07a. Synctool LDAP bronnen

Inleiding

Gebruik een LDAP-bron om Zivver-accounts te beheren op basis van Microsoft Active Directory (AD)

De synchronisatie is altijd eenrichtingsverkeer: van AD naar Zivver toe en niet andersom. Je kunt bepalen welke accounts worden gesynchroniseerd van AD naar Zivver m.b.v. filters. Filter bijvoorbeeld op een AD Organizational Unit (OU) of een Security Group (SG).

We raden het af om Zivver-accounts te beheren op basis van (suspended) AD Users, welke een Exchange Shared Mailbox representeren. Bekijk SyncTool Exchange bronnen om te lezen hoe je functionele Zivver-accounts synchroniseert op basis van Exchange Shared Mailboxes.

Source Details

  1. Voer een Bronnaam in.
    Bijvoorbeeld “Microsoft Active Directory” of de naam van de Active Directory forest.
  2. Voer een Bronbeschrijving in.
    Bijvoorbeeld de naam van de beheerder die deze LDAP-bron heeft geconfigureerd.
  3. Selecteer Default phone number region.
    Dit stelt de Synctool in staat om mobiele telefoonnummers met een landcode gemakkelijk te herkennen.

Connection

De volgende instellingen laten de Synctool verbinding maken met een AD-server.

  • Hostname
    Dit is de hostnaam van de domeincontroller, bijvoorbeeld ad.example.org of het IP-adres van die server. Dit is een verplicht veld.
  • Port
    Deze poort wordt gebruikt voor een LDAP-verbinding. Vul 636 in en vink Use implicit TLS aan. Dit is een verplicht veld.
  • Autorized user
    Vul de gebruikersnaam in van het Service Account met alleen-lezen rechten in Active Directory, zoals staat vermeld in de Synctool-vereisten. Meestal moet dit samen met de domeinnaam worden opgegeven - bijvoorbeeld bedrijf\naam_service_account. Dit is een verplicht veld.
  • Password
    Voer het wachtwoord in voor het Service Account. Dit is een verplicht veld.
  • Base DN
    Vul vanuit uw Active Directory de zogenaamde distinguished name in van de organisatorische eenheid waar alle gebruikers in staan. Dit is een verplicht veld.

    Kies een Base DN hoog in uw AD forest
    Gebruikers die zich niet in de OU bevinden die bij Base DN is ingevoerd, worden niet gesynchroniseerd naar Zivver. Het maakt daarbij niet uit of er een filter wordt toegepast. Let op: bestaande Zivver-accounts worden geschorst of verwijderd als ze niet onder de OU vallen die bij Base DN is ingevoerd.
    1. Open Active Directory Users and Computers.
    2. Klik met de rechtermuisknop op de Active Directory Organisatorische Eenheid die al uw gebruikers bevat (d.w.z. de bovenliggende OU).
    3. Selecteer Attribute Editor.
      In de Attribute Editor zou u de distinguished name moeten kunnen vinden.
    4. Kopieer deze distinguished name
    5. Plak in de Synctool de distinguised name bij Base DN.
Worden niet alle gebruikers uit AD opgehaald?
Overweeg om een Base DN hoger in de AD forest te kiezen, zoals DC=bedrijf,DC=org. Maak je geen zorgen over dat er dan teveel gebruikers worden gevonden. Deze kan je eruit filteren.
  • Paging
    Verhoog de paging naar een waarde hoger dan 1.000 als er meer dan 1.000 gebruikers worden gevonden.

    Worden nog steeds niet alle gebruikers gevonden?
    Een AD query zonder paging toont maximaal de eerste 1.000 gebruikers. Verhoog paging geleidelijk met stappen van 1.000 als je niet alle verwachte gebruikers krijgt. Je kunt het nummer verhogen tot 100.000.
    Lees meer over paging in AD.
  • LDAP query
    Het is mogelijk om een LDAP-query te gebruiken om gebruikers uit AD op te halen.
    Voor meer informatie bezoek de Microsoft Wiki-pagina voor LDAP-filters.

  • Test Connection
    Klik op Test Connection om te controleren of de Synctool een LDAP-verbinding kan opzetten op basis van de opgegeven configuratie.
    Als de connection is refused dan kan de Synctool niet verbinden vanaf de Synctool-server naar de gewenste AD-server via LDAP met de opgegeven referenties. Veelvoorkomende oorzaken hiervan zijn:

    • De hostnaam is onjuist.
      Het IP-adres is ook toegestaan in plaats van de FQDN-hostnaam.
    • De ingevoerde poort wordt geblokkeerd door een firewall.
      Probeer zowel poort 636 met Use implicit TLS ingeschakeld, als 389 met Use implicit TLS uitgeschakeld.
    • De geautoriseerde gebruiker heeft geen leesrechten op Active Directory.
    • De geautoriseerde gebruiker heeft wel of niet het domein nodig voorafgaand aan de accountnaam.
      Probeer bedrijf\naam_service_account, evenals naam_service_account.
    • Het wachtwoord is onjuist ingevoerd.
      Probeer het wachtwoord opnieuw in te voeren.

