Sie können Dashlane so konfigurieren, dass Benutzer und Gruppen in Active Directory (AD) zwecks Provisioning und Deprovisioning von Dashlane-Konten automatisch synchronisiert werden.
Wenn Sie möchten, dass Ihre Benutzer sich per Single Sign-On (SSO) anmelden, sollten Sie SSO zuerst einrichten. Hier erfahren Sie, wie das geht.
Inhalt
- Video-Rundgang
- Konfiguration einer AD-Gruppe und eines AD-Dienstkontos
- Konfiguration der Administrator-Konsole
- Konfiguration des Active-Directory- und Synchronisierungs-Scripts
- Verifizierung der Synchronisierung
- Einrichtung einer regelmäßigen Synchronisierung mit der Aufgabenplanung
- Zusätzliche Anmerkungen
- Synchronisierung nur von Benutzern
- Fehlermeldungen
Video-Rundgang
In diesem Video erfahren Sie Schritt für Schritt, wie Sie Dashlane so konfigurieren, dass Benutzer und Gruppen in Active Directory (AD) zwecks Provisioning und Deprovisioning von Dashlane-Konten automatisch synchronisiert werden.
Konfiguration einer AD-Gruppe und eines AD-Dienstkontos
- Melden Sie sich bei einem Windows Server an, auf dem das Modul Active-Directory-Benutzer und -Computer installiert ist.
- Erstellen oder bestimmen Sie eine Gruppe, deren Mitglieder Sie zu Ihrem Business-Tarif einladen möchten. Wenn noch keine Gruppe existiert, empfehlen wir, eine Gruppe mit dem Titel AlleDashlaneBenutzer zu erstellen.
- Fügen Sie der Gruppe mindestens einen AD-Benutzer mit einer E-Mail-Adresse hinzu.
- Erstellen Sie einen Active Directory-Benutzer (üblicherweise als Dienstkonto bezeichnet), über den Sie das Synchronisierungs-Script ausführen können. Im Beispielvideo erstellen wir das Dienstkonto SA_DashlaneSync.
- Fügen Sie das Dienstkonto der lokalen Administratorengruppe hinzu, sodass Sie sich damit auf dem Rechner anmelden und PowerShell-Scripts ausführen können.
- Melden Sie sich mit dem neu erstellten Dienstkonto an.
Konfiguration der Administrator-Konsole
So konfigurieren Sie Ihr Konto für die AD-Synchronisierung:
- Melden Sie sich in der Administrator-Konsole an.
- Wählen Sie Einstellungen und dann Active Directory aus.
- Aktivieren Sie das automatische Benutzer-Provisioning und die Gruppensynchronisierung.
- Nachdem Sie überprüft haben, dass die Synchronisierung einwandfrei funktioniert und dass alle aktuellen Dashlane-Benutzer synchronisiert werden, können Sie bei Bedarf das automatische Benutzer-Deprovisioning aktivieren.
- Klicken Sie auf Kopieren, um das Dashlane-AD-Script, das im grauen Fenster angezeigt wird, in Ihre Zwischenablage zu kopieren.
Konfiguration des Active-Directory- und Synchronisierungs-Scripts
- Melden Sie sich mit dem zuvor erstellten Dienstkonto bei einem Windows Server oder einer Windows-Arbeitsstation an, auf dem/der Windows PowerShell 3.0 oder höher installiert ist.
- Wenn Sie dies nicht bereits getan haben, erstellen oder suchen Sie eine Active-Directory-Sicherheitsgruppe, die Sie mit Dashlane synchronisieren möchten.
- Wir empfehlen, zunächst eine neue Gruppe mit dem Namen AlleDashlaneBenutzer zu erstellen.
- Fügen Sie der Gruppe Benutzer hinzu, die eigene Dashlane-Konten haben sollen.
- Öffnen Sie PowerShell ISE, klicken Sie auf Datei und dann Neu.
- Fügen Sie das in Ihrer Zwischenablage gespeicherte Skript (aus Schritt 4 im vorherigen Abschnitt) in Administrator-Konsole konfigurieren ein.
-
Bearbeiten Sie Zeile 21 des Scripts und geben Sie die Gruppennamen ein, die Sie mit Dashlane synchronisieren möchten.
- Speichern Sie das PowerShell-Script auf dem lokalen Rechner.
-
Führen Sie das Script aus, indem Sie im PowerShell ISE auf den grünen Pfeil klicken.
- Das Script muss nun die folgende Meldung ausgeben: "code":200,"message":"OK".
- Kopieren Sie die Buchstabenfolge zwischen den Gedankenstrichen in die Zwischenablage.
- Navigieren Sie zurück zur Administrator-Konsole und aktualisieren Sie die Seite.
- Klicken Sie in dem Pop-up-Fenster Sicherheitskey für Active Directory verifizieren auf Weiter.
- Fügen Sie die Buchstabenfolge, die Sie in Schritt 10 in Ihre Zwischenablage kopiert haben, in das Textfeld ein und klicken Sie auf Jetzt verifizieren.
Verifizierung der Synchronisierung
- Öffnen Sie in der Administrator-Konsole die Registerkarte Benutzer und vergewissern Sie sich, dass der Status aller neuen Benutzer Einladung steht aus lautet.
- Öffnen Sie den Gruppen-Tab, um zu sehen, welche Gruppen synchronisiert wurden.
- Sie können Ihren AD-Synchronisierungsstatus in der Administrator-Konsole unter Einstellungen > Active Directory einsehen.
- Nachdem Sie überprüft haben, ob alle synchronisierten Benutzer in den Synchronisierungsgruppen von Active Directory enthalten sind, empfehlen wir, dass Sie die Option automatisches Benutzer-Deprovisioning aktivieren.
Einrichtung einer regelmäßigen Synchronisierung mit der Aufgabenplanung
Wenn das Script in Ihrer Domain gespeichert wurde, können Sie es so einstellen, dass es in von Ihnen definierten Zeitintervallen automatisch ausgeführt wird.
Bitte beachten Sie, dass das Benutzerkonto, das zur Ausführung dieses Tasks genutzt wird, in der Lage sein muss, Organisationseinheiten (OUs) und Benutzerkonten in Ihrer Active Directory-Umgebung zu lesen
- Stellen Sie sicher, dass Sie mit demselben Dienstkonto angemeldet sind, mit dem Sie die ursprüngliche Synchronisierung durchgeführt haben.
- Es ist nicht möglich, die Synchronisierung mit einem anderen Konto durchzuführen, da der generierte Synchronisierungsschlüssel von dem für die Synchronisierung verwendeten Computer und Benutzer abgeleitet wird und daher gleich bleiben muss.
- Öffnen Sie auf dem Windows Server, auf dem später das Skript ausgeführt wird, die Aufgabenplanung.
- Wählen Sie Aufgabenplanungsbibliothek aus.
- Klicken Sie oben links im Menü auf die Registerkarte Aktionen.
- Klicken Sie auf Erstellen, um die Aufgabe zu erstellen.
- Klicken Sie auf den Tab Allgemein.
- Geben Sie in das Textfeld Name Dashlane AD Sync ein.
- Wählen Sie als Nächstes die Sicherheitseinstellungen aus.
- In den Sicherheitseinstellungen: Markieren Sie das Kästchen für Unabhängig von der Benutzeranmeldung ausführen und Mit höchsten Privilegien ausführen.
Stellen Sie einen Zeitplan für die Ausführung des Scripts ein, indem Sie einen neuen Trigger erstellen. Im folgenden Beispiel wird das Script täglich um 1:00 Uhr ausgeführt.
- Klicken Sie auf den Tab Aktionen.
- Klicken Sie auf Neu.
- Geben Sie unter Programm/Skript Folgendes ein: powershell
- Fügen Sie unter Argumente hinzufügen (optional) das Folgende ein:
-file C:\FilePathtoPowershellScript\dashlane-ad-sync.ps1
Zusätzliche Anmerkungen
- Nach der Konfiguration der Synchronisierung empfehlen wir Ihnen, Ihre Dashlane-Gruppen und -Benutzer ausschließlich über Ihr Active Directory zu verwalten.
- Alle Benutzer, die von dem Script betroffen sind, müssen eine E-Mail-Adresse im Active Directory haben.
- Administratoren können kein Deprovisioning für alle Admin-Benutzer vornehmen, da es mindestens einen aktiven Administrator für jeden Business-Tarif geben muss.
- Administratoren können die Zugriffsrechte nicht für alle Abrechnungs-Administratoren aufheben, da jeder Business-Tarif mindestens einen aktiven Abrechnungs-Administrator haben muss.
