LDAP-Integration verstehen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Mit einer LDAP-Integration kann Ihre Instanz Ihren vorhandenen LDAP-Server als primäre Quelle von Anwenderdaten verwenden.

    LDAP-Integrationsvoraussetzungen

    • Der Verzeichnisservices-Server muss LDAP v3-konform sein
    • Eingehender Netzwerkzugriff über die Firewall muss zulässig sein (auf den LDAP-Server)
    • Externe IP oder Name des LDAP-Servers
    • Anwenderanmeldeinformationen mit schreibgeschütztem Zugriff
    • Für LDAPS ein PKI-Zertifikat

    LDAP-Integrationszeitpunkt

    LDAP-Integrationen werden normalerweise vor dem Go-Live der Instanz durchgeführt, können jedoch jederzeit integriert werden.

    LDAP-Serverdatenintegrität

    Einige Anwender haben Bedenken, dass eine Drittpartei (in diesem Fall die Instanz) Änderungen an Ihrem LDAP-Server vornimmt (schreibt). In einer LDAP-Integration schreibt Ihre Instanz nicht in das interne LDAP-Verzeichnis. Die Instanz fragt Informationen ab und aktualisiert ihre Datenbank entsprechend.

    Die Instanz nimmt keine Änderungen am internen LDAP-Server vor. Der Service-Account ist schreibgeschützt.

    Die meisten Änderungen (einschließlich Ergänzungen) an Ihrem LDAP-Server sind der Instanz innerhalb von Sekunden verfügbar, je nachdem, wie viele Komponenten der vollständigen LDAP-Integration vorhanden sind.

    Um die Synchronisierung von LDAP-Datensätzen zu gewährleisten, planen Sie einen regelmäßigen Scan des LDAP-Servers, um Änderungen zu erfassen.

    Die Instanz synchronisiert keine Abteilungsdatensätze. Anwender und Gruppenmitgliedschaften werden durch den LDAP-Listener-Mechanismus und eine tägliche vollständige LDAP-Suche auf dem neuesten Stand gehalten, aber die Instanz löscht keine dieser Einträge, sobald sie aus LDAP entfernt wurden.

    Wenn ein Eintrag gelöscht werden soll, wird auch der gesamte Verlauf gelöscht, und alle Verweise darauf werden gelöscht oder gelöscht. Konfigurationselemente (CIs), SLA-Vereinbarungen, Softwarelizenzen, Bestellungen und Servicekatalog-Einträge haben alle einen Verweis auf Abteilung. Wenn Abteilung gelöscht wird, werden diese Verweise gelöscht. Es gibt viele Verweise auf Anwender, daher würde das Löschen eines Anwenders den gesamten Verlauf dessen verlieren, was dieser Anwender getan hat. Derzeit treffen unsere Kunden die Entscheidung, zu löschen oder nicht zu löschen.

    Sicherheit

    Die Verbindung wird von einem einzelnen Computer über eine feste IP-Adresse über einen bestimmten Port in Ihrer Firewall hergestellt. Die Authentifizierung erfolgt mit einem schreibgeschützten LDAP-Account Ihrer Wahl. Sie können Standard-LDAP verwenden oder die öffentliche Seite eines laden SSL-Zertifikat in Ihrem Verzeichnis installiert , In diesem Fall können wir LDAPS verwenden. Um eine weitere Sicherheitsebene hinzuzufügen, bieten wir auch die Option eines Punkt-zu-Punkt-IPSEC-VPN-Tunnels an. Wenden Sie sich an Ihren Account Manager, um Details und Preise zu erhalten.

    Tabelle : 1. Sichere LDAP-Verbindungen
    Verbindung Beschreibung
    MID-Server Um Ihren LDAP-Server vor externem Netzwerkverkehr zu schützen, installieren Sie einen MID-Server im lokalen Netzwerk, und konfigurieren Sie das System so, dass es über einen sicheren Kanal mit dem MID-Server kommuniziert.
    LDAPS Um eine verschlüsselte LDAPS-Verbindung herzustellen, laden Sie die öffentliche Seite des SSL-Zertifikats Ihres LDAP-Servers. Die Integration verwendet das Zertifikat, um die gesamte Kommunikation zwischen dem LDAP-Server und der Instanz zu verschlüsseln.
    VPN Um den LDAP-Server mit einem verschlüsselten Punkt-zu-Punkt-IPSEC-VPN-Tunnel zu sichern, wenden Sie sich an Ihren Account Manager, um Details und Preise zu erhalten.

    Ein weiterer zu berücksichtigender Sicherheitsaspekt sind die in einer LDAP-Integration freigegebenen Daten. Um die für Ihre Instanz verfügbaren Daten zu begrenzen, geben Sie Attribute in Ihrer Transformationszuordnung an. Weitere Informationen finden Sie unter LDAP-Transformationszuordnungen.

