MyQ X bietet die Synchronisierung aus Active Directory über das LDAP-Protokoll. Dadurch kann der Administrator die Vorteile nutzen, die gewünschten Organisationseinheiten zu definieren, nicht nur die Benutzerdaten, sondern auch deren Gruppenzugehörigkeit zu synchronisieren und sogar Benutzer aus mehreren Domänen zu synchronisieren.
Bevor Sie mit der Synchronisierung von Active Directory-Benutzern beginnen, sollten Sie die Besonderheiten der Druckauftragsauthentifizierung in Ihrer Umgebung ermitteln.
Übersicht
Um Benutzer aus Active Directory zu synchronisieren, führen Sie die folgenden Schritte aus:
-
Benutzererkennung aus Druckaufträgen: Legen Sie fest, wie eingehende Druckaufträge in MyQ optimal authentifiziert werden sollen.
-
Konfigurieren der Active Directory-Synchronisierung: Erstellen Sie LDAP-Synchronisierungsquellen, um Benutzer aus AD in MyQ zu importieren.
-
Passen Sie die Synchronisierung an Ihre Umgebung an: Synchronisieren Sie zusätzliche Benutzerinformationen, um Druckaufträge korrekt zu identifizieren, ermöglichen Sie die Synchronisierung mit in Active Directory gespeicherten ID-Karten und vieles mehr.
Entscheiden Sie sich für eine Methode zur Benutzererkennung
Befolgen Sie die Empfehlungen unter „Identifizieren der Auftragsauthentifizierungsmethode“, um festzulegen, wie Ihre Benutzer erkannt werden. Dieser Schritt ist entscheidend für die erfolgreiche Konfiguration der Benutzersynchronisierung.
Wenn der bei Ihrem Test erkannte Benutzer mit dem Benutzer sAMAccountName, können Sie mit der Synchronisierung der Benutzer beginnen.
Wenn der erkannte Benutzername abweicht, überprüfen Sie die AD-Attribute, um den richtigen zu identifizieren. Lesen Sie weiter unten, welche Schritte zu unternehmen sind, wenn die Kennung das userPrincipalName oder ein anderes AD-Attribut ist.
Konfigurieren der Active Directory-Synchronisierung
Um mit der Synchronisierung von Benutzern in MyQ X zu beginnen, müssen Sie Folgendes einrichten:
-
Erstellen Sie einen Active Directory-LDAP-Authentifizierungsserver: Dazu fügen Sie den Server und seine Verbindungsdaten in MyQ hinzu.
-
Erstellen Sie eine Active Directory-LDAP-Synchronisierungsquelle: Wählen Sie hier den in Schritt 1 erstellten Authentifizierungsserver aus und konfigurieren Sie die Optionen, unter denen Sie Gruppen und Benutzer synchronisieren möchten.
Eine Schritt-für-Schritt-Anleitung zur Einrichtung eines LDAP-Authentifizierungsservers und der Synchronisierung finden Sie in den folgenden Anleitungen:
-
Print Server: User Synchronization from LDAP Servers Benutzersynchronisierung von LDAP-Servern
-
Central Server: Benutzersynchronisierung von LDAP-Servern
Basis-DN
Die Syntax des Basis-DN hängt von Ihrer Konfiguration und dem Ziel-LDAP-Server ab. Es kann auch erforderlich oder vorteilhaft sein, dieses Feld leer zu lassen.
Beispiel für Basis-DN:
DC=company,DC=net
Zuordnung von Attributen in MyQ
Im Rahmen der Einrichtung wählen Sie Active Directory-Parameter aus, die in Benutzerprofile synchronisiert werden sollen.
