Voraussetzungen für die LDAP-Integration

Timing für die LDAP-Integration

LDAP-Integrationen werden normalerweise vor dem Go-Live der Instanz durchgeführt, können jedoch jederzeit integriert werden.

Datenintegrität des LDAP-Servers

Einige Benutzer machen sich Sorgen, dass eine Drittpartei (in diesem Fall die Instanz) Änderungen an Ihrem LDAP-Server vornimmt (schreibt). Bei einer LDAP-Integration schreibt Ihre Instanz nicht in das interne LDAP-Verzeichnis. Die Instanz fragt Informationen ab und aktualisiert ihre Datenbank entsprechend.

Es werden von der Instanz keine Änderungen am internen LDAP-Server vorgenommen. Der Serviceaccount ist schreibgeschützt.

Die meisten Änderungen (einschließlich Ergänzungen) an Ihrem LDAP-Server stehen der Instanz innerhalb von Sekunden zur Verfügung, je nachdem, wie viele Komponenten der vollständigen LDAP-Integration vorhanden sind.

Damit LDAP-Datensätze synchron bleiben, planen Sie einen regelmäßigen Scan des LDAP-Servers, um Änderungen zu erfassen.

Die Instanz synchronisiert keine Abteilungsdatensätze. Anwender und Gruppenmitgliedschaften werden vom LDAP-Listener-Mechanismus und einer täglichen vollständigen LDAP-Suche auf dem neuesten Stand gehalten. Die Instanz löscht jedoch keine dieser Einträge, nachdem sie aus LDAP entfernt wurden.

Wenn ein Eintrag gelöscht wird, wird auch der gesamte Verlauf gelöscht, und alle Verweise darauf werden gelöscht. Configuration Items (CIs), SLA-Vereinbarungen, Softwarelizenzen, Bestellungen und Servicekatalogeinträge haben alle einen Verweis auf die Abteilung. Wenn die Abteilung gelöscht wird, werden diese Verweise gelöscht. Es gibt viele Verweise auf Anwender, und wenn ein Anwender gelöscht wird, geht der gesamte Verlauf dessen verloren, was er getan hat. Derzeit wird die Entscheidung, ob gelöscht wird oder nicht, von unseren Kunden getroffen.

Sicherheit

Die Verbindung wird von einem einzelnen Computer mit einer festen IP-Adresse über einen bestimmten Port in Ihrer Firewall hergestellt. Die Authentifizierung erfolgt mit einem schreibgeschützten LDAP-Account Ihrer Wahl. Sie können Standard-LDAP verwenden oder die öffentliche Seite eines in Ihrem Verzeichnis installierten SSL-Zertifikatsladen. In diesem Fall können Sie LDAPS verwenden. Um eine weitere Sicherheitsebene hinzuzufügen, bieten wir auch einen Punkt-zu-Punkt-IPSEC-VPN-Tunnel an. Wenden Sie sich an Ihren Account Manager, um Details und Preise zu erfahren.

Ein weiterer zu berücksichtigender Sicherheitsaspekt sind die in einer LDAP-Integration gemeinsam genutzten Daten. Um die für Ihre Instanz verfügbar gemachten Daten zu begrenzen, geben Sie Attribute in Ihrer Transformationszuordnung an. Weitere Informationen finden Sie unter LDAP-Transformationszuordnungen.

LDAP-Daten werden in die Instanz importiert

Es wird empfohlen, Attribute zu definieren, um nur die erforderlichen Daten zu importieren. Definierte Attribute werden der Instanzbenutzerdatenbank zugeordnet.

Die Frage, welche spezifischen Attribute benötigt werden, können wir nicht beantworten, da dies vom Umfang des Projekts und den Geschäftsanforderungen abhängt.

Unterstützte Typen von LDAP-Servern

Die Instanz wurde erfolgreich in Microsoft Active Directory, Novell, Domino (lotus Notes) und Open LDAP integriert. Wir verwenden JNDI als Schnittstelle zum LDAP Server. Solange Ihr LDAP-Server LDAP v3-konform ist, ist die Integration erfolgreich.

LDAP Single Sign-on

Neben der mit dem LDAP-Import bereitgestellten Funktion zum Auffüllen von Daten können Sie auch die von der Anwendung unterstützte externe Authentifizierungsfunktion verwenden, um zu verhindern, dass Ihre Benutzer sich jedes Mal neu anmelden müssen.

Mehrere LDAP-Domänen

Die empfohlene Methode für den Umgang mit mehreren Domänen besteht in der Erstellung eines separaten LDAP-Server-Datensatzes für jede Domäne. Jeder LDAP-Serverdatensatz muss auf einen Domänencontroller für diese Domäne verweisen. Dies bedeutet, dass das lokale Netzwerk Verbindungen mit jedem der Domänencontroller zulassen muss.

Nach der Erweiterung auf mehr als eine Netzwerkdomäne ist es wichtig, dass Sie eindeutige LDAP-Attribute für die Anwendungsanwendernamen und Importkoaleszenzwerte identifizieren. Ein allgemeines eindeutiges Zusammenfügungsattribut für Active Directory ist objectSid. Eindeutige Anwendernamen können je nach LDAP-Datendesign variieren. Allgemeine Attribute sind „email“ oder „userPrincipalName“.

Grenzwerte für Verarbeitungsabfragen

Standardmäßig gilt für Active Directory 2000/2003 ein LDAP-Abfragelimit (maxPageSize) von 1000 Objekten, um übermäßige Last und Denial-of-Service-Angriffe zu verhindern. Es gibt zwei Methoden, um mit dieser Grenze umzugehen.

Standardmäßig wird die Abfrage so aufgeteilt, dass weniger als 1000 Objekte gleichzeitig zurückgegeben werden. Abfragen Sie beispielsweise nur nach Objekten, die mit dem Buchstaben „a“ beginnen, und fragen Sie dann nach „b“-Objekten ab. Die effizientere Methode für große Umgebungen besteht darin, Paging zu aktivieren. Paging wird standardmäßig auf allen Microsoft Active Directory-Servern unterstützt. Die Ergebnisse werden automatisch in mehrere Ergebnissätze aufgeteilt, sodass die Abfrage nicht in mehrere Anforderungen aufgeteilt werden muss.

LDAP-Abfragetyp

Bei Angabe eines LDAP-Passworts wird eine einfache Bindung durchgeführt. Wenn kein LDAP-Passwort angegeben wird, wird „none“ verwendet. In diesem Fall muss der LDAP-Server eine anonyme Anmeldung zulassen.

LDAP-Authentifizierung

Wir verwenden die bereitgestellten Servicekonto-Anmeldeinformationen für LDAP, um den Anwender-DN vom LDAP-Server abzurufen. Angesichts des DN-Werts für den Anwender erfolgt dann eine erneute Bindung mit LDAP anhand des DN des Anwenders und des bereitgestellten Passworts.

Passwortspeicher

Das vom Benutzer eingegebene Passwort ist vollständig in seiner HTTPS-Sitzung enthalten. Wir speichern dieses Passwort nirgendwo.

Richten Sie die LDAP-Authentifizierung ein

Diese Felder im Benutzerdatensatz beziehen sich auf LDAP: