Referenz zur Konfiguration des Sync-Anbieters

Der Sync-Provider ist das System, mit dem Sie Passwörter synchronisieren möchten. Specops Password Sync wird mit einer Reihe von integrierten Providern geliefert. Wenn Sie Ihre eigenen Sync-Provider für die von Ihrer Organisation verwendeten Systeme entwickeln möchten, wenden Sie sich an den Specops-Support.

Unten finden Sie die Konfigurationsspezifikationen für die enthaltenen Provider.

Active Directory Provider

Der Active Directory-Provider wird verwendet, um Passwortänderungen mit einer anderen Active Directory-Domäne zu synchronisieren. Die andere Active Directory-Domäne kann entweder vertrauenswürdig oder nicht vertrauenswürdig sein.

Hinweis

Bei der Durchführung einer Active Directory zu Active Directory-Synchronisierung beachten Sie bitte die AD zu AD-Synchronisierungsseite, um festzustellen, welcher Sync-Provider am besten geeignet ist.

Voraussetzungen

Admin-Konto in der entfernten Domäne.
Offene Netzwerkkommunikation zwischen dem Sync-Server und dem Ziel-Domänencontroller. Dies bedeutet typischerweise, dass die folgenden zwei Ports geöffnet sein müssen:
- tcp/389 (LDAP)
- tcp/445 (SMB)

Parameter

Parameter	Beschreibung
Domänen- oder Domänencontroller-Name	Der FQDN der entfernten Active Directory-Domäne oder eines Domänencontrollers darin.
Benutzer entsperren, wenn gesperrt	Entsperrt automatisch gesperrte Benutzerkonten, wenn das Passwort synchronisiert wird. 1: Gesperrte Konten entsperren (Standardwert). 0: Gesperrte Konten nicht entsperren.
Admin-Benutzername	Der Name des Admin-Kontos, das zum Zurücksetzen von Passwörtern in der entfernten Domäne verwendet wird. Beispiel: Beispiel\Administrator
Provider-Passwort	Das Passwort des Admin-Kontos.

Windows LDAP Sync Provider

Der Windows LDAP Sync Provider wird verwendet, um Passwörter zwischen zwei Active Directories zu synchronisieren.

Hinweis

Bei der Durchführung einer Active Directory zu Active Directory-Synchronisierung beachten Sie bitte die AD zu AD-Synchronisierungsseite, um festzustellen, welcher Sync-Provider am besten geeignet ist.

Weitere Informationen zu diesem Provider finden Sie auf der AD zu AD-Synchronisierungsseite.

Voraussetzungen

Admin-Konto auf dem entfernten System.
Stellen Sie sicher, dass Port 636 geöffnet oder anderweitig konfiguriert ist. Der Standardport für SSL-verschlüsseltes LDAP (LDAPs) ist 636.
Domänencontroller-Zertifikat für LDAP über SSL/TLS (LDAP über SSL/TLS (LDAPS) wird automatisch aktiviert, wenn Sie eine Enterprise Root CA auf einem Domänencontroller installieren).

Parameter

Parameter	Beschreibung
Servername	Der DNS-Name des entfernten LDAP-Servers, auf dem die Passwortsynchronisierung stattfinden wird.
Admin-Benutzername	Benutzername des Admin-Kontos im LDAP-System. Der Benutzername sollte im Format 'domain\sAMAccountName' sein.
Provider-Passwort	Das Passwort, das mit dem im Parameter "Admin-Benutzername" angegebenen Admin-Konto verknüpft ist.
Portnummer (optional)	Der Netzwerkport, der für die Kommunikation mit dem entfernten LDAP-Server verwendet wird. Standardport: 636
Ziel-Suchkennzeichen-Attribut (optional)	Gibt das Attribut an, das verwendet wird, um Benutzerkonten im Zielsystem eindeutig zu identifizieren. Dieses Attribut muss einen eindeutigen Bezeichner enthalten, wie z.B. eine Sozialversicherungsnummer oder eine Mitarbeiter-ID.
Ziel-Suchwurzeln (optional)	Definiert die Ausgangspunkte für die Suche nach Benutzerkonten im Zielsystem. Dies sind Distinguished Names (DNs), die angeben, wo die Suche nach Benutzern beginnen soll. Liste der Distinguished Names, die als Suchwurzeln verwendet werden, wenn nach Benutzern im Ziel-AD gesucht wird, indem das im Ziel-Suchkennzeichen-Attribut angegebene Attribut betrachtet wird. Die Wurzeln müssen als gültige LDAP-Pfade angegeben werden, zum Beispiel LDAP://CN=users,DC=acme,DC=org. Wenn mehr als eine Wurzel benötigt wird, müssen sie durch Semikolon (;) getrennt werden. Wird in Verbindung mit dem Ziel-Suchkennzeichen-Attribut verwendet.

Microsoft Entra ID Provider

Der Microsoft Entra ID Provider wird verwendet, um Passwörter zu Microsoft Entra ID zu synchronisieren.

Parameter

Parameter	Beschreibung	Optional
Graph API Version	Version der Microsoft Graph API	Ja
Client-ID	Anwendungs- (Client-) ID	Nein
Tenant-ID	Verzeichnis- (Client-) ID	Nein
Provider-Passwort	Client-Secret-Wert	Nein

Konfigurieren einer App in Microsoft Entra ID

Melden Sie sich bei https://entra.microsoft.com/ an
Klicken Sie auf Microsoft Entra ID. Dies sollte Sie zum Verzeichnis Ihrer Organisation bringen.
Klicken Sie auf App-Registrierungen.
Klicken Sie auf Neue Registrierung.
Geben Sie einen Namen für die App im Feld Name ein.
Wählen Sie mit den Optionsfeldern den unterstützten Kontotyp aus (Einzelmandant oder Mehrmandant)
Klicken Sie auf Registrieren. Im folgenden App-Zusammenfassungsbildschirm notieren (kopieren) Sie im Abschnitt Essentials die Anwendungs- (Client-) ID und die Verzeichnis- (Client-) ID. Diese werden bei der Konfiguration des Sync-Punkts verwendet.
Klicken Sie im linken Navigationsbereich des App-Zusammenfassungsbildschirms auf Zertifikate & Secrets.
Klicken Sie auf Neues Client-Secret. Geben Sie eine Beschreibung ein und legen Sie einen Ablaufzeitraum mit dem Dropdown-Menü Ablauf fest, und klicken Sie dann auf Hinzufügen.
Kopieren und speichern Sie das Secret im Wert-Feld für das Passwort. Dies wird auch für die Konfiguration des Sync-Punkts verwendet.

Hinweis

Beachten Sie, dass dieser Wert im Feld Provider-Passwort in der Sync-Punkt-Konfiguration eingefügt werden muss.
Klicken Sie im linken Navigationsbereich des Microsoft Entra ID Admin Centers (ganz links) auf Microsoft Entra ID und dann auf Rollen und Administratoren.
Klicken Sie in der Liste auf eine Rolle, die ausreichend ist, um Passwörter zurückzusetzen.

Hinweis

Für einen Überblick über Rollen und deren Berechtigungen gehen Sie bitte zu Arbeiten mit Benutzern in Microsoft Graph. Beachten Sie, dass die mindestens erforderliche Rolle zum Zurücksetzen von Passwörtern die Rolle Passwort-Administrator ist.
Klicken Sie oben auf Zuweisungen hinzufügen. Die Zuweisungen hinzufügen-Seitenleiste wird rechts geöffnet.
Geben Sie im Suchfeld den registrierten App-Namen ein, klicken Sie auf die App in der Suchergebnisliste und klicken Sie dann unten auf Hinzufügen.

Nächste Schritte

Nachdem Sie die Anwendungs- (Client-) ID, die Verzeichnis- (Client-) ID und den Wert für das Secret notiert und gespeichert haben, erstellen Sie einen neuen Sync-Punkt mit dem Microsoft Entra ID Provider. Weitere Informationen zur Erstellung von Sync-Punkten finden Sie auf der Verwaltungsseite.

Domino Provider (Notes Client)

Der Domino-Provider wird verwendet, um Passwörter mit dem Domain-Internet-Passwort zu synchronisieren.

Voraussetzungen

Notes-Client-Version 5.0.2b oder höher auf dem Sync-Server installiert.
Admin-Anmeldedaten im Notes-Client vorhanden.
Offene Netzwerkkommunikation vom Specops Password Sync Server zum Domino-Server.

Parameter

Parameter	Beschreibung
Adresse zum Domino-Server	Der FQDN des Domino-Servers.
Benutzerdatenbank	Die Datenbank, die die Benutzer enthält. Standardwert: names.nsf
Datenbankansicht	Die Ansicht in der Datenbank, die die Benutzer enthält. Standardwert: ($VIMPeople)
Namensspalte	Der Name der Spalte in der Ansicht, die die Benutzer enthält. Standardwert: Name

E-Mail-Benachrichtigungsprovider

Der E-Mail-Benachrichtigungsprovider wird verwendet, um eine angepasste E-Mail zu senden, wenn das Passwort eines Benutzers geändert wird. Dies kann für eine Vielzahl von Zwecken verwendet werden, einer davon ist, dass eine SMS an das mobile Gerät des Benutzers gesendet wird, um ihn daran zu erinnern, dass er sein Active Sync-Passwort auf dem Gerät ändern sollte, um es an das neue Active Directory-Passwort anzupassen.

Voraussetzungen

Ein E-Mail-Server muss verfügbar sein, um E-Mails vom Dienstkonto zu senden, das auf dem Sync-Server verwendet wird.

