Voraussetzungen für die LDAP-Integration

Timing der LDAP-Integration

LDAP-Integrationen werden normalerweise vor dem Go-Live der Instanz durchgeführt, können jedoch jederzeit integriert werden.

Datenintegrität des LDAP-Servers

Einige Benutzer befürchten, dass ein Dritter (in diesem Fall die Instanz) Änderungen (Schreibvorgang) an Ihrem LDAP-Server vornimmt. Bei einer LDAP-Integration schreibt Ihre Instanz nicht in das interne LDAP-Verzeichnis. Die Instanz fragt Informationen ab und aktualisiert ihre Datenbank entsprechend.

Am internen LDAP-Server werden von der Instanz keine Änderungen vorgenommen. Das Servicekonto ist schreibgeschützt.

Die meisten Änderungen (einschließlich Ergänzungen) an Ihrem LDAP-Server sind innerhalb von Sekunden für die Instanz verfügbar, je nachdem, wie viele Komponenten der vollständigen LDAP-Integration vorhanden sind.

Um die Synchronisierung der LDAP-Datensätze zu gewährleisten, planen Sie einen regelmäßigen Scan des LDAP-Servers, um Änderungen zu erfassen.

Die Instanz synchronisiert keine Abteilungsdatensätze. Benutzer und Gruppenmitgliedschaften werden durch den LDAP-Listener-Mechanismus und eine tägliche vollständige LDAP-Suche auf dem neuesten Stand gehalten, aber die Instanz löscht keine dieser Einträge, nachdem sie aus LDAP entfernt wurden.

Wenn ein Eintrag gelöscht werden soll, wird auch der gesamte Verlauf gelöscht, und alle Verweise darauf werden gelöscht. Konfigurationselemente (CIs), SLA-Vereinbarungen, Softwarelizenzen, Bestellungen und Servicekatalogeinträge haben alle einen Verweis auf die Abteilung. Wenn die Abteilung gelöscht wird, werden diese Verweise gelöscht. Es gibt viele Verweise auf Benutzer. Wenn ein Benutzer gelöscht wird, geht der gesamte Verlauf der Aktionen dieses Benutzers verloren. Derzeit liegt die Entscheidung, ob gelöscht wird oder nicht, bei unseren Kunden.

Sicherheit

Die Verbindung wird von einem einzelnen Computer mit einer festen IP-Adresse über einen bestimmten Port in Ihrer Firewall hergestellt. Die Authentifizierung erfolgt mit einem schreibgeschützten LDAP-Konto Ihrer Wahl. Sie können Standard-LDAP verwenden oder die öffentliche Seite eines in Ihrem Verzeichnis installierten SSL-Zertifikatsladen. In diesem Fall können wir LDAPS verwenden. Um eine weitere Sicherheitsebene hinzuzufügen, bieten wir auch die Option eines Punkt-zu-Punkt-IPSEC-VPN-Tunnels an. Wenden Sie sich an Ihren Account Manager, um Einzelheiten und Preise zu erfahren.

Ein weiterer zu berücksichtigender Sicherheitsaspekt sind die in einer LDAP-Integration freigegebenen Daten. Um die für Ihre Instanz verfügbar gemachten Daten zu begrenzen, geben Sie Attribute in Ihrer Transformationszuordnung an. Weitere Informationen finden Sie unter LDAP-Transformationszuordnungen.

LDAP-Daten werden in die Instanz importiert

Es wird empfohlen, Attribute so zu definieren, dass nur die erforderlichen Daten importiert werden. Definierte Attribute werden der Instanzbenutzerdatenbank zugeordnet.

Wir können die Frage, welche spezifischen Attribute benötigt werden, nicht beantworten, da dies vom Umfang des Projekts und den Geschäftsanforderungen abhängt.

Unterstützte Typen von LDAP-Servern

Die Instanz wurde erfolgreich in Microsoft Active Directory, Novell, Domino (lotus Notes) und Open LDAP integriert. Wir verwenden JNDI als Schnittstelle zum LDAP-Server. Solange Ihr LDAP-Server LDAP v3-konform ist, ist die Integration erfolgreich.

LDAP Single Sign-on

Neben der mit dem LDAP-Import bereitgestellten Datenauffüllungsfunktion können Sie die von der Anwendung unterstützte Funktion „Externe Authentifizierung“ verwenden, um zu verhindern, dass sich Ihre Benutzer jedes Mal neu anmelden müssen.

Mehrere LDAP-Domänen

Die empfohlene Methode für die Verarbeitung mehrerer Domänen besteht darin, für jede Domäne einen separaten LDAP-Serverdatensatz zu erstellen. Jeder LDAP-Serverdatensatz muss auf einen Domänencontroller für diese Domäne verweisen. Das bedeutet, dass das lokale Netzwerk Verbindungen zu jedem der Domänencontroller zulassen muss.

Nach der Erweiterung auf mehr als eine Netzwerkdomäne ist es wichtig, dass Sie eindeutige LDAP-Attribute für die Anwendungsbenutzernamen identifizieren und Zusammenfügungswerte importieren. Ein allgemeines eindeutiges Zusammenfügungsattribut für Active Directory ist objectSid. Eindeutige Benutzernamen können je nach LDAP-Datendesign variieren. Allgemeine Attribute sind email oder userPrincipalName.

Umgang mit Abfragelimits

Standardmäßig hat Active Directory 2000/2003 ein LDAP-Abfragelimit (maxPageSize) von 1000 Objekten, um übermäßige Lasten und Denial-of-Service-Angriffe zu verhindern. Wir haben zwei Methoden, um mit dieser Grenze umzugehen.

Die Standardmethode besteht darin, die Abfrage so aufzubrechen, dass weniger als 1000 Objekte gleichzeitig zurückgegeben werden. Fragen Sie beispielsweise nur Objekte ab, die mit dem Buchstaben „a“ beginnen, und fragen Sie dann „b“-Objekte ab. Die effizientere Methode für große Umgebungen besteht darin, Paging zu aktivieren. Paging wird standardmäßig auf allen Microsoft Active Directory-Servern unterstützt. Die Ergebnisse werden automatisch in mehrere Ergebnismengen aufgeteilt, sodass die Abfrage nicht in mehrere Anforderungen aufgeteilt werden muss.

LDAP-Abfragetyp

Wenn ein LDAP-Passwort angegeben wird, wird eine einfache Bindung durchgeführt. Wenn kein LDAP-Passwort angegeben ist, wird „none“ verwendet. In diesem Fall muss der LDAP-Server die anonyme Anmeldung zulassen.

LDAP-Authentifizierung

Wir verwenden die bereitgestellten Servicekonto-Anmeldeinformationen für LDAP, um den Anwender-DN vom LDAP-Server abzurufen. Angesichts des DN-Werts für den Benutzer führen wir eine erneute Bindung mit LDAP durch, wenn der DN des Benutzers und das bereitgestellte Passwort angegeben werden.

Passwortspeicher

Das vom Benutzer eingegebene Passwort ist vollständig in seiner HTTPS-Sitzung enthalten. Wir speichern dieses Passwort nirgendwo.

LDAP-Authentifizierung einrichten

Diese Felder im Benutzerdatensatz beziehen sich auf LDAP: