Als Administrator eines Dashlane-Geschäftstarifs können Sie Dashlane so konfigurieren, dass Active Directory (AD) Benutzer und Gruppen automatisch synchronisiert werden, um die automatische Bereitstellung und Aufhebung der Bereitstellung von Dashlane-Konten zu ermöglichen.
Verwalten Sie die Bereitstellung von Tarifmitgliedern mit SCIM
Videoanleitung
Dieses Video bietet eine detaillierte Anleitung zur Konfiguration von Dashlane, um Active Directory (AD)-Benutzer und -Gruppen automatisch zu synchronisieren, um die automatische Bereitstellung und die Bereitstellung von Dashlane-Konten aufzuheben.
Erstellen Sie eine AD-Gruppe und ein Dienstkonto
- Melden Sie sich bei einem Windows Server mit dem Active Directory-Benutzer und -Computer-Modul an.
- Erstellen oder identifizieren Sie eine Gruppe, deren Mitglieder Sie zu Ihrem Tarif einladen möchten. Wenn keine Gruppe existiert, empfehlen wir, eine Gruppe namens "AllDashlaneUsers" zu erstellen.
- Fügen Sie der Gruppe mindestens einen AD-Benutzer mit einer E-Mail-Adresse hinzu.
- Erstellen Sie einen Active Directory-Benutzer, den Sie zum Ausführen des Synchronisierungsskripts verwenden werden, gemeinhin als Dienstkonto bezeichnet. Im Beispielvideo erstellen wir das Dienstkonto "SA_DashlaneSync".
- Fügen Sie das Dienstkonto der lokalen Administratoren-Gruppe hinzu, damit es sich an der Maschine anmelden und PowerShell-Skripte ausführen kann.
- Melden Sie sich als neu erstelltes Dienstkonto an.
Konfigurieren Sie die Administrator-Konsole
Um Ihr Konto für die AD-Synchronisierung zu konfigurieren:
- Melden Sie sich bei der Administrator-Konsole an.
- Wählen Sie Integrationen, Bereitstellung und dann Einrichten für Active Directory.
- Schalten Sie Automatische Benutzerbereitstellung und Gruppensynchronisierung ein.
- Sobald Sie die Synchronisierung und dass alle aktuellen Dashlane-Mitglieder im Bereich der Synchronisierung sind, überprüft haben, erwägen Sie, die Automatische Benutzerbereitstellungsaufhebung einzuschalten.
- Wählen Sie Kopieren, um das im grauen Fenster angezeigte Dashlane AD-Skript in Ihre Zwischenablage zu kopieren.
Active Directory und das Synchronisierungsskript konfigurieren
- Melden Sie sich bei einem Windows Server oder einer Workstation mit Windows PowerShell 3.0 oder höher mit dem Dienstkonto an, das wir zuvor erstellt haben.
- Wenn Sie dies noch nicht getan haben, erstellen Sie oder identifizieren Sie eine Active Directory Sicherheitsgruppe, die Sie mit Dashlane synchronisieren möchten.
- Wir empfehlen, eine neue Gruppe mit dem Namen AllDashlaneUsers zu erstellen.
- Fügen Sie Benutzer zu der Gruppe hinzu, die Dashlane Konten haben sollen.
- Öffnen Sie PowerShell ISE und wählen Sie Datei und dann Neu.
- Fügen Sie das Script ein, das in Ihrer Zwischenablage aus Schritt 4 in Konfigurieren der Administrator-Konsole gespeichert ist.
-
Bearbeiten Sie Zeile 21 des Scripts und geben Sie die Gruppennamen ein, die Sie mit Dashlane synchronisieren möchten.
- Speichern Sie das PowerShell-Script auf dem lokalen Rechner.
-
Führen Sie das Skript aus, indem Sie den grünen Pfeil in PowerShell ISE auswählen.
- Stellen Sie sicher, dass das Skript Folgendes zurückgibt: "code":200,"message":"OK"
- Kopieren Sie die Textzeichenfolge zwischen den Strichen in Ihre Zwischenablage.
- Gehen Sie zurück zur Administrator-Konsole und aktualisieren Sie die Seite.
- Wählen Sie im Sicherheitsschlüssel verifizieren Pop-up Weiter.
