Integration mit Active Directory

Dashlane kann so konfiguriert werden, dass Benutzer und Gruppen des Active Directory (AD) automatisch synchronisiert werden und das Provisioning und Deprovisioning von Dashlane-Konten automatisch erfolgt.

Wenn Sie möchten, dass Ihre Benutzer sich per SSO anmelden, sollten Sie diese Funktion zuerst einrichten. Legen Sie hier los.

Video-Rundgang

Erstellung einer AD-Gruppe & eines Dienstkontos

1. Melden Sie sich bei einem Windows-Server an, auf dem das Benutzer- und Computermodul des Active Directory installiert ist.
2. Erstellen oder suchen Sie eine Gruppe, deren Mitglieder Sie zu Ihrem Business-Tarif einladen möchten. Wenn noch keine Gruppe existiert, empfehlen wir, eine Gruppe mit dem Namen „AlleDashlaneBenutzer” zu erstellen.
3. Fügen Sie der Gruppe mindestens einen AD-Benutzer mit einer E-Mail-Adresse hinzu.
4. Erstellen Sie einen Active-Directory-Benutzer, mit dem Sie das Synchronisierungs-Script ausführen. Dieser wird häufig als Dienstkonto bezeichnet. Im Beispielvideo erstellen wir „SA_DashlaneSync”.
5. Fügen Sie das Dienstkonto der lokalen Administratorengruppe hinzu, sodass es sich auf dem Rechner anmelden und PowerShell-Scripts ausführen kann.
6. Melden Sie sich mit dem neu erstellten Dienstkonto an.

Administrator-Konsole konfigurieren

Über die folgenden Schritte können Sie Ihr Konto für die AD-Synchronisierung konfigurieren:

1. Gehen Sie auf http://console.dashlane.com und melden Sie sich bei Ihrer Administrator-Konsole an
2. Klicken Sie auf Einstellungen > Active Directory 
3. Aktivieren Sie die Funktion Automatisches Benutzer-Provisioning und Gruppensynchronisierung
   • Sie können die Funktion  „Automatisches Benutzer-Deprovisioning“ aktivieren, nachdem Sie die Synchronisierung verifiziert sowie sich vergewissert haben, dass alle aktuellen Dashlane-Benutzer von der Synchronisierung erfasst werden
4. Klicken Sie auf Kopieren, um das Dashlane AD-Script, das im grauen Fenster angezeigt wird, in Ihre Zwischenablage zu kopieren

Active Directory- und Synchronisierungs-Script konfigurieren

1. Melden Sie sich mit dem zuvor erstellten Dienstkonto bei einem Windows-Server oder einer Workstation an, die Windows PowerShell 3.0 oder höher installiert hat.
2. Wenn Sie dies nicht bereits getan haben, erstellen oder suchen Sie eine Active-Directory-Sicherheitsgruppe, die Sie mit Dashlane synchronisieren möchten.
   
   • Es wird empfohlen, zu Beginn eine neue Gruppe mit dem Namen AlleDashlaneBenutzer zu erstellen.
3. Fügen Sie der Gruppe Benutzer hinzu, die eigene Dashlane-Konten haben sollen
4. Öffnen Sie PowerShell ISE > Datei > Neu
5. Fügen Sie das in Ihrer Zwischenablage gespeicherte Script von Schritt 4 der oben stehenden Anweisungen ein („Administrator-Konsole konfigurieren“).
6. Bearbeiten Sie Zeile 21 des Scripts und geben Sie die Gruppennamen ein, die Sie mit Dashlane synchronisieren möchten.
   
