Definieren von LDAP-Organisationseinheiten

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Eine Definition einer Organisationseinheit (OE) gibt die LDAP-Quellverzeichnisse an, die für die Integration verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle: admin.

    Warum und wann dieser Vorgang ausgeführt wird

    OU-Definitionen können Standorte, Personen oder Benutzergruppen enthalten. Jede LDAP-Serverdefinition enthält zwei OU-Beispieldefinitionen: eine zum Importieren von Gruppen in das System und eine für Benutzer.

    Prozedur

    1. Navigieren zu Alle > System-LDAP > LDAP-Server.
    2. Wählen Sie den zu konfigurierenden LDAP-Server aus.
    3. Wählen Sie in der zugehörigen Liste „LDAP-OU-Definitionen“ entweder die OE-Definition für Gruppen oder Benutzer aus.
    4. Füllen Sie das Formular „LDAP-OU-Definition“ aus (siehe Tabelle).
    5. Klicken Sie auf Aktualisieren.
      Das System testet die Verbindung zum LDAP-Server automatisch.
    6. Klicken Sie unter Zugehörige Linksauf Durchsuchen, um die LDAP-Verzeichnisdatensätze anzuzeigen, die von der OU-Definition zurückgegeben werden.
      LDAP-OU-Definitionsformular
      Tabelle : 1. Formular „OE-Definition“.
      Feld Beschreibung
      Name Geben Sie den Namen an, den die Integration beim Verweisen auf diese OE verwendet. Der Name, den Sie hier eingeben, wird zu einem LDAP-Ziel im Datenquellen-Datensatz.
      RDN Geben Sie den relativen eindeutigen Namen des zu durchsuchenden Unterverzeichnisses an. Dieser RDN wird mit dem Start-Suchverzeichnis des Verzeichnisses aus der LDAP-Serverdefinition kombiniert, um das Unterverzeichnis zu identifizieren, das Informationen für diese Organisationseinheit enthält. Die Beispiel-OU-Definition verwendet beispielsweise den RDN-Wert CN=Users, um das LDAP-Verzeichnis CN=Users,DC=service-now,DC=com und alle Verzeichnisse unterhalb dieses Punkts zu durchsuchen. Dieses Feld muss mit einem Unterverzeichnis in Ihrem LDAP-System übereinstimmen.
      Abfragefeld Geben Sie den Namen des Attributs auf dem LDAP-Server an, um Datensätze abzufragen. Das Abfragefeld muss sowohl in einzelnen als auch in mehreren Domäneninstanzen eindeutig sein. Um beste Ergebnisse zu erzielen, verwenden Sie E-Mail-Adressen oder andere Anmeldeinformationen, die den Benutzer in einer Instanz mit mehreren Domänen eindeutig identifizieren. Active Directory verwendet das Attribut sAMAccountName. Andere LDAP-Server verwenden in der Regel das Attribut cn.
      Hinweis:
      Das Feld „Abfrage“ muss dem Feld „Anwender-ID“ in der Tabelle „Benutzer“ [sys_user] zugeordnet sein. Wenn sich beispielsweise ein Active Directory-Anwender als boe.exampleanmeldet, müssen ein Anwenderdatensatz mit dem Anwender-ID- Wert „ joe.example “ und ein LDAP-Datensatz mit dem sAMAccountName -Wert „ joe.example“vorhanden sein.
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um die OE-Definition zu aktivieren und Administratoren das Testen des Imports von Daten zu ermöglichen. Die Integration kann jedoch nur Daten aus aktiven OU-Definitionen in das System importieren.
      Tabelle Geben Sie die Tabelle an, die die zugeordneten Daten von Ihrem LDAP-Server empfängt. Wählen Sie für Benutzer Benutzer (sys_user)und für Gruppen Gruppe (sys_group)aus.
      Filter Geben Sie eine LDAP-Filterzeichenfolge ein, um bestimmte Datensätze für den Import aus der OE auszuwählen. Je spezifischer die LDAP-Filterabfrage ist, desto effizienter ist die Abfrage.

      Beispielsweise verwendet die LDAP-OU-Definition für Benutzer den folgenden Filter, um Datensätze auszuwählen, die als Personen klassifiziert sind, einen sn- Attributwert aufweisen, keine Computer sind und nicht als inaktiv gekennzeichnet sind:

      (&(objectClass=person)(sn=*)(!(objectClass=computer)) (!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Eine Beschreibung der LDAP-Filtersyntax finden Sie, indem Sie im Internet nach LDAP-Filter RFCsuchen.

    Beispiele für Definitionen von Organisationseinheiten

    Angenommen, Sie verwenden einen LDAP-Server mit folgender Verzeichnisstruktur:

    dc=meine-domäne,dc=com

    • OU=Gruppen
      • cn=Development
      • cn=HR
      • cn = Vertrieb
    • OU=Benutzer
      • OU=Development
      • OU = HR
      • OU = Vertrieb

    Angenommen, Sie möchten die HR-Gruppe und HR-Benutzer aus der Anwendung ausschließen. Gehen Sie wie folgt vor:

    1. Erstellen Sie einen LDAP-Server-Datensatz mit dem Start-Suchverzeichnis dc=my-domain,dc=com.
    2. Erstellen Sie einen OE-Definitionsdatensatz für OU = Gruppen mit einem Filter zum Ausschluss von cn = HR.
    3. Erstellen Sie einen OE-Definitionsdatensatz für OU=Users mit einem Filter zum Ausschließen von OU=HR.

    Wenn Sie keine zusätzlichen Attribute oder Filter mit einer OU-Definition angeben, gibt die LDAP-Abfrage die gesamte Unterstruktur aus dem Startverzeichnis und dem RDN zurück.

    In diesen Beispielen hätte eine OU-Definition mit dem RDN-Wert OU=Groups und keinem Filter alle Gruppen zurückgegeben. Ebenso hätte eine OU-Definition mit dem RDN-Wert OU=Users und keinem Filter alle Anwender und untergeordneten Organisationseinheiten zurückgegeben.