Parameter

Parameter	Beschreibung
SMTP-Servername	Der FQDN des SMTP-Servers, der beim Senden von E-Mails verwendet wird.
Port	Die Portnummer auf dem SMTP-Server. Standardwert: 25
Von	Die E-Mail-Adresse, von der die E-Mail gesendet werden soll. Unterstützt Platzhalter.
An	Die E-Mail-Adresse, an die die E-Mail gesendet werden soll. Unterstützt Platzhalter.
Betreff	Der Betreff der E-Mail. Unterstützt Platzhalter.
Body	Der Textkörper der E-Mail. Unterstützt Platzhalter.

Platzhalter

Die E-Mail-Felder im E-Mail-Benachrichtigungsprovider unterstützen auch die Verwendung von Platzhaltern, um den E-Mail-Inhalt anzupassen. Die Platzhalter können bei Bedarf mehrfach im selben Feld verwendet werden.

Platzhalter	Beschreibung
%User.%	Ruft Werte aus Attributen des Benutzerobjekts des Benutzers ab, der die Passwortänderung ausgelöst hat.
%Password%	Wird verwendet, um das neue Passwort in die vom Provider gesendete E-Mail aufzunehmen. Hinweis: Sie sollten diesen Platzhalter nur verwenden, nachdem Sie überprüft haben, dass die resultierende Aktion mit der Informationssicherheitspolitik Ihrer Organisation kompatibel ist.

Google Apps Provider

Der Google Apps Provider wird verwendet, um Passwörter mit Google Apps zu synchronisieren.

Voraussetzungen

Zugriff auf Google Workspace
Internetzugang auf dem Specops Password Sync Server.

Sie müssen die folgenden Aufgaben als Teil der Voraussetzungen abschließen:

Erstellen eines Google Apps-Dienstkontos

Gehen Sie zu console.cloud.google.com
Wählen Sie Ihre Organisation (oberes Menü) und erstellen Sie ein neues Projekt in Ihrer Organisation
Geben Sie dem Projekt einen Namen, überprüfen Sie, ob die Organisation korrekt eingestellt ist, und klicken Sie dann auf Erstellen
Gehen Sie zu dem gerade erstellten Projekt, indem Sie auf den Link Sie arbeiten in klicken und das gerade erstellte Projekt auswählen
Gehen Sie im Hamburger-Menü auf der linken Seite zu API & Dienste und dann zu Anmeldedaten in der linken Navigation
Klicken Sie auf Anmeldedaten erstellen und wählen Sie Dienstkonto
Geben Sie dem Dienstkonto einen Namen und eine Beschreibung und klicken Sie dann auf Erstellen & Fortfahren
Klicken Sie auf Fertig
Wählen Sie im Abschnitt Dienstkonto das Dienstkonto aus
Notieren oder speichern Sie die Eindeutige ID für das Dienstkonto
Klicken Sie auf Erweiterte Einstellungen
Klicken Sie unten auf der Seite auf OAuth-Zustimmungsbildschirm konfigurieren
Wählen Sie das Optionsfeld Intern unter Benutzertyp
Klicken Sie auf Erstellen
Geben Sie eine Benutzer-Support-E-Mail-Adresse und eine Entwickler-E-Mail-Adresse ein
Klicken Sie auf Speichern und fortfahren
Klicken Sie in Bereiche auf Bereiche hinzufügen oder entfernen
Fügen Sie im Textfeld Bereiche manuell hinzufügen die folgenden Bereiche hinzu:
- https://www.googleapis.com/auth/admin.directory.user
- https://www.googleapis.com/auth/admin.directory.user.readonly
Klicken Sie auf Zur Tabelle hinzufügen und dann auf Aktualisieren
Klicken Sie auf Speichern und fortfahren, gehen Sie dann zurück zu Anmeldedaten und wählen Sie das Dienstkonto aus
Wählen Sie Schlüssel und klicken Sie auf das Dropdown-Menü Schlüssel hinzufügen und wählen Sie Neuen Schlüssel erstellen
Wählen Sie das Optionsfeld P12 und klicken Sie dann auf Erstellen
Notieren Sie im Bestätigungsfenster das Passwort für den privaten Schlüssel. Ihr Zertifikat sollte automatisch heruntergeladen werden.
Klicken Sie auf Schließen
Gehen Sie in der linken Navigation zu API & Dienste
Wählen Sie Aktivierte API & Dienste
Suchen Sie im Suchfeld nach Admin SDK API
Klicken Sie in den Suchergebnissen auf Admin SDK API und klicken Sie auf Aktivieren
Gehen Sie zu Anmeldedaten in der linken Navigation und greifen Sie auf die Registerkarte Berechtigungen zu. Stellen Sie sicher, dass die Schaltfläche Zugriff gewähren verfügbar ist