Wenn Sie die LDAP-Eigenschaften des AD leer lassen, verwendet MyQ standardmäßig diese Attribute:
Standard-Eigenschaften
|
MyQ-Benutzereigenschaft |
AD-Attribut |
|---|---|
|
Benutzername |
|
|
Vollständiger Name |
|
|
|
|
Für andere Parameter wie Alias, Personennummer, Notizen, Sprache, Benutzerspeicher, Karte und PIN sind keine Standardfelder definiert, aus denen Werte gelesen werden können.
Verwenden Sie den User Principal Name (UPN), den MailNickname oder andere Parameter zur Identifizierung von Benutzern
Beim Einrichten der LDAP-Synchronisierung ist Ihnen vielleicht aufgefallen, dass es keine Option gibt, das als Benutzernamen zu verwendende LDAP-Attribut festzulegen. Das liegt daran, dass MyQ, wie bereits erwähnt, immer den sAMAccountName als Benutzernamen verwendet.
Wenn Ihre Auftragssender anhand ihres UPN (userPrincipalName), können Sie dieses Attribut im Feld „Alias“ verwenden; nach der Synchronisierung wird der UPN auch für die Job-Authentifizierung verwendet.
Benutzerauthentifizierung mit Alias
Benutzer in MyQ können sowohl Benutzernamen als auch Aliase zum Anmelden verwenden. Das bedeutet: Wenn Sie userPrincipalName als Alias für Benutzer festlegen, können diese sich damit auch bei MyQ anmelden.
In vielen Umgebungen entspricht die UPN der geschäftlichen E-Mail-Adresse. Für Ihre Benutzer könnte es praktisch sein, ihre UPN zu verwenden, anstatt sich etwas anderes merken zu müssen, z. B. sAMAccountName , falls diese von den Anmeldedaten abweicht, die sie in anderen Unternehmenssystemen verwenden.
Ebenso kann ein Parameter, der eine E-Mail-Adresse enthält, als Alias des Benutzers verwendet werden.
Benutzer-Home-Ordner synchronisieren
Wenn Benutzer in Ihrer Organisation über einen eigenen dedizierten, gesicherten lokalen Ordner verfügen, können Sie diese Pfade für jeden Benutzer im MyQ-Attribut „Benutzerspeicher“ synchronisieren. Diese Informationen können im HomeDrive AD-Attribut gespeichert werden.
Nach der Synchronisierung kann dieser Ordner an verschiedenen Stellen in MyQ verwendet werden, insbesondere in den Einstellungen für Terminal Actions. Sie können sowohl „Easy Print“ aus dem Speicher des Benutzers als auch „Easy Scan“ in den Speicher des Benutzers einrichten. Solche Aktionen nutzen beim Drucken und Scannen auf dem Embedded Terminal automatisch den Speicher des aktuell angemeldeten Benutzers.
Mehrere AD-Domänen für Synchronisierung und Authentifizierung
Mit MyQ X können Sie bis zu 5 LDAP-Authentifizierungsserver hinzufügen. Dies kann für Unternehmen mit komplexerer Infrastruktur nützlich sein.
Wir haben solchen Szenarien einen eigenen Artikel gewidmet, in dem wir erklären, wie Sie eine solche Synchronisierung einrichten und Konflikte bei Benutzernamen vermeiden können, siehe Lokale Umgebungen mit mehreren Domänen (Active Directory).
Attribute aus Feldern mit mehreren Werten synchronisieren
Manchmal können Daten wie Ausweisnummern oder persönliche Identifikationsnummern in einem Active Directory-Attribut zusammengefasst werden. In solchen Fällen ist es möglich, in den Einstellungen der Synchronisierungsquelle – Abschnitt „Transformation“ – eine Transformation mit regulären Ausdrücken auf diese Felder anzuwenden.
Beispiel:
Wenn die Ausweisnummer zusammen mit der persönlichen Nummer des Benutzers gespeichert ist, z. B. 288373;736, verwenden Sie die Transformation, um nur den Wert vor ; im Feld, das als Ausweisnummer verwendet werden soll.