7. Speichern Sie das PowerShell-Script auf dem lokalen Rechner
8. Führen Sie das Script aus, indem Sie auf den grünen Pfeil in PowerShell ISE klicken
   
9. Vergewissern Sie sich, dass das Script folgende Meldung wiedergibt: "code":200,"message":"OK" 
10. Kopieren Sie den Text zwischen den Strichen, um ihn in der Zwischenablage zu speichern
11. Gehen Sie zurück zu http://console.dashlane.com und aktualisieren Sie die Seite
12. Klicken Sie im Pop-up-Fenster „Sicherheitskey verifizieren …” auf Fortfahren
    
13. Fügen Sie den Text, den Sie in Schritt 10 in Ihre Zwischenablage kopiert haben, in das Textfeld ein und klicken Sie auf Jetzt verifizieren
    
    

Synchronisierung verifizieren

1. Öffnen Sie in der Administrator-Konsole die Registerkarte „Benutzer” und vergewissern Sie sich, dass der Status aller neuen Benutzer auf Einladung steht aus gestellt ist.
   
   
2. Öffnen Sie die Registerkarte „Gruppen“, um zu sehen, welche Gruppen synchronisiert wurden.
3. Sie können Ihren AD-Synchronisierungsstatus in der Administrator-Konsole unter Einstellungen > Active Directory einsehen
4. Sobald Sie sich sicher sind, dass alle synchronisierten Benutzer in den Active Directory-Synchronisierungsgruppen enthalten sind, empfehlen wir Ihnen, das automatische Deprovisioning zu aktivieren

Regelmäßige Synchronisierung mit dem Task Scheduler planen

Wenn das Script in Ihrer Domain gespeichert wurde, können Sie es so einstellen, dass es in von Ihnen definierten Zeitintervallen automatisch ausgeführt wird.

Bitte beachten Sie, dass das Benutzerkonto, das zur Ausführung dieses Tasks genutzt wird, in der Lage sein muss, Organisationseinheiten (OUs) und Benutzerkonten in Ihrer Active Directory-Umgebung zu lesen

1. Stellen Sie sicher, dass Sie mit demselben Dienstkonto angemeldet sind, mit dem Sie die ursprüngliche Synchronisierung durchgeführt haben.
   • Die Planung der Ausführung mit einem anderen Konto funktioniert nicht, da der generierte Synchronisierungsschlüssel von dem für die Synchronisierung verwendeten Computer und Benutzer abgeleitet wird und daher gleich bleiben muss.
2. Öffnen Sie den Task Scheduler auf einem Windows Server, der das Script ausführen wird
3. Wählen Sie Task Scheduler-Bibliothek aus
4. Klicken Sie auf die Registerkarte Aktion oben links im Menü
5. Klicken Sie anschließend auf „Task erstellen”
6. Klicken Sie als Nächstes auf die Registerkarte Allgemein
7. Tippen Sie Dashlane-AD-Synchronisierung in das Textfeld „Name:“ ein
8. Wählen Sie als Nächstes die Sicherheitseinstellungen aus
9. In den Sicherheitseinstellungen: Markieren Sie die Kästchen für „Ausführen, egal ob Benutzer eingeloggt ist oder nicht“ und „Mit den höchsten Rechten ausführen“

Stellen Sie bitte einen Zeitplan für die Ausführung des Scripts ein, indem Sie einen neuen Trigger erstellen. Im unten angezeigten Beispiel wird es täglich um 01:00 Uhr ausgeführt.

Klicken Sie anschließend auf die Registerkarte Aktionen.

1. Klicken Sie auf Neue Aktion
2. Geben Sie unter „Programm/Script“ Folgendes ein: powershell
3. Fügen Sie unter „Argumente hinzufügen (optional)“ Folgendes ein: -file C:\FilePathtoPowershellScript\dashlane-ad-sync.ps1
   
   
   

Zusätzliche Anmerkungen

• Haben Sie die Synchronisierung einmal konfiguriert, empfehlen wir Ihnen, Ihre Dashlane-Gruppen und -Benutzer ausschließlich über Ihr Active Directory zu verwalten.
• Alle Benutzer, die von dem Script betroffen sind, müssen eine spezifische E-Mail-Adresse im Active Directory haben.
• Administratoren können kein Deprovisioning für alle Admin-Benutzer ausführen, da es mindestens einen aktiven Administrator für jeden Business-Tarif geben muss.
• Administratoren können kein Deprovisioning für Abrechnungs-Administratoren vornehmen, da es mindestens einen aktiven Abrechnungs-Administrator für jeden Business-Plan geben muss.
• Die Benutzeranzahl in den synchronisierten Gruppen darf nicht höher als die Anzahl der verfügbaren Lizenzen Ihres Kontos sein.