Delegieren des Dienstkontos

Gehen Sie zu admin.google.com
Wählen Sie in der linken Navigation Sicherheit, dann Zugriffs- und Datenkontrolle und dann API-Steuerungen
Stellen Sie sicher, dass das Kontrollkästchen Vertrauenswürdige interne domänenbesitzende Apps aktiviert ist
Klicken Sie auf Drittanbieter-App-Zugriff verwalten
Klicken Sie auf das Dropdown-Menü App hinzufügen und wählen Sie Oath-App oder Client-ID
Geben Sie im Suchfeld die Eindeutige ID für Ihr Dienstkonto ein (gespeichert in Schritt 10 oben) und klicken Sie dann auf Suchen
Klicken Sie auf Auswählen für Ihr Dienstkonto
Aktivieren Sie die Kontrollkästchen für die Client-ID
Klicken Sie auf Auswählen
Wählen Sie unter App-Zugriff Vertrauenswürdig Kann auf alle Google-Dienste zugreifen
Klicken Sie auf Konfigurieren
Gehen Sie in der linken Navigation zu API-Steuerungen
Klicken Sie auf Domainweite Delegierung verwalten
Klicken Sie auf Neu hinzufügen
Geben Sie im Feld Client-ID die Eindeutige ID für Ihr Dienstkonto ein
Fügen Sie im Feld OAuth die folgenden Einträge hinzu, getrennt durch ein Komma:
- https://www.googleapis.com/auth/admin.directory.user
- https://www.googleapis.com/auth/admin.directory.user.readonly
Klicken Sie auf Autorisieren

Importieren des Zertifikats auf allen Sync-Servern, die den Google App Sync-Punkt ausführen

Führen Sie MMC.exe aus.
Wählen Sie Datei und klicken Sie auf Snap-In hinzufügen/entfernen…
Wählen Sie Zertifikate aus den verfügbaren Snap-Ins und klicken Sie auf Hinzufügen.
Wählen Sie im Dialogfeld Zertifikate-Snap-In Computerkonto und klicken Sie auf
Stellen Sie sicher, dass Lokaler Computer ausgewählt ist, und klicken Sie auf Fertig stellen.
Erweitern Sie im linken Bereich des Fensters Konsolenstamm Zertifikate.
Klicken Sie mit der rechten Maustaste auf Persönlich, wählen Sie Alle Aufgaben und klicken Sie auf Importieren.
Befolgen Sie die Anweisungen auf dem Bildschirm im Zertifikatimport-Assistenten und klicken Sie auf Fertig stellen, wenn Sie fertig sind.
- Hinweis: Stellen Sie in den Importoptionen sicher, dass das Kontrollkästchen Diesen Schlüssel als exportierbar markieren aktiviert ist.
Erweitern Sie im linken Bereich des Fensters Konsolenstamm Zertifikate.
Erweitern Sie Persönlich und klicken Sie auf Zertifikate.
Suchen Sie in der Liste der Zertifikate das neu erstellte Zertifikat und doppelklicken Sie darauf.
Klicken Sie im Dialogfeld Zertifikat auf Details
Scrollen Sie durch die Liste der Felder und klicken Sie auf Fingerabdruck.
Kopieren Sie die hexadezimalen Zeichen aus dem Feld.

Konfigurieren des Sync-Punkts

Öffnen Sie die Specops Password Sync-Verwaltungstools.
Klicken Sie auf Sync-Punkte.
Wählen Sie den Google App-Provider aus und klicken Sie auf Bearbeiten.

Hinweis

Der Google App-Provider wird nur angezeigt, wenn der Sync-Punkt bereits existiert.
Klicken Sie auf Provider auswählen und konfigurieren.
Konfigurieren Sie die folgenden Parameter und klicken Sie auf OK.

Parameter	Beschreibung
Administrator-Konto-E-Mail	Das Anmeldekonto, das verwendet wird, um die Passwortänderung in Ihrer Google Apps-Domäne durchzuführen.
Zertifikats-Fingerabdruck	Zertifikats-Fingerabdruck für das von Google generierte Zertifikat.
Dienstkonto-E-Mail-Adresse	Die E-Mail-Adresse des Google Apps-Dienstkontos, die auf @developer.gservice.com endet

IBM Connections

Der IBM Connections-Provider wird verwendet, um Passwörter mit IBM Connections zu synchronisieren.

Voraussetzungen

IBM Connections-Konto mit Administrator- oder Admin-Assistent-Rollen.

Parameter

Parameter	Beschreibung
Verwaltungskonto	Die E-Mail-Adresse, die mit dem IBM Connections-Konto verknüpft ist.
URL	Die URL zur IBM Connections API. z.B.: `https://apps.na.collabserv.com/api/bss`
Provider-Passwort	Das Passwort, das mit dem Verwaltungskonto verknüpft ist
Passwort wiederholen	Das Passwort, das mit dem Verwaltungskonto verknüpft ist

Kerberos Provider

Der Kerberos-Provider wird verwendet, um Passwörter mit Kerberos-basierten Systemen zu synchronisieren.

Hinweis

Bei der Durchführung einer Active Directory zu Active Directory-Synchronisierung beachten Sie bitte die AD zu AD-Synchronisierungsseite, um festzustellen, welcher Sync-Provider am besten geeignet ist.

Voraussetzungen

Admin-Konto mit Berechtigungen zum Zurücksetzen von Passwörtern im Kerberos-Realm der Zielbenutzer.
Offene Netzwerkkommunikation vom Specops Password Sync Server zum Kerberos-Server.

