Als Administrator eines Dashlane Starter-, Team- oder Business-Tarifs können Sie Dashlane so konfigurieren, dass Benutzer und Gruppen von Active Directory (AD) automatisch synchronisiert werden, um automatisierte Bereitstellung und Deprovisioning von Dashlane-Konten zu ermöglichen.
Bereitstellung von Mitgliedern eines Business-Tarifs mit SCIM verwalten
Video-Rundgang
In diesem Video erfahren Sie Schritt für Schritt, wie Sie Dashlane so konfigurieren, dass Benutzer und Gruppen in Active Directory (AD) zwecks Provisioning und Deprovisioning von Dashlane-Konten automatisch synchronisiert werden.
Konfiguration einer AD-Gruppe und eines AD-Dienstkontos
- Melden Sie sich bei einem Windows Server an, auf dem das Modul Active-Directory-Benutzer und -Computer installiert ist.
- Erstellen oder bestimmen Sie eine Gruppe, deren Mitglieder Sie zu Ihrem Starter-, Team- oder Business-Tarif einladen möchten. Wenn noch keine Gruppe existiert, empfehlen wir, eine Gruppe mit dem Titel AlleDashlaneBenutzer zu erstellen.
- Fügen Sie der Gruppe mindestens einen AD-Benutzer mit einer E-Mail-Adresse hinzu.
- Erstellen Sie einen Active-Directory-Benutzer, mit dem Sie das Synchronisierungs-Script ausführen. Dieser wird häufig als Dienstkonto bezeichnet. Im Beispielvideo erstellen wir ein Dienstkonto mit dem Namen „SA_DashlaneSync“.
- Fügen Sie das Dienstkonto der lokalen Administratorengruppe hinzu, sodass Sie sich damit auf dem Rechner anmelden und PowerShell-Skripts ausführen können.
- Melden Sie sich mit dem neu erstellten Dienstkonto an.
Konfiguration der Administrator-Konsole
So konfigurieren Sie Ihr Konto für die AD-Synchronisierung:
- Melden Sie sich in der Administrator-Konsole an.
- Wählen Sie Einstellungen und dann Active Directory aus.
- Aktivieren Sie das automatische Benutzer-Provisioning und die Gruppensynchronisierung.
- Nachdem Sie überprüft haben, dass die Synchronisierung einwandfrei funktioniert und dass alle aktuellen Dashlane-Mitglieder synchronisiert werden, können Sie bei Bedarf das Automatische Benutzer-Deprovisioning aktivieren.
- Wählen Sie Kopieren, um das Dashlane-AD-Script, das im grauen Fenster angezeigt wird, in Ihre Zwischenablage zu kopieren.
Konfiguration des Active-Directory- und Synchronisierungs-Scripts
- Melden Sie sich mit dem zuvor erstellten Dienstkonto bei einem Windows Server oder einer Windows-Arbeitsstation an, auf dem/der Windows PowerShell 3.0 oder höher installiert ist.
- Wenn Sie es noch nicht getan haben, erstellen oder suchen Sie eine Active-Directory-Sicherheitsgruppe, die Sie mit Dashlane synchronisieren möchten.
- Wir empfehlen, zunächst eine neue Gruppe mit dem Namen AlleDashlaneBenutzer zu erstellen.
- Fügen Sie der Gruppe Benutzer hinzu, die eigene Dashlane-Konten haben sollen.
- Öffnen Sie PowerShell ISE, klicken Sie auf Datei und dann Neu.
- Fügen Sie das in Ihrer Zwischenablage gespeicherte Skript (aus Schritt 4 im vorherigen Abschnitt) in Administrator-Konsole konfigurieren ein.
-
Bearbeiten Sie Zeile 21 des Scripts und geben Sie die Gruppennamen ein, die Sie mit Dashlane synchronisieren möchten.
- Speichern Sie das PowerShell-Script auf dem lokalen Rechner.
-
Führen Sie das Script aus, indem Sie im PowerShell ISE auf den grünen Pfeil klicken.
- Das Script sollte nun die folgende Meldung ausgeben: "code":200,"message":"OK".
- Kopieren Sie die Buchstabenfolge zwischen den Gedankenstrichen in die Zwischenablage.
- Navigieren Sie zurück zur Administrator-Konsole und aktualisieren Sie die Seite.
- Wählen Sie im Pop-up-Fenster Sicherheitsschlüssel verifizieren die Option Fortfahren.