Users

User Field Mapping (LDAP) koppelt Active Directory-gebruikersattributen aan Zivver-gebruikersattributen, zodat persoonlijke Zivver-accounts automatisch worden aangemaakt op basis van gegevens uit Active Directory.

Voor elk Zivver-attribuut (vetgedrukt) in de Synctool kun je een Active Directory-attribuut selecteren uit het keuzemenu.

Gebruik de standaard Microsoft AD-attributen
Je kunt de standaard AD-attributen gebruiken door op Use MS AD Defaults te klikken om snel de standaard AD-attributen in te vullen.

Internal Id

  • Standaard AD-attribuut: objectGUID

Zivver gebruikt de Internal Id om gebruikers te identificeren. De objectGUID van Microsoft AD is een betrouwbare identifier omdat deze eigenschap nooit verandert, zelfs niet als de gebruiker wordt hernoemd of verplaatst binnen AD. Het gebruik van de Internal Id maakt het mogelijk om automatisch het e-mailadres van de gebruiker in Zivver te wijzigen, wanneer dit wordt gewijzigd in Exchange.

Bekijk Account Mapping voor meer informatie over de Internal Id.

Email

  • Standaard AD-attribuut: proxyAddresses

Zivver-accounts hebben een e-mailadres als gebruikersnaam. proxyAddresses haalt het primaire e-mailadres (SMTP-adres) op uit het AD-attribuut proxyAddresses.

Als je geen aliassen naar Zivver wilt synchroniseren of je organisatie gebruikt geen aliassen, dan kan je ook het AD-attribuut mail kiezen. Klik hiervoor op het keuzemenu en selecteer een alternatief AD-attribuut.

Full name

  • Standaard AD-attribuut: name

De naam van een gebruiker. Deze naam wordt weergegeven in het Zivver-notificatiebericht aan de ontvangers. We raden daarom aan om een attribuut te selecteren waarin de voornaam en achternaam staat. Andere veelgebruikte AD-attributen hiervoor zijn displayName, userPrincipalName, givenName. Gebruik deze alternatieven als het attribuut name niet de volledige naam van een gebruiker geeft.

ZivverAccountKey

  • Standaard AD-attribuut: objectGUID

Het wordt aanbevolen om een AD-attribuut met een lange, willekeurige, unieke identifier als waarde voor de ZivverAccountKey te kiezen. Als er geen lange, willekeurige, unieke identifier beschikbaar is voor alle gebruikers in AD, gebruik dan het AD-attribuut objectGUID.

Mobile phone

  • Standaard AD-attribuut: mobile

Mobiele telefoonnummers worden gebruikt om automatisch 2FA via SMS te configureren voor gebruikers die een mobiele telefoon in AD hebben. Synchroniseer geen vaste telefoonnummers omdat hier vaak geen SMS-code op kan worden ontvanger. Dit betekent dat de gebruiker dan niet kan inloggen wanneer Zivver om een tweede factor vraagt.

Is active

  • Standaard AD-attribuut: userAccountControl

De waarde in userAccountControl bepaalt of een Zivver-account wordt aangemaakt, geschorst of verwijderd. Als een AD-gebruiker actief is, een e-mailadres, een naam en een ZivverAccountKey heeft, dan wordt er een Zivver-account aangemaakt. Uiteraard tenzij er al een Zivver-account voor dat e-mailadres bestaat. Het is niet aan te raden om userAccountControl te veranderen naar een ander AD-attribuut.

Delegates

  • Standaard AD-attribuut: MsExchDelegateListLink

Gedelegeerden krijgen volledige toegang tot een persoonlijk Zivver-account. Full Access rights in Exchange worden automatisch gesynchroniseerd naar het MsExchDelegateListLink-attribuut in AD.

Delegaties werken niet in een hybride Exchange-omgeving
Auto-mapping werkt niet zoals verwacht in Office 365-hybride omgevingen. Dit Microsoft-artikel legt uit dat auto-mapping naar MsExchDelegateListLink niet werkt, wanneer je organisatie Active Directory on-premise gebruikt samen met Exchange Online (Office 365 Hybrid). Gebruik in dat geval Exchange als bron

Aliases

  • Standaard AD-attribuut: proxyAddresses(smtp)

Haal alle SMTP-adressen op uit het AD-attribuut proxyAddresses. Andere adressen, zoals SIP-adressen en X500-adressen worden genegeerd.