Parameter

Parameter	Beschreibung
Ziel-Realm	Der Kerberos-Realm, in dem das Zielkonto existiert.
KDC-Adresse	Die Adresse des Kerberos-KDC, der kontaktiert werden soll. Dieses Feld ist optional.
Admin-Realm	Der Kerberos-Realm, in dem das Administratorkonto existiert.
Admin-Benutzername	Der Benutzername des Admin-Kontos.
Provider-Passwort	Das Passwort des Admin-Kontos.

LDAP Provider

Der LDAP-Provider wird verwendet, um Passwörter mit entfernten LDAP-Systemen wie OpenLdap oder Microsoft Active Directory Lightweight Services (AD LDS) zu synchronisieren. Wenn der Zielserver ein vollständiges Microsoft Active Directory ist, sollte der Active Directory-Provider verwendet werden.

Dies liegt daran, dass der vollständige Active Directory-Provider mehrere Domänencontroller unterstützt und auch das Entsperren von Konten unterstützt, wenn sie in der entfernten Domäne gesperrt sind. Es ist auch vollständig verschlüsselt.

Hinweis

Bei der Durchführung einer Active Directory zu Active Directory-Synchronisierung beachten Sie bitte die AD zu AD-Synchronisierungsseite, um festzustellen, welcher Sync-Provider am besten geeignet ist.

Voraussetzungen

Admin-Konto im entfernten System.
Offene Netzwerkkommunikation zwischen dem Sync-Server und dem entfernten Server. Dies bedeutet typischerweise, dass einer der folgenden zwei Ports geöffnet sein muss:
- tcp/389 (nicht SSL-verschlüsseltes LDAP)
- tcp/636 (SSL-verschlüsseltes LDAP)

