LDAP-Anbieter konfigurieren
Konfigurieren des LDAP-Anbieters mit benutzerdefiniertem Attribut zur Identifizierung von Benutzern im Zielsystem
Standardmäßig enthält das Quellkonto im Active Directory beim Verwenden des LDAP-Synchronisierungsanbieters im im Namenszuordnungsattribut angegebenen Attribut den Distinguished Name des entsprechenden Kontos im Zielsystem.
Es kann jedoch andere Szenarien geben, bei denen beispielsweise ein bekanntes Attribut aus dem Quellsystem eine andere Kontokennung als den Distinguished Name enthält. In diesen Fällen kann stattdessen eine Suche durchgeführt werden, um passende Konten zu finden.
Das folgende Verfahren beschreibt ein Beispiel für eine solche Konfiguration.
Beispielszenario
Angenommen, das Attribut „employeeID“ im Active Directory für das Quellsystem enthält die Sozialversicherungsnummer der Benutzer. Angenommen, das Attribut „department“ im Verzeichnis (z. B. Active Directory oder OpenLDAP) enthält ebenfalls die Sozialversicherungsnummer der Benutzer.
Warnung
Es ist von entscheidender Bedeutung, dass die in den „Name mapping settings“ für das Quellsystem und das „Target Search Identifier Attribute“ für das Zielsystem konfigurierten Attribute nicht von Benutzern beschreibbar sind. Dies würde die Sicherheit gefährden und möglicherweise das Zurücksetzen des Passworts eines anderen Benutzers ermöglichen und Zugriff auf dieses Konto gewähren.
- Konfigurieren Sie die „Name mapping settings“ im Sync Point, um ein benutzerdefiniertes Attribut zu verwenden, und geben Sie employeeID ein.
- Konfigurieren Sie das „Target Search Identifier Attribute“ für den Ldap-Anbieter auf department.
- Konfigurieren Sie die Orte im Zielverzeichnis, an denen Benutzer gefunden werden können. Es wird empfohlen, nicht das gesamte Verzeichnis zu durchsuchen, sondern nur den/die Ort(e), an dem/denen die Benutzer gefunden werden können. Wenn möglich, schließen Sie keine hohen Pfade ein, in denen sich Konten mit hohen Berechtigungen befinden. Dies sollte ein gültiger LDAP-Pfad oder mehrere LDAP-Pfade sein, die mit Semikolon (;) getrennt sind. Zum Beispiel: LDAP://CN=users,DC=acme,DC=org oder LDAP://CN=Sales,CN=users,DC=acme,DC=org; LDAP://CN=Finance,CN=users,DC=acme,DC=org
Siehe auch den Abschnitt LDAP Provider auf dieser Seite.