- Geben Sie die Textzeichenfolge aus Ihrer Zwischenablage, die Sie aus Schritt 10 kopiert haben, in das Textfeld ein und wählen Sie Jetzt verifizieren.
Synchronisierung verifizieren
- Sehen Sie sich in der Administrator-Konsole die Registrierkarte Benutzer an und überprüfen Sie, ob neue Tarif-Mitglieder einen ausstehenden Einladung-Status haben.
- Sehen Sie sich auf der Registrierkarte Gruppen die Gruppen an, die synchronisiert wurden.
- Um den AD-Synchronisierungsstatus in der Administrator-Konsole anzusehen, wählen Sie Integrationen und dann Bereitstellung. Wählen Sie dann Einrichten für Active Directory.
- Nachdem Sie bestätigt haben, dass alle synchronisierten Mitglieder in den Active Directory-Synchronisierungsgruppen enthalten sind, empfehlen wir, die automatische Benutzer-Bereitstellungsaufhebung zu aktivieren.
Planen Sie eine regelmäßige Synchronisierung mit dem Task Scheduler
Mit dem auf Ihrer Domain gespeicherten Skript können Sie es so planen, dass es in einem von Ihnen definierten Intervall automatisch ausgeführt wird.
Hinweis: Das Tarif-Mitglied-Konto, das für die Ausführung dieser Aufgabe festgelegt ist, muss in der Lage sein, Organisationseinheiten (OU's) und Mitgliedskonten in Ihrer Active Directory-Umgebung zu lesen.
- Stellen Sie sicher, dass Sie unter demselben Dienstkonto angemeldet sind, das Sie für die initiale Synchronisierung verwendet haben.
- Die Planung dieser Ausführung mit einem anderen Konto funktioniert nicht, da der synchronisierte Schlüssel vom Rechner und Mitglied, das für die Synchronisierung verwendet wird, abgeleitet ist und gleich bleiben muss.
- Öffnen Sie den Taskplaner auf dem Windows-Server, der das Skript ausführen wird.
- Wählen Sie Taskplaner-Bibliothek.
- Wählen Sie die Aktion-Registrierkarte im Menü oben links.
- Wählen Sie Erstellen Aufgabe.
- Wählen Sie die Allgemein-Registrierkarte.
- Geben Sie im Textfeld Name Dashlane AD Sync ein.
- Wählen Sie Sicherheitsoptionen.
- Wählen Sie in den Sicherheitsoptionen die Kontrollkästchen für Unabhängig davon ausführen, ob der Benutzer angemeldet ist oder nicht und Mit höchsten Privilegien ausführen.
Planen Sie einen Zeitplan für das Skript, indem Sie einen neuen Trigger erstellen. Im folgenden Beispiel wird es täglich um 1:00 Uhr ausgeführt.
- Wählen Sie die Aktionen-Registrierkarte.
- Wählen Sie Neue Aktion.
- Geben Sie unter Programm/Skript Folgendes ein: powershell
- Unter Argumente hinzufügen (optional), fügen Sie Folgendes ein:
-file C:\FilePathtoPowershellScript\dashlane-ad-sync.ps1
Einige Überlegungen
- Sobald Sie die Synchronisierung konfiguriert haben, empfehlen wir, Ihre Dashlane-Gruppen und Tarif-Mitglieder ausschließlich über Ihr Active Directory zu verwalten.
- Alle vom Skript berücksichtigten Mitglieder müssen eine festgelegte E-Mail-Adresse im Active Directory haben.
- Administratoren können nicht alle Administratoren von der Bereitstellung aufheben, da jeder Tarif mindestens einen aktiven Administrator haben muss.
- Jeder Tarif muss mindestens einen aktiven Rechnungskontakt haben.
- Die Anzahl der Mitglieder in den synchronisierten Gruppen darf nicht höher sein als die verfügbaren Lizenzen in Ihrem Konto.
Benutzer-Only-Synchronisieren
Um nur die AD-Gruppenmitglieder zu synchronisieren und keine Dashlane-Teilungsgruppe zu erstellen, bearbeiten Sie die Zeilen 124 und 125 des AD-Synchronisations-Skripts.