- Fügen Sie die Buchstabenfolge, die Sie in Schritt 10 in Ihre Zwischenablage kopiert haben, in das Textfeld ein und wählen Sie Jetzt verifizieren.
Verifizierung der Synchronisierung
- Öffnen Sie in der Administrator-Konsole die Registerkarte Benutzer und vergewissern Sie sich, dass der Status aller neuen Tarif-Mitglieder Einladung steht aus lautet.
- Öffnen Sie den Gruppen-Tab, um zu sehen, welche Gruppen synchronisiert wurden.
- Sie können Ihren AD-Synchronisierungsstatus in der Administrator-Konsole unter Einstellungen > Active Directory einsehen.
- Nachdem Sie bestätigt haben, dass alle synchronisierten Mitglieder in den Active Directory-Synchronisierungsgruppen enthalten sind, empfehlen wir Ihnen, Automatisches Benutzer-Deprovisioning zu aktivieren.
Einrichtung einer regelmäßigen Synchronisierung mit der Aufgabenplanung
Wenn das Script in Ihrer Domain gespeichert wurde, können Sie es so einstellen, dass es in von Ihnen definierten Zeitintervallen automatisch ausgeführt wird.
Hinweis: Das Mitglieder-Konto des Tarifs, das zur Ausführung dieses Tasks genutzt wird, muss in der Lage sein, Organisationseinheiten (OUs) und Mitglieder-Kenutzerkonten in Ihrer Active Directory-Umgebung zu lesen.
- Stellen Sie sicher, dass Sie mit demselben Dienstkonto angemeldet sind, mit dem Sie die ursprüngliche Synchronisierung durchgeführt haben.
- Die Planung der Ausführung mit einem anderen Konto funktioniert nicht, da der generierte Synchronisierungsschlüssel von dem für die Synchronisierung verwendeten Computer und Mitglied abgeleitet wird und daher gleich bleiben muss.
- Öffnen Sie auf dem Windows Server, auf dem später das Skript ausgeführt wird, die Aufgabenplanung.
- Wählen Sie Aufgabenplanungsbibliothek aus.
- Wählen Sie im oberen linken Menü die Registerkarte Aktion aus.
- Wählen Sie Aufgabe Erstellen.
- Wählen Sie die Registerkarte Allgemein aus.
- Geben Sie in das Textfeld Name Dashlane AD Sync ein.
- Wählen Sie als Nächstes Sicherheitseinstellungen.
- In den Sicherheitseinstellungen: Markieren Sie die Kontrollkästchen für Unabhängig von der Benutzeranmeldung ausführen und Mit höchsten Privilegien ausführen.
Stellen Sie einen Zeitplan für die Ausführung des Scripts ein, indem Sie einen neuen Trigger erstellen. Im folgenden Beispiel wird das Script täglich um 1:00 Uhr ausgeführt.
- Klicken Sie auf die Registerkarte Aktionen.
- Wählen Sie Neue Aktion aus.
- Geben Sie unter Programm/Skript Folgendes ein: powershell
- Fügen Sie unter Argumente hinzufügen (optional) Folgendes ein:
-file C:\FilePathtoPowershellScript\dashlane-ad-sync.ps1
Zusätzliche Anmerkungen
- Nach der Konfiguration der Synchronisierung empfehlen wir Ihnen, Ihre Dashlane-Gruppen und Tarif-Mitglieder ausschließlich über Ihr Active Directory zu verwalten.
- Alle Mitglieder, die von dem Script betroffen sind, müssen eine E-Mail-Adresse im Active Directory haben.
- Administratoren können nicht alle Administratoren deaktivieren, da jeder Starter-, Team- oder Business-Tarif mindestens einen aktiven Administrator haben muss.
- Jeder Starter-, Team- oder Business-Tarif muss mindestens einen aktiven Rechnungskontakt haben.
- Die Mitgliederanzahl in den synchronisierten Gruppen darf nicht höher als die Anzahl der verfügbaren Lizenzen Ihres Kontos sein.
Synchronisierung nur von Benutzern
Wenn Sie nur die Mitglieder der AD-Gruppe synchronisieren und keine Dashlane-Sharing-Gruppe erstellen möchten, bearbeiten Sie Zeile 124 und 125 des AD-Synchronisierungs-Scripts.