    LDAP-Daten werden in die Instanz importiert

    Es wird empfohlen, Attribute so zu definieren, dass nur erforderliche Daten importiert werden. Definierte Attribute werden der Instanzanwenderdatenbank zugeordnet.

    Wir können die Frage nicht beantworten, welche spezifischen Attribute erforderlich sind, da dies durch den Umfang des Projekts und die Geschäftsanforderungen bestimmt wird.

    Unterstützte Typen von LDAP-Servern

    Die Instanz wurde erfolgreich in Microsoft Active Directory, Novell, Domino (Lotus Notes) und Open LDAP integriert. Wir verwenden JNDI, um eine Schnittstelle mit dem LDAP-Server herzustellen. Solange Ihr LDAP-Server LDAP v3-konform ist, ist die Integration erfolgreich.

    LDAP-Single-Sign-on

    Zusammen mit der Datenauffüllungsfunktion, die mit dem LDAP-Import bereitgestellt wird, können Sie die von der Anwendung unterstützte externe Authentifizierungsfunktion verwenden, um zu verhindern, dass sich Ihre Anwender jedes Mal anmelden müssen.

    Mehrere LDAP-Domänen

    Die empfohlene Methode für die Verarbeitung mehrerer Domänen besteht darin, einen separaten LDAP-Serverdatensatz für jede Domäne zu erstellen. Jeder LDAP-Serverdatensatz muss auf einen Domänencontroller für diese Domäne verweisen. Dies bedeutet, dass das lokale Netzwerk Verbindungen zu jedem der Domänencontroller zulassen muss.

    Nach der Erweiterung auf mehr als eine Netzwerkdomäne ist es wichtig, dass Sie eindeutige LDAP-Attribute für die Anwendungsanwendernamen identifizieren und Zusammenfügungswerte importieren. Ein gemeinsames eindeutiges Zusammenfügungsattribut für Active Directory ist ObjektSid . Eindeutige Anwendernamen können je nach LDAP-Datendesign variieren. Allgemeine Attribute sind E-Mail Oder UserPrincipalName .

    Verarbeitung von Abfragegrenzwerten

    Standardmäßig hat Active Directory 2000/2003 einen LDAP-Abfragegrenzwert ( MaxPageSize ) Von 1000 Objekten, um übermäßige Lasten und Denial-of-Service-Angriffe zu verhindern. Wir haben zwei Methoden, um mit diesem Grenzwert umzugehen.

    Die Standardmethode besteht darin, die Abfrage so aufzuteilen, dass weniger als 1000 Objekte gleichzeitig zurückgegeben werden. Beispielsweise fragen Sie nur ein Objekt ab, das mit dem Buchstaben „a“ beginnt, und fragen Sie dann nach „b“-Objekten ab. Die effizientere Methode für große Umgebungen besteht in der Aktivierung von Paging. Paging wird standardmäßig auf allen Microsoft Active Directory-Servern unterstützt. Die Ergebnisse werden automatisch in mehrere Ergebnissätze aufgeteilt, sodass wir die Abfrage nicht in mehrere Anforderungen aufteilen müssen.

    LDAP-Abfragetyp

    Wenn ein LDAP-Passwort angegeben wird, wird eine „einfache Bindung“ durchgeführt. Wenn kein LDAP-Passwort angegeben wird, wird „keines“ verwendet. In diesem Fall muss der LDAP-Server eine anonyme Anmeldung zulassen.

    LDAP-Authentifizierung

    Wir verwenden bereitgestellte Service-Account-Anmeldeinformationen für LDAP, um den Anwender-DN vom LDAP-Server abzurufen. Bei Angabe des DN-Werts für den Anwender wird dann anhand des Anwenders-DN und des angegebenen Passworts eine erneute Bindung mit LDAP durchgeführt.

    Passwortspeicher

    Das vom Anwender eingegebene Passwort ist vollständig in seiner HTTPS-Sitzung enthalten. Wir speichern dieses Passwort nirgendwo.

    LDAP-Authentifizierung wird eingerichtet

    Diese Felder im Anwenderdatensatz beziehen sich auf LDAP:

    • Quelle : Das Feld Quelle gibt an, ob ein Anwender mit LDAP validiert wird. Wenn das Quellfeld mit „ldap“ beginnt, wird der Anwender über LDAP validiert. Wenn das Feld „Quelle“ nicht mit „ldap“ beginnt, wird das Passwort im Anwenderdatensatz verwendet, um den Anwender bei der Anmeldung zu validieren.
    • LDAP-Server : Die Instanz unterstützt mehrere LDAP-Server, daher bestimmt das Feld LDAP-Server, welcher Server zur Authentifizierung des Anwenders verwendet werden soll.