Beispiel:
Vor der Änderung in Zeile 124 und 125:
$DataStr += $GroupInfo.ObjectGUID
$DataStr += $GroupInfo.Name
Nach der Änderung in Zeile 124 und 125:
$DataStr += $GroupInfo.Sync_Users_Only
$DataStr += $GroupInfo.Sync_Users_Only
Fehlermeldungen
Fehlermeldung 400
Dashlane-Synchronisierung antwortete mit folgendem: {"code":400,"message":"Bad Request"}
Um den Fehler zu beheben:
- Stellen Sie sicher, dass Sie nicht versuchen, mehr Mitglieder zu synchronisieren, als Sie Lizenzen erworben haben.
- Stellen Sie sicher, dass das Active Directory-Modul für Windows PowerShell installiert ist.
- Stellen Sie sicher, dass Sie HTTPS-Sicherheitseinstellungen konfiguriert haben.
- Stellen Sie sicher, dass sich mindestens ein Benutzer mit einer E-Mail-Adresse in der Active Directory-Gruppe befindet, die Sie synchronisieren möchten.
Kein Verzeichnissynchronisierungsschlüssel wird angezeigt
Um den Fehler zu beheben:
- Ändern Sie in Ihrem PowerShell-Skript die DashlaneDirectorSyncKey##-Variable in eine neue Nummer, um einen neuen Synchronisierungsschlüssel zu erzwingen.
- Speichern und führen Sie das Skript aus.
Beispiel:
Vor der Änderung in Zeile 104 (kann je nach Anzahl der Gruppen um ein paar Nummern abweichen):
$CspParameters.KeyContainerName = "DashlaneDirectorySyncKey53"
Nach der Änderung in Zeile 104:
$CspParameters.KeyContainerName = "DashlaneDirectorySyncKey54"
Fehlermeldung 403
Dashlane-Sync antwortete mit folgendem: {"code":403,"message":"Verboten"}
Um den Fehler zu beheben:
- Melden Sie sich bei der Administrator-Konsole an.
- Wählen Sie Integrationen und dann Bereitstellung. Wählen Sie dann Einrichten für Active Directory aus.
- Aktivieren Sie die automatische Benutzer- und Gruppen-Bereitstellung.
Fehlermeldung Error member_removal_over_limit
Das AD-Synchronisierungsskript hat eine eingebaute Begrenzung, die versehentliche Massenabmeldungen von Benutzern verhindert. Gelegentlich ist eine Massenabmeldung von Benutzern notwendig, daher müssen Sie das Limit der Benutzer, die Sie von Ihrem Plan abmelden können, erhöhen.
Um den Fehler zu beheben:
- Fügen Sie in Ihrem PowerShell-Skript ein ";removalLimit=###" ans Ende der folgenden Zeile (um Zeile 155) hinzu und führen Sie das Skript manuell aus.
Beispiel: Dieses Beispiel meldet 100 Benutzer mit dem Synchronisierungsskript ab.
Vor der Änderung um Zeile 155:
Nach der Änderung des Abmelde-Limits auf 100 Benutzer, was die Abmeldung von bis zu 100 Benutzern ermöglicht:
$Payload = @{adLogins=$FileContentEncoded;adToken=$INSTALL_TOKEN;teamId=$TEAM_ID;signature=$SignatureHash;publicKey=$PublicKeyHash;removalLimit=100}
Nachdem Ihre Benutzer über die Synchronisierung offboarded wurden, sollten Sie in Betracht ziehen, den hinzugefügten Text zu entfernen, um ihn auf die Standardeinstellung zurückzusetzen, die 10 Benutzer oder 5 % aller Benutzer beträgt, je nachdem, was größer ist.
Fehlermeldung Dashlane-Synchronisierungsfehler
Dashlane-Synchronisierung antwortete mit folgendem: Dashlane-Synchronisierungsfehler: System.NotSupporteDException - der Antwortinhalt kann nicht analysiert werden, da die Internet Explorer-Engine nicht verfügbar ist oder die Erstkonfiguration von Internet Explorer nicht abgeschlossen ist. Geben Sie den Parameter usebasicparsing an und versuchen Sie es erneut.
Um den Fehler zu beheben:
- Fügen Sie die -usebasicparsing-Schalter zur $response-Zeile im Powershell-Skript hinzu, etwa bei Zeile 158.
- Speichern und führen Sie das Skript aus.