Parameter

Parameter	Beschreibung
Servername	Der Name des entfernten LDAP-Servers.
Portnummer	Die Portnummer, die bei der Kontaktaufnahme mit dem entfernten LDAP-Server verwendet wird. Standardport: 636
Authentifizierungstyp	Kann auf eine der folgenden Optionen gesetzt werden: - Basic: Verwendet grundlegende Authentifizierung mit Benutzername/Passwort. Sollte nur für Tests verwendet werden. - BasicSsl: Verwendet grundlegende Authentifizierung mit Benutzername/Passwort über SSL. Dies kann in der Produktion gegen einen OpenLDAP-Server verwendet werden. Um diesen Authentifizierungstyp zu verwenden, müssen Sie das Zertifikat des Servers konfigurieren, damit der Synchronisationspunkt weiß, dass es sich um einen vertrauenswürdigen Server handelt. - Negotiate: Verwendet den besten Algorithmus, der die Integrität der Passwortänderungen zum LDAP-Server verschlüsselt und überprüft. Dies wird verwendet, wenn der LDAP-Server Kerberos-vertrauenswürdig mit dem verwendeten Sync-Server ist.
Gültiger Zertifikat-Fingerabdruck	Der Fingerabdruck des Serverzertifikats. Wenn dieses Feld leer gelassen wird, bedeutet dies, dass jedes Zertifikat akzeptiert wird (nicht empfohlen). Um den Fingerabdruck des Serverzertifikats zu bestimmen, geben Sie „xyz“ als „Gültiger Serverzertifikat-Fingerabdruck“ ein und versuchen Sie einen Reset. Die Fehlermeldung im Testtool (oder im App-Ereignisprotokoll) enthält den Fingerabdruck. Der Der Fingerabdruck ist eine Hex-Zeichenfolge und kann „:“ Trennzeichen enthalten oder nicht. Hinweis: Diese Einstellung gilt nur für die Basic Ssl-Authentifizierung.
Attributname	Der Name des Benutzerattributs im LDAP-System, in dem das Passwort gespeichert ist. Dieser Parameter wird in Verbindung mit „In Unicode konvertieren“ verwendet. Standardwert: unicodePwd.
Passwortformat	Bestimmt, wie das Passwort an das Zielsystem kodiert werden soll. Mögliche Werte: - QuotedUnicode (Fügt dem Passwort Anführungszeichen hinzu und sendet dann Unicode-Bytes an das Zielsystem. Dies sollte verwendet werden, wenn zu einem anderen Microsoft Active Directory synchronisiert wird.) - Unicode (Sendet Unicode-Bytes an das Zielsystem.) - Utf8 (Sendet Utf8-Bytes an das Zielsystem.)
Admin-Benutzername	Benutzername des Administratorkontos im LDAP-System. Der Benutzername sollte im Distinguished Name-Format sein (CN=admin, DC=example, DC=com).
Anbieter-Passwort	Das Passwort des Administratorkontos.
Ziel-Suchkennzeichen-Attribut	Standardmäßig wird ein absoluter LDAP-Pfad bereitgestellt, um das Zielkonto zu identifizieren. Wenn dem Quellsystem Informationen über den LDAP-Pfad fehlen, ist es möglich, nach dem Zielkonto zu suchen, indem ein Attribut abgeglichen wird. Diese Einstellung gibt den Namen des Attributs an, das für eine solche Suche verglichen werden soll. Name des Attributs, das im Zielsystem abgeglichen werden soll. Dieses Attribut bei Benutzern im Zielsystem muss eine eindeutige Kennung in diesem Verzeichnis enthalten, z. B. eine Sozialversicherungsnummer oder eine Mitarbeiternummer. Dieses Attribut im Zielsystem wird mit dem verglichen, was in der Namenszuordnung konfiguriert wurde. WARNUNG! Es ist äußerst wichtig, dass die im „Namenszuordnungseinstellungen“ für das Quellsystem und das „Ziel-Suchkennzeichen-Attribut“ für das Zielsystem konfigurierten Attribute nicht von Benutzern beschreibbar sind. Das würde die Sicherheit gefährden und möglicherweise das Zurücksetzen des Passworts eines anderen Benutzers und den Zugriff auf dieses Konto ermöglichen. Wird in Verbindung mit Ziel-Suchwurzeln verwendet. Beachten Sie, dass, wenn die Kennung im Quellsystem ein Distinguished Name im Zielsystem ist, es nicht erforderlich ist, das Ziel-Suchkennzeichen-Attribut oder die Ziel-Suchwurzeln zu konfigurieren, da das Konto im Zielsystem direkt durch diesen Distinguished Name identifizierbar ist.
Angenommen, das Zielverzeichnis ist Active Directory	Hinweis! *Dies wird nur verwendet, wenn das Ziel-Suchkennzeichen-Attribut konfiguriert wurde.* Auf true setzen, wenn das Ziel Microsoft Active Directory ist, andernfalls false. Das Setzen auf true erzwingt, dass die LDAP-Abfrage „(objectCategory=user)(objectCategory=person)(sAMAccountName=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(userAccountControl:1.2.840.113556.1.4.803:=512)“ enthält
Zusätzliche Bedingung in LDAP-Suche	Hinweis! *Dies wird nur verwendet, wenn das Ziel-Suchkennzeichen-Attribut konfiguriert wurde.* Wenn gesetzt, wird der Wert dieser Zeichenfolge mit der Suche nach dem Zielattribut als LDAP-Bedingung kombiniert, wenn nach dem Zielkonto gesucht wird. Das Schema hängt vom LDAP-Zielsystem ab, könnte jedoch beispielsweise deaktivierte Konten von der Suche ausschließen oder nur eine bestimmte Abteilung durchsuchen, z. B. „(&(enabled=true)(department=finance))“.
Ziel-Suchwurzeln	Liste der Distinguished Names, die als Suchwurzeln verwendet werden, wenn Benutzer im Zielsystem durch das im Ziel-Suchkennzeichen-Attribut angegebene Attribut gesucht werden. Die Wurzeln müssen als gültige LDAP-Pfade angegeben werden, zum Beispiel LDAP://CN=users,DC=acme,DC=org. Wenn mehr als eine Wurzel benötigt wird, müssen sie durch Semikolon (;) getrennt werden. Wird in Verbindung mit Ziel-Suchkennzeichen-Attribut verwendet.

Hinweis

Specops empfiehlt die Verwendung des Active Directory-Anbieters, um Passwörter gegen entfernte Active Directories zu synchronisieren. Wenn Sie den LDAP-Anbieter gegen Active Directory verwenden müssen, sollte der Admin-Benutzername im SAM-Kontonamenformat anstelle des DN des Administratorkontos angegeben werden.

Beispielkonfigurationen

Open Ldap Non-SSL (nicht für den Produktionseinsatz)

Wenn das Ziel ein OpenLdap-Server ist, der so konfiguriert ist, dass er grundlegende Authentifizierung (Klartext) verwendet, konfigurieren Sie mit:

Servername: DNS-Name des LDAP-Servers
Portnummer: Typischerweise 389
Authentifizierungstyp: Basic
Attributname: userPassword
Passwortformat: Utf8
Zielsystem ist Active Directory: false

Das Zielbenutzerkonto sollte im DN-Format sein (verwenden Sie die richtige Namenszuordnung).

OpenLdap SSL

Wenn das Ziel ein OpenLdap-Server ist, der so konfiguriert ist, dass er SSL verwendet, konfigurieren Sie mit:

Servername: DNS-Name des LDAP-Servers
Portnummer: Typischerweise 636
Authentifizierungstyp: BasicSsl
Gültiger Zertifikat-Fingerabdruck: Hex-Zeichenfolge des Fingerabdrucks des Serverzertifikats (40 Hex-Ziffern)

Hinweis: Es ist nicht ausreichend, ein vertrauenswürdiges Zertifikat zu verwenden. Der Fingerabdruck des Serverzertifikats muss im Synchronisationspunkt konfiguriert werden.

