren kann. Soll einem Benutzer ein mobiles Token nicht automatisch zugewiesen werden, können Sie mit dieser Option ein Token für ihn erstellen und ihm die E-Mail zur Token-Aktivierung senden. Detaillierte Schritte zum erneuten Versenden der Aktivierungs-E-Mail finden Sie unter Aktivierungs-E-Mail erneut senden.

Vergewissern Sie sich vor der Synchronisierung der Benutzer, dass jedes Benutzerkonto eine gültige E-Mail-Adresse hat. Wenn die E-Mail-Adresse für ein Benutzerkonto nicht korrekt ist, kann der Benutzer die E-Mail-Nachricht zur Aktivierung eines Tokens nicht erhalten.

Wenn Sie Gruppen synchronisieren für Active Directory-Benutzer erstellen, können Sie das Kontrollkästchen Neue synchronisierte Gruppen erstellen wählen, um neue Gruppen in AuthPoint zu erstellen, die auf den Active Directory-Gruppen basieren, aus denen Sie Benutzer synchronisieren. Die Benutzer werden mit den neuen Gruppen basierend auf der Gruppenmitgliedschaft in Active Directory, zusätzlich zu der ausgewählten AuthPoint-Gruppe synchronisiert. Wir empfehlen diese Option, da sie die Gruppenverwaltung erleichtert und nur eine Gruppensynchronisierung erfordert.

Um LDAP-Benutzer zu mehreren AuthPoint-Gruppen hinzuzufügen, empfehlen wir, den Schalter Neue synchronisierte Gruppen erstellen in Ihrer Gruppensynchronisierung zu aktivieren und die Struktur Ihrer Active Directory-Gruppe zu verwenden, um Ihre Benutzer zu verwalten.

Gruppen synchronisieren

Bei Gruppen synchronisieren wählen Sie die LDAP-Gruppen aus, von denen Sie die Benutzer synchronisieren möchten, und die AuthPoint-Gruppe, zu der die Benutzer hinzugefügt werden. Wir empfehlen Ihnen, Gruppen synchronisieren für die Synchronisierung Ihrer Benutzer zu verwenden, da sie eine Abfrage für Sie erstellt.

Bevor Sie fortfahren, sollten Sie sich über diese Anforderungen im Klaren sein:

• Wenn die ausgewählten LDAP-Gruppen mehr Benutzer haben, als Sie AuthPoint-Lizenzen zur Verfügung haben, werden nur so viele Benutzer angelegt, wie Ihre Lizenz unterstützt.
• LDAP-Benutzer ohne Vorname, Benutzername oder eine E-Mail-Adresse, werden bei der Synchronisierung nicht berücksichtigt.

• AuthPoint verwendet das memberOf-Attribut, um festzustellen, zu welchen Active Directory-Gruppen LDAP-Benutzer gehören. Dieses Attribut umfasst nicht die primäre Gruppe von Active Directory-Benutzern (normalerweise Domänen-Benutzergruppe). Wir empfehlen, bei der Konfiguration einer Gruppensynchronisierung keine primären Gruppen einzubeziehen.

Caution: Fügen Sie dieselbe LDAP-Gruppe nicht zu mehreren Gruppensynchronisierungen hinzu und erstellen Sie nicht mehrere Gruppensynchronisierungen, die denselben LDAP-Benutzer beinhalten. Ein von einer LDAP-Datenbank synchronisierter Benutzer kann nicht zu mehr als einer lokalen AuthPoint-Gruppe gehören. Wenn ein LDAP-Benutzer zu mehreren Gruppensynchronisierungen gehört, kann die lokale AuthPoint-Gruppe, zu der der Benutzer gehört, sich jedes Mal, wenn AuthPoint mit Ihrer LDAP-Datenbank synchronisiert wird, ändern. Um Active Directory-Benutzer zu mehreren Gruppen hinzuzufügen, empfehlen wir, den Schalter Neue synchronisierte Gruppen erstellen zu aktivieren und die Struktur Ihrer Active Directory-Gruppe zu verwenden, um Ihre Benutzer zu verwalten. Weitere Informationen finden Sie unter Externe Identitäten.

