Appterix
Menü
Skip to main content
Wie können wir helfen?
Inhaltsverzeichnis
< Alle Themen
Drucken

Synchronisationsdienst für Active Directory

Der Benutzerimport aus Active Directory gliedert sich in 3 Aufgaben:

  1. Eine Importquelle erstellen
  2. Installieren von AD Sync Service
  3. Benutzer synchronisieren

AD Sync Service herunterladen

Den Download des aktuellen AD Sync Service finden Sie in der Appterix Verwaltungsoberfläche im Bereich Downloads unter Zusätzliche Komponente.

Active Directory Verbindung erstellen

Klicken Sie im linken Menü auf Einstellungen > Integrationen.

Klicken Sie auf Konnektor hinzufügen in der Symbolleiste.

  • Der Benutzerimport-Quelle-Dialog erscheint.

Wählen Sie Active Directory und klicken Sie auf Weiter.

Konnektordetails

  • Im Feld Name den Namen für den Konnektor definieren.
  • (optional) Geben Sie im Feld Beschreibung Ihre Notizen ein.

    Verbindungseinstellungen

    • Unter Verbindungseinstellungen geben Sie in den Feldern Serveradresse den Namen einer Ihrer Domain Controller an, sowie den gewünschten Benutzername und Passwort aus Ihrem Active Directory ein. Sie haben die Wahl zur verschlüsselten Verbindungsherstellung LDAPS zu aktivieren.

    Synchronisationskonfiguration

    • Wenn Sie nicht das gesamte Verzeichnis synchronisieren möchten, geben Sie im Feld Basis-DN den Namen eines Active Directory-Eintrags ein, von wo aus Sie die Synchronisation starten können. Für mehrere Basis-DN’s beginnen Sie eine neue Zeile.
    • Des weiteren können Sie die Benutzerkennung nach dem Benutzerprinzipalname (UPN) oder der E-Mail Adresse bestimmen. Bei hybriden Umgebungen aus Active Directory und EntraID ist es wichtig, dass die Benutzerkennung einheitlich ist.
    • Definieren Sie unter Zeitplan, wie oft und wann mit Active Directory synchronisiert.

    Integration der Zertifizierungsstelle

    • Möchten Sie das Appterix Enrollment zur Erstellung der YubiKey PIV Zertifikate verwenden, hinterlegen Sie bitte den Namen der Zertifizierungsstelle nach den Angaben des Certutil (Kommandozeilenbefehl) unter Konfiguration.
    • Sollten Sie eine einzige Zertifizierungsstelle besitzen, reicht es, wenn Sie diese automatisch wählen lassen.
    • Bitte beachten Sie zur Erstellung der YubiKey Zertifikate die weiteren erforderlichen Schritte unter Zertifikatbasierte Authentifizierung.

    Authentifizierung

    • Damit das Active Directory Single Sign On (SSO) zur Anmeldung an der EMPlatform und Appterix verwendet werden kann, aktivieren Sie im letzten Schritt diese Funktion.

    Installation des AD Sync Service

    Laden Sie das AD Sync Service unter Downloads in der Verwaltung von Appterix herunter und installieren Sie es, um die Verzeichnisdaten aus der lokalen Domäne auf das EMPlatform-Management-System zu übertragen.

    1. Führen Sie die Installationsdatei aus.
    2. Klicken Sie auf Installieren.
      • Sobald das Vorab-Setup beendet ist, erscheint der AD Sync Service Setup Wizard.
    3. Klicken Sie auf Weiter.
    4. Wenn nötig, ändern Sie den Zielordner für die Installation des AD Sync Service und klicken auf Weiter.
    5. Fügen Sie die zuvor kopierten Client ID und Client Secret-Anmeldeinformationen hinzu.
      Diese werden Ihnen nach dem Anlegen eines Konnektor angezeigt oder nachträglich änderbar unter Konfigurationseinstellungen > Anmeldeinformationen des jeweiligen Konnektor.
      Hinweis: Das neue Generieren von Anmeldeinformationen macht die älteren Anmeldeinformationen ungültig.
    6. Geben Sie im Feld Controller-URL die https-URL der EgoMind Plattform ein.
      • Bei Appterix SaaS Kunden ist dies https://administration.appterix.eu
      • Bei einer lokalen Installation entsprechend der in der Installation gewählten URL, z.B. https://<server>/administration
    7. Klicken Sie auf Verbindung testen, um die Anmeldedaten zu überprüfen.
    8. Klicken Sie auf Weiter.
    • Der Dialog „Installieren von AD Sync Service“ erscheint.
    1. Klicken Sie auf Installieren.
    2. Sobald die Installation beendet ist, klicken Sie auf Fertig stellen und dann schließen.