- Die Benutzeranzahl in den synchronisierten Gruppen darf nicht höher als die Anzahl der verfügbaren Lizenzen Ihres Kontos sein.
Synchronisierung nur von Benutzern
Wenn Sie nur die Mitglieder der AD-Gruppe synchronisieren und keine Dashlane-Sharing-Gruppe erstellen möchten, bearbeiten Sie Zeile 124 und 125 des AD-Synchronisierungs-Scripts.
Beispiel:
Vor der Änderung an Zeile 124 und 125:
$DataStr += $GroupInfo.ObjectGUID
$DataStr += $GroupInfo.Name
Nach der Änderung an Zeile 124 und 125:
$DataStr += $GroupInfo.Sync_Users_Only
$DataStr += $GroupInfo.Sync_Users_Only
Fehlermeldungen
Fehlermeldung 400
Während der Dashlane-Synchronisierung wird der folgende Fehlercode aufgeworfen: {"code":400,"message":"Bad Request"}
So beheben Sie den Fehler:
- Stellen Sie sicher, dass Sie nicht mehr Benutzer synchronisieren, als Lizenzen verfügbar sind.
- Vergewissern Sie sich, dass das Active-Directory-Modul für Windows PowerShell installiert ist.
- Vergewissern Sie sich, dass Sie HTTPS-Sicherheitseinstellungen konfiguriert oder den Internet Explorer geöffnet haben und den vorab erforderlichen Konfigurationsassistenten ausgeführt haben.
- Vergewissern Sie sich, dass sich in der Active-Directory-Gruppe, die Sie synchronisieren möchten, mindestens ein Benutzer mit einer E-Mail-Adresse befindet.
Es wird kein Key für die Verzeichnissynchronisierung angezeigt
So beheben Sie den Fehler:
- Ändern Sie in Ihrem PowerShell-Script die Variable DashlaneDirectorSyncKey## in eine neue Zahl um und erzwingen Sie somit einen neuen Synchronisierungsschlüssel.
- Speichern Sie das Script und führen Sie es dann aus.
Beispiel:
Vor der Änderung an Zeile 104 (diese Zahl kann je nach Anzahl der Gruppen leicht variieren):
$CspParameters.KeyContainerName = "DashlaneDirectorySyncKey53"
Nach der Änderung an Zeile 104:
$CspParameters.KeyContainerName = "DashlaneDirectorySyncKey54"
Fehlermeldung 403
Während der Dashlane-Synchronisierung wird der folgende Fehlercode aufgeworfen: {"code":403,"message":"Forbidden"}
So beheben Sie den Fehler:
- Melden Sie sich in der Administrator-Konsole an.
- Wählen Sie Einstellungen und dann Active Directory aus.
- Aktivieren Sie das automatische Benutzer- und Gruppen-Provisioning.
Fehlermeldung member_removal_over_limit
Das AD-Synchronisierungs-Skript verfügt über ein integriertes Limit, das ein versehentliches Massen-Offboarding von Benutzern verhindert. Gelegentlich ist ein Massen-Offboarding von Benutzern jedoch erforderlich. In dem Fall müssen Sie das Limit der Benutzer, die von Ihrem Plan ausgeschlossen werden können, erhöhen.
So beheben Sie den Fehler:
- Fügen Sie in Ihrem PowerShell-Skript am Ende der folgenden Zeile (etwa in Zeile 155) ;removalLimit=### hinzu und führen Sie das Skript manuell aus.
Beispiel: In diesem Beispiel werden 100 Benutzer mit dem Synchronisierungs-Skript deaktiviert.
Vor der Änderung in Zeile 155 (kann um einige Zeilen abweichen):
Nach der Änderung der Deaktivierungsgrenze auf 100 Benutzer, wodurch die Entfernung von bis zu 100 Benutzern möglich ist:
$Payload = @{adLogins=$FileContentEncoded;adToken=$INSTALL_TOKEN;teamId=$TEAM_ID;signature=$SignatureHash;publicKey=$PublicKeyHash;removalLimit=100}
Nachdem Ihre Benutzer über die Synchronisierung ausgeschlossen wurden, sollten Sie in Erwägung ziehen, den hinzugefügten Text zu entfernen, um ihn auf die Standardeinstellung zurückzusetzen, die 10 Benutzer oder 5 % aller Benutzer beträgt, je nachdem, welcher Wert größer ist.