Zum Synchronisieren von LDAP-Gruppen:

1. Wählen Sie Externe Identitäten.
2. Klicken Sie neben Ihrer externen Identität auf und wählen Sie Gruppensynchronisierung.

3. Klicken Sie auf der Seite Gruppen synchronisieren auf Neue Gruppe zu Synchronisieren hinzufügen.

4. Wählen Sie im Fenster Gruppensynchronisierung hinzufügen in der Dropdown-Liste LDAP-Gruppen für das Synchronisieren von Benutzern auswählen die LDAP-Gruppen aus, mit denen Sie Benutzer synchronisieren möchten. Sie können mehrere Gruppen auswählen.

5. Um neue Gruppen in AuthPoint zu erstellen, die auf den Active Directory-Gruppen basieren, aus denen Sie Benutzer synchronisieren, aktivieren Sie das Kontrollkästchen Neue synchronisierte Gruppen erstellen. Wenn Sie diese Option wählen, werden die Benutzer mit den neuen Gruppen basierend auf der Gruppenmitgliedschaft in der LDAP-Datenbank, zusätzlich zu der ausgewählten AuthPoint-Gruppe synchronisiert. Wir empfehlen diese Option, wenn Sie LDAP-Benutzer zu Mehrfachgruppen in AuthPoint hinzufügen möchten.

   Diese Option ist nur für Active Directory und Azure Active Directory LDAP-Datenbanken verfügbar. Um diese Funktion zu nutzen, müssen Sie Version 6.1 oder höher von AuthPoint Gateway installieren.

   Die AuthPoint-Option Neue synchronisierte Gruppen erstellen enthält keine Active Directory-Gruppen, die in der Gruppensynchronisierung nicht festgelegt sind. Ist ein synchronisierter Benutzer Mitglied einer Active Directory-Gruppe, die in der Gruppensynchronisierung nicht festgelegt ist, wird diese Active Directory-Gruppe in AuthPoint nicht erstellt.

6. Wählen Sie in der Dropdown-Liste AuthPoint-Gruppe auswählen, zu der Sie Benutzer hinzufügen möchten die AuthPoint-Gruppe aus, zu der die Benutzer hinzugefügt werden sollen. Synchronisierte Benutzer müssen zu einer AuthPoint-Gruppe hinzugefügt werden.

   Bei jeder Gruppensynchronisierung werden alle Benutzer zur gleichen AuthPoint-Gruppe hinzugefügt. Um LDAP-Benutzer zu mehreren Gruppen hinzuzufügen, empfehlen wir, den Schalter Neue synchronisierte Gruppen erstellen zu aktivieren und die Struktur Ihrer Active Directory-Gruppe zu verwenden, um Ihre Benutzer zu verwalten.

7. Wenn Sie nicht möchten, dass AuthPoint mobile Token für diese Benutzerkonten erstellt oder eine E-Mail an die Benutzer zur Aktivierung ihrer mobilen Token sendet, deaktivieren Sie die Kontrollkästchen Den synchronisierten Benutzern automatisch ein mobiles Token zuweisen bzw. Die Aktivierungs-E-Mail für die synchronisierten Benutzer automatisch senden.

   Sie können diese Einstellungen nicht ändern, nachdem Sie die Benutzerkonten synchronisiert haben. Um einem Benutzer ein Token zuzuweisen, bei dem diese Optionen nicht ausgewählt sind, müssen Sie die Token-Aktivierungs-E-Mail erneut senden. Weitere Informationen finden Sie unter Aktivierungs-E-Mail erneut senden.