Attributname: UserPassword
Passwortformat: Utf8

Active Directory Lightweight Directory Services

Wenn der Zielserver ein Active Directory Lightweight Services Server ist, konfigurieren Sie mit:

Server: Name eines DC
Portnummer: Typischerweise 389
Authentifizierungstyp: Negotiate
Attributname: UnicodePWD
Passwortformat: QuotedUnicode
Admin-Benutzername: Administrator (flacher Name ohne Domäne)

Hinweis

Das Zielbenutzerkonto sollte im DN-Format sein.

Lokale Konten-Anbieter

Der Lokale Konten-Anbieter wird verwendet, um Passwörter für lokale Benutzerkonten auf einem bestimmten Computer zurückzusetzen.

Voraussetzungen

Administratorkonto für den Zielcomputer.
Offene Netzwerkkommunikation vom Specops Password Sync-Server zum Zielcomputer.

Parameter

Parameter	Beschreibung
Administratorkonto	Der Benutzername des Administratorkontos.
Computername	Der Name des Zielcomputers
Anbieter-Passwort	Das Passwort des Administratorkontos.

Microsoft Online Services-Anbieter [Veraltet]

Hinweis

Der Microsoft Online Services-Anbieter ist veraltet. Für die Abwärtskompatibilität verwenden Sie bitte den Microsoft Entra ID-Anbieter.

Der Microsoft Online Services-Anbieter wird verwendet, um Passwörter zu Microsoft Online Services, wie Office 365, zu synchronisieren.

Voraussetzungen

Die folgenden Microsoft Online Services-Komponenten müssen auf dem Specops Password Sync-Server installiert sein:
- Microsoft Entra PowerShell für Graph.
Internetzugang auf dem Specops Password Sync-Server.

Parameter

Parameter	Beschreibung
Administratorkonto	Der Benutzername des Administratorkontos.
Anbieter-Passwort	Das Passwort des Administratorkontos.

Microsoft SQL Server-Anbieter

Der Microsoft SQL Server-Anbieter wird verwendet, um Passwörter zu MS SQL-Server-Benutzern zu synchronisieren.

Voraussetzungen

SQL Server authentifiziertes Administratorkonto (Windows-Authentifizierung wird nicht unterstützt).
SQL Server-Benutzerkonten (Konten, die in benutzerdefinierten Datenbanken gespeichert sind, werden nicht unterstützt).
Offene Netzwerkkommunikation zwischen dem Specops Password Sync-Server und dem Ziel-MS SQL-Server.
SQL Server Management Studio-Tools auf dem Sync-Server installiert.

Parameter

Parameter	Beschreibung
SQL Server	Der Name des Ziel-MS SQL-Servers.
Admin-Benutzername	Der Benutzername des Administratorkontos.
Anbieter-Passwort	Das Passwort des Administratorkontos.

Oracle-Datenbank-Anbieter

Der Oracle-Datenbank-Anbieter wird verwendet, um Passwörter zu Oracle-Datenbankbenutzern zu synchronisieren.

Voraussetzungen

Der Anbieter ist für Oracle 11g ausgelegt, kann jedoch auch auf anderen Versionen funktionieren.
Oracle-Administratorkonto.
Oracle authentifizierte Benutzer

Hinweis

Konten, die in benutzerdefinierten Datenbanken gespeichert sind, werden nicht unterstützt.
Oracle Data Provider für .NET 4 muss auf dem Specops Password Sync-Server installiert sein.

Parameter

Beschreibung

Datenbankserver

Dies ist das Format der Datenquelle:
(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=MyHost)(PORT=MyPort))(CONNECT_DATA=(SERVICE_NAME=MyOracleSID)))Sie müssen den Wert der oben hervorgehobenen Elemente auf den Wert dertnsnames.ora-Datei ändern. Sie finden diese Datei im ORACLE HOME\NETWORK\ADMIN-Verzeichnis.
Das Folgende ist ein Beispiel für die tnsnames.ora-Datei:ORACLR_CONNECTION_DATA =(DESCRIPTION =(ADDRESS_LIST =(ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC1521)))(CONNECT_DATA =(SID = CLRExtProc)

(PRESENTATION = RO)

)

ORCL =

(DESCRIPTION =

(ADDRESS = (PROTOCOL = TCP)(HOST = SRV04.shrek.qa)(PORT = 1521))

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = orcl.shrek.qa)

)

Die Datenquelle sollte nach dem Hinzufügen der entsprechenden Werte aus der tnsnames.ora-Datei so aussehen.

(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=

SRV04.shrek.qa)(PORT=1521))(CONNECT_DATA=(SERVICE_NAME=

orcl.shrek.qa)))

Admin-Benutzername

Der Benutzername des Administratorkontos.

Anbieter-Passwort

Das Passwort des Administratorkontos.

Salesforce-Anbieter

Der Salesforce-Anbieter wird verwendet, um Passwörter zu Salesforce zu synchronisieren.