Synchronisierung nur von Benutzern

Um nur die Mitglieder der AD-Gruppe zu synchronisieren und keine Dashlane-Sharing-Gruppe zu erstellen, bearbeiten Sie Zeile 124 und 125 des AD-Synchronisierungs-Scripts.

Vor der Änderung: Zeile 124 und 125

$DataStr += $GroupInfo.ObjectGUID
$DataStr += $GroupInfo.Name

Nach der Änderung: Zeile 124 und 125

$DataStr += $GroupInfo.Sync_Users_Only
$DataStr += $GroupInfo.Sync_Users_Only

 

Fehlermeldungen

Fehlermeldungen

Dashlane-Synchronisierung hat mit {"code":400,"message":"Bad Request"} geantwortet

Lösung

1. Stellen Sie sicher, dass Sie nur so viele Benutzer synchronisieren, wie Sie Lizenzen gekauft haben.

2. Vergewissern Sie sich, dass das Active Directory-Modul für Windows PowerShell installiert ist.

 

3. Sorgen Sie dafür, dass Sie https-Sicherheitseinstellungen konfiguriert oder den Internet Explorer geöffnet haben und den vorab nötigen Konfigurationsassistenten ausgeführt haben.

4. Vergewissern Sie sich, dass sich in der Active Directory-Gruppe, die Sie synchronisieren möchten, mindestens ein Benutzer mit einer E-Mail-Adresse befindet.

 

Es wird kein Key für die Verzeichnissynchronisierung angezeigt.

Ändern Sie in Ihrem PowerShell-Script die Variable DashlaneDirectorSyncKey## in eine neue Zahl um und erzwingen Sie somit einen neuen Synchronisierungsschlüssel. Speichern Sie das Script und führen Sie es dann aus.

Vor der Änderung: Zeile 104 (diese Zahl kann je nach Anzahl der Gruppen leicht variieren)

 $CspParameters.KeyContainerName = "DashlaneDirectorySyncKey53"

Nach der Änderung: Zeile 104

 $CspParameters.KeyContainerName = "DashlaneDirectorySyncKey54"

 

Fehlermeldungen

Dashlane-Synchronisierung hat mit {"code":403,"message":"Forbidden"} geantwortet

Lösung

Aktivieren Sie die automatische Benutzer- und Gruppen-Zuordnung in der Dashlane-Administratorkonsole über den Tab „Active Directory.“

 

Fehlermeldungen

Error member_removal_over_limit

Das AD-Sync-Skript hat ein eingebautes Limit, das ein versehentliches Massen-Offboarding von Benutzern verhindert. Gelegentlich ist ein Massen-Offboarding von Benutzern erforderlich, sodass Sie das Limit der Benutzer, die von Ihrem Plan ausgeschlossen werden können, erhöhen müssen.

Lösung

Fügen Sie am Ende der folgenden Zeile ein ";removalLimit=###" (rund um Zeile 155) des Powershell-Sync-Skripts hinzu. Führen Sie das Sync-Skript erneut aus. Nachdem Ihre Benutzer über die Synchronisierung ausgeschlossen wurden, sollten Sie in Erwägung ziehen, den hinzugefügten Text zu entfernen, um ihn auf die Standardeinstellung zurückzusetzen, die 10 Benutzer oder 5 % aller Benutzer beträgt, je nachdem, welcher Wert größer ist.

Im folgenden Beispiel können 100 Benutzer mit dem Synchronisierungsskript ausgeschlossen werden.

$Payload = @{adLogins=$FileContentEncoded;adToken=$INSTALL_TOKEN;teamId=$TEAM_ID;signature=$SignatureHash;publicKey=$PublicKeyHash;removalLimit=100}