8. Klicken Sie auf Speichern.
   Das Fenster Gruppensynchronisierung hinzufügen wird geschlossen.

AuthPoint synchronisiert sich mit Ihrer Active Directory- oder LDAP-Datenbank beim nächsten Synchronisierungsintervall Dies ist in der Dropdown-Liste Synchronisierungsintervall auf der LDAP-Konfigurationsseite für Ihre externe Identität definiert. synchronisiert und ein AuthPoint-Benutzerkonto für jeden durch die Abfrage identifizierten Benutzer erstellt.

Um eine Synchronisierung sofort zu starten, klicken Sie auf der Seite Externe Identitäten neben der externen Identität auf und wählen Synchronisierung starten.

Wird ein Benutzer in Ihrer Active Directory- oder LDAP-Datenbank gelöscht, wird das zugehörige AuthPoint-Benutzerkonto nicht gelöscht. Stattdessen erhält der Benutzer den Quarantänestatus. Weitere Informationen finden Sie unter Benutzer in Quarantäne.

Wenn Sie den Schalter Neue synchronisierte Gruppen erstellen aktiviert haben, werden die synchronisierten Gruppen in AuthPoint erstellt. Die neu erstellten Gruppen werden auf der Gruppen-Seite angezeigt. Sie können synchronisierte Gruppen in der Liste Gruppen anhand der LDAP-Bezeichnung in der Spalte Typ identifizieren.

Wenn Sie den Namen einer synchronisierten Gruppe in Active Directory ändern, wird die synchronisierte Gruppe in AuthPoint automatisch entsprechend aktualisiert. Sie können die synchronisierten Gruppen in AuthPoint nicht bearbeiten.

Wenn Sie die Gruppe in Active Directory löschen oder die Gruppensynchronisierung löschen, wird die synchronisierte Gruppe in AuthPoint nicht gelöscht. Sie müssen die synchronisierte Gruppe manuell in AuthPoint löschen.

Erweiterte Abfragen hinzufügen

Mit erweiterten Abfragen können Sie Ihre eigene LDAP-Abfrage erstellen, um festzulegen, welche Gruppen oder Benutzer synchronisiert werden sollen. Wenn Sie eine erweiterte Abfrage hinzufügen und validieren, werden AuthPoint-Benutzerkonten für jeden durch die Abfrage identifizierten Benutzer erstellt.

Bevor Sie fortfahren, sollten Sie sich über diese Anforderungen im Klaren sein:

• Wenn Ihre Abfrage mehr Benutzer ergibt, als Sie Lizenzen zur Verfügung haben, erstellt AuthPoint nur so viele Benutzer, wie Ihre Lizenz unterstützt
• LDAP-Benutzer ohne Vorname, Benutzername oder eine E-Mail-Adresse, werden bei der Synchronisierung nicht berücksichtigt

So fügen Sie eine erweiterte Abfrage hinzu:

1. Wählen Sie Externe Identitäten.
2. Klicken Sie neben der von Ihnen hinzugefügten LDAP-externe Identität auf und wählen Sie Erweiterte Abfrage.

3. Klicken Sie auf der Seite Erweiterte Abfrage auf Erweiterte Abfrage hinzufügen.

4. Geben Sie in das Textfeld Name einen beschreibenden Namen für die Abfrage ein.
5. Wählen Sie aus der Dropdown-Liste Gruppe die AuthPoint-Gruppe aus, zu der die Benutzer aus dieser Abfrage hinzugefügt werden sollen. Synchronisierte Benutzer müssen zu einer AuthPoint-Gruppe hinzugefügt werden.

   Für jede erweiterte Abfrage werden alle Benutzer zur gleichen AuthPoint-Gruppe hinzugefügt. Um Benutzer aus jeder LDAP-Gruppe zu separaten AuthPoint-Gruppen hinzuzufügen, müssen Sie für jede LDAP-Gruppe eine eigene erweiterte Abfrage erstellen.