Ausführliche Informationen zur Konfiguration und Beispiele für Regex-Einstellungen finden Sie unter „Reguläre Ausdrücke für die Benutzersynchronisierung“.
Sicherheitsempfehlungen für Active Directory
Active Directory (AD) und das Lightweight Directory Access Protocol (LDAP) sind wesentliche Technologien für die Verwaltung von Identitäten, die Authentifizierung und die Autorisierung in zahlreichen Organisationen. Die Sicherung dieser Systeme ist entscheidend für den Schutz sensibler Informationen und die Aufrechterhaltung der Integrität von IT-Infrastrukturen.
Als zentrale Sicherheitsmerkmale sollten sich Organisationen auf Verschlüsselung, Zugriffskontrolle, Überwachung und Protokollierung sowie das Prinzip der geringsten Berechtigungen konzentrieren.
Verschlüsselung und Kommunikationssicherheit
LDAPS (LDAP über SSL/TLS) wird dringend empfohlen. Dies kann in den Einstellungen des Authentifizierungsservers in MyQ X erzwungen werden. Eine weitere verfügbare Option ist StartTLS, ein Befehl, der eine standardmäßige, ungesicherte LDAP-Verbindung (in der Regel über Port 389) zu einer sicheren Verbindung aufwertet, indem die Verwendung von TLS (Transport Layer Security) ausgehandelt wird.
Wenn eine Kommunikation über TLS vorgesehen ist, muss der Server, auf dem MyQ X läuft, in der Lage sein, den Zertifikatsaussteller des AD zu verifizieren, um dessen Zertifikat zu vertrauen und eine sichere Kommunikation zu ermöglichen. Dazu müssen Sie die ausstellende Stamm-CA im Zertifikatsspeicher des jeweiligen Servers installieren, auf dem MyQ läuft.
Vertrauliche Attribute und Schemaerweiterungen
AD bietet viele Benutzerattribute, die sensible oder private Informationen über die Person enthalten können. Dies gilt insbesondere für Attribute, die Benutzerkennungen speichern, z. B. Ausweisnummern oder sogar PIN-Codes – MyQ X ermöglicht den Import dieser Werte aus AD über LDAP(S).
Ohne zusätzliche Änderungen an der Sicherheit Ihres AD könnte potenziell jeder Domänenbenutzer seine Domänenanmeldedaten verwenden, um diese Werte im Verzeichnis für jeden beliebigen Benutzer auszulesen. Daher müssen Unternehmen diesen Datentyp sichern und dies verhindern.
Hier kommen vertrauliche Attribute ins Spiel. Bestimmte Attribute können als vertraulich gekennzeichnet werden, wobei der Zugriff auf bestimmte Treuhänder beschränkt ist, während sie für alle anderen Domänenbenutzer vollständig verborgen bleiben. Dieses Treuhänder-Benutzerkonto kann dann zur Benutzersynchronisation an Dritte weitergegeben werden, einschließlich der Authentifizierungsserver-Einstellungen von MyQ X.
Die Standardattribute des Active Directory-Schemas können mit dieser Methode geschützt werden.
Für einen noch besseren Schutz kann das Vertraulichkeitsflag jedoch auf benutzerdefinierte Erweiterungsproprietäten angewendet werden, bei denen es sich um Felder handelt, die nicht im Standardschema enthalten sind. Diese benutzerdefinierten Proprietäten sind aufgrund ihrer Anpassbarkeit schwieriger zu interpretieren.
Bitte beachten Sie die Auswirkungen auf Ihre Umgebung. Die Erweiterung des AD-Schemas ist eine wesentliche Änderung und sollte mit Vorsicht vorgenommen werden. Einmal hinzugefügte benutzerdefinierte Attribute können nicht mehr entfernt werden, daher ist eine sorgfältige Planung unerlässlich. Es wird empfohlen, die Änderungen in einer Laborumgebung zu testen, bevor Sie sie in einer Produktionsumgebung anwenden.