Zorg ervoor dat alle domeinen die in de SMTP-adressen staan, wordt gefilterd middels een domeinfilter of wordt beheerder door jouw Zivver-organisatie.

Groups

Group Field Mapping (LDAP) synchroniseert suspended Active Directory-gebruikersaccounts welke een Exchange Shared Mailbox representeren, met functionele Zivver-accounts.

Group Field Mapping (LDAP) wordt niet aanbevolen
Deze functie is een verouderde functie en Zivver raadt af deze functionaliteit te gebruiken. Gebruik in de plaats daarvan Exchange als bron om Shared Mailboxes naar Zivver te synchroniseren.

Schakel Get Active Directory groups from LDAP in om mail enabled Security Groups vanuit Active Directory te synchroniseren naar functionele Zivver-accounts.

Schakel zowel Get Active Directory groups from LDAP als Get users with members as groups in om geschorste Active Directory-objecten naar Zivver te synchroniseren als functionele Zivver-accounts.

Get users with members as groups
Als je deze functie inschakelt, dan kun je geen AD-objecten die zijn gekoppeld aan User Mailboxen ophalen uit deze bron. Voeg een andere LDAP-bron toe om AD-objecten die User Mailboxen representeren te synchroniseren.

Internal Id

  • Standaard AD-attribuut: objectGUID

Zivver gebruikt de Internal ID om objecten te identificeren. De objectGUID van Microsoft AD is een betrouwbare identifier omdat dit attribuut van een object nooit verandert. Zelfs niet als het object wordt hernoemd of verplaatst. Het gebruik van de Internal ID maakt het mogelijk om automatisch het e-mailadres in Zivver te wijzigen wanneer dit wordt gewijzigd in Exchange.

Bekijk Account Mapping voor meer informatie over de Internal ID.

E-mail

  • Standaard AD-attribuut: proxyAddresses

Zivver-accounts gebruiken een e-mailadres als gebruikersnaam . proxyAddresses haalt het primaire e-mailadres (SMTP-adres) op uit het AD-attribuut proxyAddresses.

Als je geen aliassen naar Zivver wilt synchroniseren of je organisatie gebruikt geen aliassen, dan kan je ook het AD-attribuut mail kiezen. Klik hiervoor op het keuzemenu en selecteer een alternatief AD-attribuut.

Full name

  • Standaard AD-attribuut: name

De naam van een account. Deze naam wordt weergegeven in het Zivver-notificatiebericht aan de ontvangers. We raden daarom aan om een attribuut te selecteren waarin de naam van het gedeelde account staat. Andere veelgebruikte AD-attributen hiervoor zijn displayName, userPrincipalName, givenName. Gebruik deze alternatieven als het attribuut name niet de juiste naam bevat.

Is active

  • Standaard AD-attribuut: UserAccountControl

Dit veld moet altijd leeg worden gelaten. Als er userAccountControl staat, verwijder dit dan en zorg ervoor dat het veld leeg is.

Aliases

  • Standaard AD-attribuut: proxyAddresses

Haal alle SMTP-adressen op uit het AD-attribuut proxyAddresses. Andere adressen, zoals SIP-adressen en X500-adressen, worden genegeerd.

Zorg ervoor dat alle domeinen die in de SMTP-adressen staan, wordt gefilterd middels een domeinfilter of wordt beheerder door jouw Zivver-organisatie.

Mapping of the group members

User is member of group

  • Standaard AD-attribuut: memberOf

Haal de leden van mail-enabled Security Groups op uit het memberOf-attribuut.

Group has members

  • Standaard AD-attribuut: MsExchDelegateListLink

Groepsleden krijgen volledige toegang tot een functioneel Zivver-account. Full Access rights in Exchange worden automatisch gesynchroniseerd naar het MsExchDelegateListLink-attribuut in AD.

Als gebruikers zelf toegang tot een mailbox mogen delegeren via Outlook, dan kun je ook het AD-attribuut publicDelegates gebruiken.

Delegaties zullen niet werken in een hybride Exchange-omgeving
Auto-mapping werkt niet zoals verwacht in Office 365-hybride omgevingen. Dit Microsoft-artikel legt uit dat auto-mapping naar MsExchDelegateListLink niet werkt wanneer je organisatie Active Directory on-premise gebruikt samen met Exchange Online (Office 365 Hybrid). Gebruik in dat geval Exchange als bron

Find group members recursively

Deze functie werkt alleen als je mail-enabled Security Groups synchroniseert die andere Security Groups in het memberOf-veld hebben.