6. Geben Sie im Textfeld Erweiterte Abfrage Ihre Abfrage ein. In den meisten Fällen wird Ihre Abfrage memberOf= lauten, gefolgt von dem zugewiesenen Namen der Gruppe, die Sie mit der Abfrage synchronisieren möchten. Wenn der zugewiesene Name Ihrer Gruppe beispielsweise CN=MyAuthGroup,CN=Users,DC=myorg,DC=local lautet, lautet Ihre Abfrage memberOf=CN=MyAuthGroup,CN=Users,DC=myorg,DC=local.
   Zugewiesenen Namen einer Active Directory-Gruppe finden:

   1. Öffnen Sie Active Directory.
   2. Wählen Sie Anzeigen > Erweiterte Funktionen.
   3. Klicken Sie mit der rechten Maustaste auf die Gruppe, die Sie synchronisieren möchten, und wählen Sie Eigenschaften.
      Das Fenster Eigenschaften wird geöffnet.
   4. Im Fenster Eigenschaften wählen Sie den Attribut-Editor.
   5. Wählen Sie den Wert distinguishedName und klicken Sie auf Anzeigen.
   6. Kopieren Sie den Wert. Wenn Sie "memberOf=" vor diesem Wert anhängen, ist das Ihre erweiterte Abfrage.

7. Wenn Sie nicht möchten, dass AuthPoint mobile Token für diese Benutzerkonten erstellt oder eine E-Mail an die Benutzer zur Aktivierung ihrer mobilen Token sendet, deaktivieren Sie die Kontrollkästchen Den synchronisierten Benutzern automatisch ein mobiles Token zuweisen bzw. Die Aktivierungs-E-Mail für die synchronisierten Benutzer automatisch senden.
8. Um eine Vorschau Ihrer Abfrageergebnisse zu erhalten, klicken Sie auf Erweiterte Abfrage validieren. Sie können die Anzahl der Benutzer, die Ihre Abfrage zurückgibt, und eine Vorschau der ersten 10 Benutzer sehen.

   Wenn Sie eine Abfrage validieren, werden keine Benutzer synchronisiert. Benutzer werden erst synchronisiert, nachdem Sie Ihre Abfrage zur externen Identität hinzugefügt und die Änderungen gespeichert haben.

9. Um Ihre Abfrage zur externen Identität hinzuzufügen, klicken Sie auf Hinzufügen.

AuthPoint synchronisiert sich mit Ihrer Active Directory- oder LDAP-Datenbank beim nächsten Synchronisierungsintervall Dies ist in der Dropdown-Liste Synchronisierungsintervall auf der LDAP-Konfigurationsseite für Ihre externe Identität definiert. und erstellt ein AuthPoint-Benutzerkonto für jeden durch die erweiterte Abfrage identifizierten Benutzer.

Um eine Synchronisierung sofort zu starten, klicken Sie auf der Seite Externe Identitäten neben der externen Identität auf und wählen Synchronisierung starten.

Wird ein Benutzer in Ihrer Active Directory- oder LDAP-Datenbank gelöscht, wird das zugehörige AuthPoint-Benutzerkonto nicht gelöscht. Stattdessen erhält der Benutzer den Quarantänestatus. Weitere Informationen finden Sie unter Benutzer in Quarantäne.

Bearbeiten einer erweiterten Abfrage

1. Wählen Sie Externe Identitäten.
2. Klicken Sie neben der von Ihnen hinzugefügten LDAP-externe Identität auf und wählen Sie Erweiterte Abfrage.

3. Klicken Sie auf der Seite Erweiterte Abfrage in der Abfrageliste auf den Namen der Abfrage, die Sie bearbeiten möchten.

4. Nehmen Sie im Fenster Erweiterte Abfrage aktualisieren Ihre Änderungen vor.
5. Klicken Sie auf Aktualisieren.

Ähnliche Themen

Testen der Verbindung zu einer externen Identität

Benutzer aus Azure Active Directory synchronisieren

Über Gateways

Benutzer in Quarantäne

Video-Tutorial: Externe Benutzer mit AuthPoint synchronisieren