Beispiel:
Vor der Änderung an Zeile 124 und 125:
$DataStr += $GroupInfo.ObjectGUID
$DataStr += $GroupInfo.Name
Nach der Änderung an Zeile 124 und 125:
$DataStr += $GroupInfo.Sync_Users_Only
$DataStr += $GroupInfo.Sync_Users_Only
Fehlermeldungen
Fehlermeldung 400
Während der Dashlane-Synchronisierung wird der folgende Fehlercode aufgeworfen: {"code":400,"message":"Bad Request"}
So beheben Sie den Fehler:
- Stellen Sie sicher, dass Sie nicht versuchen, mehr Mitglieder zu synchronisieren, als Sie Lizenzen gekauft haben.
- Vergewissern Sie sich, dass das Active-Directory-Modul für Windows PowerShell installiert ist.
- Vergewissern Sie sich, dass Sie die HTTPS-Sicherheitseinstellungen konfiguriert haben.
- Vergewissern Sie sich, dass sich in der Active-Directory-Gruppe, die Sie synchronisieren möchten, mindestens ein Benutzer mit einer E-Mail-Adresse befindet.
Es wird kein Key für die Verzeichnissynchronisierung angezeigt
So beheben Sie den Fehler:
- Ändern Sie in Ihrem PowerShell-Script die Variable DashlaneDirectorSyncKey## in eine neue Zahl um und erzwingen Sie somit einen neuen Synchronisierungsschlüssel.
- Speichern Sie das Script und führen Sie es dann aus.
Beispiel:
Vor der Änderung an Zeile 104 (diese Zahl kann je nach Anzahl der Gruppen leicht variieren):
$CspParameters.KeyContainerName = "DashlaneDirectorySyncKey53"
Nach der Änderung an Zeile 104:
$CspParameters.KeyContainerName = "DashlaneDirectorySyncKey54"
Fehlermeldung 403
Während der Dashlane-Synchronisierung wird der folgende Fehlercode aufgeworfen: {"code":403,"message":"Forbidden"}
So beheben Sie den Fehler:
- Melden Sie sich in der Administrator-Konsole an.
- Wählen Sie Einstellungen und dann Active Directory aus.
- Aktivieren Sie das automatische Benutzer- und Gruppen-Provisioning.
Fehlermeldung Error member_removal_over_limit
Das AD-Sync-Skript hat ein eingebautes Limit, das ein versehentliches Massen-Offboarding von Benutzern verhindert. Gelegentlich ist ein Massen-Offboarding von Benutzern jedoch erforderlich. In dem Fall müssen Sie das Limit der Benutzer, die von Ihrem Plan ausgeschlossen werden können, erhöhen.
So beheben Sie den Fehler:
- Fügen Sie in Ihrem PowerShell-Skript am Ende der folgenden Zeile (etwa in Zeile 155) ;removalLimit=### hinzu und führen Sie das Skript manuell aus.
Beispiel: In diesem Beispiel werden 100 Benutzer mit dem Synchronisierungs-Skript deaktiviert.
Vor der Änderung in Zeile 155 (kann um einige Zeilen abweichen):
Nach der Änderung der Deaktivierungsgrenze auf 100 Benutzer, wodurch die Entfernung von bis zu 100 Benutzern möglich ist:
$Payload = @{adLogins=$FileContentEncoded;adToken=$INSTALL_TOKEN;teamId=$TEAM_ID;signature=$SignatureHash;publicKey=$PublicKeyHash;removalLimit=100}
Nachdem Ihre Benutzer über die Synchronisierung ausgeschlossen wurden, sollten Sie in Erwägung ziehen, den hinzugefügten Text zu entfernen, um ihn auf die Standardeinstellung zurückzusetzen, die 10 Benutzer oder 5 % aller Benutzer beträgt, je nachdem, welcher Wert größer ist.
Fehlermeldung „Dashlane Sync Error“ (Synchronisierungsfehler)
Die Dashlane-Synchronisierung gibt folgende Fehlermeldung zurück: „Dashlane Sync Error:System.NotSupporteDException - the response content cannot be parsed because the Internet Explorer engine is not available, or Internet Explorer’s first-launch configuration is not complete.“ Geben Sie den Parameter usebasicparsing an und versuchen Sie es erneut.
So beheben Sie den Fehler:
- Fügen Sie im PowerShell-Skript in der $response-Zeile (etwa in Zeile 158) -usebasicparsing hinzu.
- Speichern Sie das Skript und führen Sie es dann aus.