Organizational Units

De optie Organizational Units Mapping koppelt gebruikers en groepen van je LDAP-bron aan organisatorische eenheden (Organization Units) in Zivver.

Als je organisatie geen organisatorische eenheden in Zivver gebruikt, zorg er dan voor dat de optie None or Excel is geselecteerd.

Hoe kom ik erachter of mijn organisatie organisatorische eenheden in Zivver gebruikt?
Als je organisatie organisatorische eenheden (Organizational Units) in Zivver gebruikt, dan heb je toegang tot het tabblad Organisatie-eenheden in Zivver. Als je geen toegang hebt, dan gebruikt je organisatie geen organisatorische eenheden in Zivver.

Als je organisatie organisatorische eenheden in Zivver gebruikt, selecteer dan een optie op basis van je configuratie van OUs in het Zivver-beheerpaneel.

Hoe kom ik erachter of Domain of Custom OU Identifier moet worden gebruikt?
Controleer de Identifier van de Organisatorische Eenheid door naar het tabblad Organisatie-eenheden in Zivver te gaan. Klik op een van de aanwezige OU’s en vervolgens op edit . De Identifier wordt nu getoond.

Source Filter

Object Filter (LDAP) stelt je in staat om gebruikers te filteren op basis van een opgegeven Active Directory-attribuutwaarde.

  1. Vink Enable LDAP Source filtering aan.
  2. Kies een AD-attribuut uit de keuzelijst bij Filter variable.
  3. Voer de filterwaarde(n) in bij Filter text.
    Als je meer dan één filterwaarde wilt invoeren, voeg dan elke waarde op een aparte regel toe.
  4. Kies tussen een positieve filter (include) of negatieve filter (exclude).
    Je kunt niet tegelijk een positief en negatief filter instellen in hetzelfde filter.

Bekijk de resultaten bij Data Preview.

Voorbeeld: filteren op OU

  1. Vink Enable LDAP Source filtering aan.
  2. Kies distinguishedName uit de keuzelijst bij Filter variable.
  3. Voer de distinguishedName van de organisatorische eenheid gescheiden door een regeleinde in bij Filter text.
    Bijvoorbeeld als je op twee OUs wilt filteren:
    OU=Voorbeeld,OU=Gebruikers,DC=bedrijf,DC=org
    OU=EenAnderVoorbeeld,OU=Gebruikers,DC=bedrijf,DC=org
  4. Kies tussen het opnemen of uitsluiten van de resultaten van je filter in de resultaten.
    Je hebt een LDAP-filter geconfigureerd.

Voorbeeld: filteren op Security Group

  1. Vink Enable LDAP Source filtering aan.
  2. Kies MemberOf uit de keuzelijst bij Filter variable.
  3. Voer de commonName van de Security Group gescheiden door een regeleinde in bij Filter text.
    Bijvoorbeeld als je op twee Security Groups wilt filteren:
    Zivver-security-group1
    Zivver-security-group2
  4. Kies tussen het opnemen of uitsluiten van de resultaten van je filter in de resultaten.
    Je hebt een LDAP-filter geconfigureerd.

Merge Settings

Gebruik Source Merge Settings om aan te geven wat de Synctool moet doen als verschillende bronnen (bijv. een LDAP-bron en een Excel-bron) identieke objecten bevatten.

Als dit de eerste bron is in het Bronoverzicht, dan zijn er geen instellingen beschikbaar mochten er identieke objecten in verschillende bronnen worden gevonden.

  • Overwrite
    Het object in de huidige bron overschrijft duplicaten afkomstig uit eerdere bronnen.
  • Ignore
    Het object in de huidige bron wordt overschreven door duplicaten afkomstig uit eerdere bronnen.
  • Update fields
    Update de velden van de eerdere bronnen met de waarden van de huidig bron die niet leeg zijn.
  • Conflict
    Vraag aan de beheerder wat er gedaan moet worden met duplicaten, voordat de synchronisatie wordt uitgevoerd.

Data Preview

Source Data Preview (LDAP) stelt je in staat om alle persoonlijk en functionele Zivver-accounts te bekijken die in je LDAP-bron zijn gevonden. Houd er rekening mee dat de Synctool alleen accounts kan vinden die zich binnen de geconfigureerde Base DN en Source Filter bevinden.

Klik op Load the data now om een voorbeeld te krijgen van alle persoonlijk en functionele Zivver-accounts die in je LDAP-bron zijn gevonden.

Vervolgstappen

Als het gegevensvoorbeeld is zoals je verwacht, kun je ofwel een andere bron configureren, of doorgaan naar Synchroniseren.