Voraussetzungen

Administratorkonto im Ziel-Salesforce.
Gültiges Salesforce-Sicherheitstoken für das Administratorkonto. Das Sicherheitstoken für das Administratorkonto sollte Ihnen per E-Mail zugesandt worden sein, als Sie Ihr Salesforce-Konto eingerichtet haben oder das letzte Mal, als Sie Ihr Passwort zurückgesetzt haben. Wenn Sie diese E-Mail nicht finden können, müssen Sie das Token zurücksetzen.

Um Ihr Sicherheitstoken zu erhalten oder zurückzusetzen:

Klicken Sie oben auf einer beliebigen Salesforce-Seite auf den Abwärtspfeil neben Ihrem Namen. Wählen Sie im Menü unter Ihrem Namen Setup oder Meine Einstellungen aus – je nachdem, was angezeigt wird.
Wählen Sie im linken Bereich eine der folgenden Optionen aus:
- Wenn Sie auf Setup geklickt haben, wählen Sie Meine persönlichen Informationen| Mein Sicherheitstoken zurücksetzen.
- Wenn Sie auf Meine Einstellungen geklickt haben, wählen Sie Persönlich| Mein Sicherheitstoken zurücksetzen.
Klicken Sie auf Sicherheitstoken zurücksetzen. Das neue Sicherheitstoken wird per E-Mail an die E-Mail-Adresse in Ihrem Salesforce-Benutzerkonto gesendet. Bewahren Sie diese E-Mail auf. Ihr Sicherheitstoken wird nicht in Ihren Einstellungen oder Ihrem Profil angezeigt.

Hinweis

Dieses Token wird jedes Mal geändert, wenn das Passwort des Administratorkontos geändert wird.

Parameter

Parameter	Beschreibung
URL	Die URL zur Salesforce.com API. Standardwert: `https://login.salesforce.com/services/Soap/c/23.0`
Admin-Benutzername	Der Benutzername des Administratorkontos.
Anbieter-Passwort	Das Passwort und das Sicherheitstoken. Beispiel: Wenn Ihr Passwort „myPassword“ ist und Ihr Sicherheitstoken „XXXX“, geben Sie „myPasswordXXXX“ ein

SAP-Anbieter

Der SAP-Anbieter wird verwendet, um Passwörter zu Benutzerkonten in SAP-Systemen zu synchronisieren.

Voraussetzungen

Administratorkonto in der Ziel-SAP-Umgebung.
SAP .Net Connector 3.0 für .Net 4.0 muss auf dem Specops Password Sync-Server installiert sein.

Hinweis

Wenn SAP nicht in der Liste der verfügbaren Synchronisationsanbieter angezeigt wird, wenn Sie den Bereich einrichten, kopieren Sie die folgenden .dll-Dateien aus dem SAP.NetConnector-Programmverzeichnis (z. B. C:\Program Files\SAP\SAP_DotNetConnector3_Net40_x64) nach C:\Program Files\Specopssoft\Specops Password Sync\Server\Providers\SAP auf dem Sync-Server und starten Sie dann den Dienst neu. Zu kopierende Dateien:

libicudecnumber.dll
rscp4n.dll
sapnco.dll
sapnco_utils.dll

Hinweis:

Der SAP.Net Connector hat eine Abhängigkeit zur Visual C++ 2010 Redistributable, die der SAP-Installer nicht behandelt. Wenn diese Komponente nicht als Teil eines anderen Pakets installiert wurde, schlägt der Anbieter mit der folgenden Fehlermeldung fehl: „Die Datei oder Assembly ‚sapnco_utils.dll‘ oder eine ihrer Abhängigkeiten konnte nicht geladen werden. Das angegebene Modul wurde nicht gefunden.“
Die Installation von KB2365063- Microsoft Visual C++ 2010 Service Pack 1 Redistributable Package MFC Security Update wird das Problem beheben.

Parameter

Parameter	Beschreibung
Adresse zum SAP-Server	FQDN zum SAP-Server, auf dem das Passwort geändert werden soll.
System-ID	Die System-ID in SAP (z. B. 00)
Kunden-ID	Die Kunden-ID in SAP (z. B. 100)
Admin-Benutzername	Der Benutzername des Administratorkontos
Anbieter-Passwort	Das Passwort des Administratorkontos

Windows-Dienstanbieter

Der Windows-Dienstanbieter wird verwendet, um das Passwort zu aktualisieren, das in einem Windows-Dienst verwendet wird, wenn das Passwort des Domänendienstkontos geändert wird. Der Anbieter findet alle Dienste, die als Domänenkonto auf dem Zielserver ausgeführt werden, und setzt das neue Passwort auf ihnen.

Voraussetzungen

Administratorkonto auf dem Zielserver.
Offene Netzwerkkommunikation zwischen dem Specops Password Sync-Server und dem Zielserver.

Parameter

Parameter	Beschreibung
Administratorkonto	Der Benutzername des Administratorkontos, das verwendet wird, um das Passwort auf dem Remote-Server zu ändern.
Servername	Der Name des Zielservers, auf dem der Dienst ausgeführt wird.
Anbieter-Passwort	Das Passwort des Administratorkontos.