    Benutzer synchronisieren

    1. Zurück unter Administration zu Einstellungen > Integrationen.
    2. Aktivieren Sie den Konnektor, um ihn nach dem innerhalb der Quelle definierten Zeitplan zu synchronisieren.
    3. Klicken Sie auf den Importieren-Button, um sofort eine einmalige Synchronisation zu starten.
      • Der Quellstatus ändert sich zur Synchronisierung. Sobald die Synchronisation erfolgreich endet, ändert sich der Quellstatus zu Synchronisiert.

    Alle importierten Benutzer erscheinen unter Benutzern mit dem Importierten Status und der AD AD-Marke. Sie können nun die importierten Benutzer einladen.

    FAQ zur AD Synchronisation

    F1: Wann müssen neue Anmeldedaten für den AD-Synchronisierungsdienst generiert werden?

    A: Die Standard-Anmeldeinformationen sind nur gültig, wenn der AD-Synchronisierungsdienst mit dem Appterix-Installationsassistenten installiert wurde — diese Methode installiert den Dienst auf dem gleichen Server wie Appterix und EM Platform Server und verbindet ihn automatisch mit der Standard-Importquelle unter der Root-Organisation.
    Wenn der AD-Synchronisierungsdienst manuell auf einem separaten Server installiert wurde oder in einer Nicht-Root-Organisation verwendet werden soll, müssen neue Anmeldedaten für die entsprechende Importquelle generiert und der AD-Synchronisierungsdienst neu konfiguriert werden.

    So konfigurieren Sie die Verbindung zwischen EM Platform Server und AD-Synchronisierungsdienst neu

    1. Navigieren Sie zum folgenden Pfad, um das EM AD Sync Service Control Panel zu öffnen:
      C:\Program Files\EgoMind\EMADSyncService\Utils
    2. Führen Sie EMADSyncService.ControlPanel.exe als Administrator aus.
    3. Füllen Sie unter Server Connect die erforderlichen Felder aus:
      • Geben Sie ins Feld Server Url den Servernamen im folgenden Format ein:
        • Für On-Premise-Installationen: https://<ServerURL>/administration
        • Für Benutzer der Cloud-basierten Lösung: https://administration.appterix.eu
    4. Klicken Sie auf Apply (Anwenden), um Änderungen zu speichern.

    F2: Warum schlägt die Synchronisierung fehl oder startet nicht?

    A: Dies liegt meist an Konfigurations- oder Verbindungsproblemen.

    Empfohlene Prüfungen:

    • Überprüfen Sie, ob das Konto-Passwort in der AD-Importkonfiguration korrekt angegeben ist.
      Bitte beachten Sie, dass das Passwort nach einer Änderung in AD auch in der AD-Importkonfiguration entsprechend aktualisiert werden muss.
    • Prüfen Sie, ob der AD-Domänencontroller erreichbar ist und auf Ping-Anfragen antwortet.
    • Stellen Sie sicher, dass keine Firewall-Regeln die Kommunikation zwischen AD Sync Service und Domänencontroller blockieren.
    • Vergewissern Sie sich, dass AD Sync Service mit der vorgesehenen Importquelle in der richtigen Organisation verbunden ist.

    F3: Warum fehlen die Zertifikatvorlagen in der ZS (CA)?

    A: Das Fehlen der Zertifikatvorlagen kann auf Berechtigungsprobleme oder fehlerhafte Konfiguration zurückzuführen sein.

    Empfohlene Überprüfungen:

    1. Stellen Sie sicher, dass der korrekte Name der Zertifizierungsstelle (CA Name) in der AD-Importkonfiguration angegeben ist.
      Beispiel: WinSer2022.demo-egomind.local\demo-egomind-WinSer2022-CA
      Mehr Informationen finden Sie im Abschnitt Wie finde ich den Namen der Zertifizierungsstelle (CA)?.
    2. Stellen Sie sicher, dass die korrekte Server-URL in der AD-Importkonfiguration angegeben ist:
      • Für LDAPS: Geben Sie den vollqualifizierten Domänennamen (FQDN) des Verzeichnisdienstes ein, zu dem Sie eine Verbindung herstellen.
        Beispiel: WIN-FEKLLGO3TDA.demo-egomind.local
      • Für LDAP: Sie können auch die IP-Adresse des Servers verwenden.
    3. Überprüfen Sie das Benutzerkonto (Benutzername) in der AD-Importkonfiguration.
      Beim Konfigurieren des AD-Imports ist es entscheidend, ein Konto mit geeigneten Berechtigungen zu verwenden, um die Zertifikatsausstellung über AD CS zu ermöglichen.
      • Wenn die Verwendung eines Domänenadministrator-Kontos erlaubt ist: Stellen Sie sicher, dass in der AD-Importkonfiguration ein Domänenadministratorkonto im folgenden Format angegeben ist:
        <DomainName>\<AdministratorName>
      • Wenn die Verwendung eines Domänenadministrator-Kontos eingeschränkt ist: Konfigurieren Sie das Tool EM AD Sync Service Control Panel, um Zertifikate mit einem Nicht-Administratorkonto auszustellen.

    Bevor Sie das EM AD Sync Service Control Panel konfigurieren, aktualisieren Sie das Feld Benutzername in der AD-Importkonfiguration, um das Nicht-Administratorkonto einzutragen. Verwenden Sie folgendes Format:
    <DomainName>\<UserName>

    So konfigurieren Sie EM AD Sync Service Control Panel für Nicht-Admin-Benutzer

    1. Navigieren Sie zum folgenden Pfad, um das EM AD Sync Service Control Panel zu öffnen:
      C:\Program Files\EgoMind\EMADSyncService\Utils
    2. Führen Sie EMADSyncService.ControlPanel.exe als Administrator aus.
    3. Füllen Sie unter AD CS Connect die erforderlichen Felder aus:
      1. Geben Sie ins Feld User Name (Benutzername) den Namen eines beliebigen Nicht-Admin-Benutzers im folgenden Format ein:

        Stellen Sie sicher, dass der hier eingegebene Benutzername mit dem in der AD-Importkonfiguration angegebenen Namen übereinstimmt. Achten Sie auf die unterschiedlichen Formate, um Fehlkonfigurationen zu vermeiden:
        • In der AD-Importkonfiguration verwenden Sie das Format:
          <DomainName>\<UserName>
        • Hier geben Sie nur den Benutzernamen ohne Domänenpräfix ein.
      2. Geben Sie ins Feld Domain Name (Domänenname) den Domänennamen ein.
      3. Geben Sie ins Feld CA Name (ZS-Name) den Namen der Zertifizierungsstelle.
        Mehr Informationen finden Sie im Abschnitt Wie finde ich den Namen der Zertifizierungsstelle (CA)?.
    4. Klicken Sie auf Apply (Anwenden), um die Änderungen zu speichern.

    F4: Wie finde ich den Namen der Zertifizierungsstelle (CA)?

    A: Die Angabe des korrekten ZS-Namens ist entscheidend für die erfolgreiche Ausstellung von Zertifikaten.

    Wenn in Ihrer Umgebung nur eine Zertifizierungsstelle verwendet wird, können Sie das Feld für den ZS-Namen (CA Name) leer lassen — das System erkennt sie automatisch.

    So finden Sie den ZS-Namen:

    1. Öffnen Sie die Eingabeaufforderung als Administrator auf dem ZS-Server.
    2. Führen Sie folgenden Befehl aus:
      certutil -dump
    3. Suchen Sie nach dem Feld, das mit Config beginnt. Das zeigt den ZS-Namen im erforderlichen Format an.
      Beispiel: Config: WinSer2022.demo-egomind.local\demo-egomind-WinSer2022-CA

    F5: Wo finde ich die Protokolle des AD-Synchronisierungsdienstes?

    A: Bei Problemen während der Einrichtung oder Synchronisierung können Sie die Protokolle des AD-Synchronisierungsdienst zur Fehlerdiagnose einsehen.

    Standard-Speicherort der Protokolle:

    C:\Program Files\EgoMind\EMADSyncService\Logs

    Falls erforderlich, senden Sie die relevanten Protokolldateien zur weiteren Fehleranalyse und Unterstützung an das Support-Team.

    Bei der Kontaktaufnahme mit dem Support:

    • Hängen Sie relevante Protokolldateien an
    • Fügen Sie genaue Fehlermeldungen bei
    • Beschreiben Sie die Schritte, die zum Problem geführt haben
    Veröffentlicht
    Aktualisiert
    VonEgoMind