Funktionen bei der Integration in Active Directory
Durch die Integration von Marketing Platform mit Windows Active Directory werden die in diesem Abschnitt beschriebenen Funktionen bereitgestellt.
Authentifizierung bei der Integration in Active Directory
IBM EMM-Anwendungen senden eine Abfrage an Marketing Platform, um Informationen zur Benutzerautorisierung abzurufen. Wenn die Active Directory-Serverintegration implementiert und die integrierte Windows-Anmeldung aktiviert ist, werden Benutzer für alle IBM EMM-Anwendungen authentifiziert, sobald sie sich im Unternehmensnetzwerk angemeldet haben, und es ist kein Kennwort für die Anmeldung an IBM EMM-Anwendungen erforderlich. Die Benutzerauthentifizierung erfolgt auf Grundlage der Windows-Anmeldung. Die Anmeldeanzeigen der Anwendung werden umgangen.
Wenn die integrierte Windows-Anmeldung nicht aktiviert ist, müssen die Benutzer sich weiterhin über die IBM EMM-Anmeldeanzeige mit ihren Windows-Berechtigungsnachweisen anmelden.
In Anmeldenamen sind nur drei Sonderzeichen zulässig: Punkt (.), Unterstrich ( _ ) und Bindestrich (-). Wenn andere Sonderzeichen (einschließlich Leerzeichen) im Anmeldenamen eines Benutzers enthalten sind, den Sie von Ihrem Active Directory-Server in die Marketing Platform importieren wollen, müssen Sie den Anmeldenamen so ändern, dass der Benutzer auf keine Probleme stößt, wenn er sich abmeldet oder administrative Aufgaben ausführt (sofern der Benutzer Administratorberechtigung besitzt).
Verwalten interner und externer Benutzer
Wenn die integrierte Windows-Anmeldung aktiviert ist, werden alle Benutzer auf dem Active Directory-Server erstellt und verwaltet. (Sie haben nicht die Möglichkeit, Benutzer in Marketing Platform zu erstellen. Diese Benutzer werden in diesem Handbuch als "interne Benutzer" bezeichnet). Wenn Sie interne Benutzer erstellen müssen, darf die integrierte Windows-Anmeldung nicht aktiviert sein.
Wenn Sie sich dazu entschließen, die integrierte Windows-Anmeldung nicht zu aktivieren, befolgen Sie die Anweisungen für die Integration mit einem LDAP-Server. Weitere Informationen finden Sie unter Checkliste für die Konfiguration (Integration in LDAP).
Wenn die Integration konfiguriert wurde, können Sie die importierten Benutzeraccounts in der Marketing Platform nicht hinzufügen, ändern oder löschen. Sie müssen diese Management-Tasks auf der LDAP-Seite ausführen und Ihre Änderungen werden bei der Synchronisierung importiert. Wenn Sie importierte Benutzeraccounts in der Marketing Platform ändern, können Benutzer auf Probleme bei der Authentifizierung stoßen.
Benutzeraccounts, die Sie auf der LDAP-Seite löschen, werden auf der Marketing Platform nicht gelöscht. Sie müssen diese Accounts in der Marketing Platform manuell deaktivieren. Es ist sicherer, diese gelöschten Benutzeraccounts zu inaktivieren, anstatt sie zu löschen, da Benutzer Eigentumszugriffsrechte auf Ordner in Campaign haben. Wenn Sie ein Benutzeraccount löschen, das Eigentümer eines Ordners ist, sind die Objekte in dem betreffenden Ordner nicht mehr verfügbar.
Benutzer basierend auf Gruppen, Attributen oder dem Basis-DN importieren
Sie können einen von drei Filtertypen wählen, um die Benutzeraccounts auszuwählen, die vom LDAP-Server in die Marketing Platform importiert werden.
Sie müssen zwischen gruppenbasiertem und attributbasiertem Import und Import basierend auf dem definierten Namen wählen. Mehrere Methoden gleichzeitig werden nicht unterstützt.
Gruppenbasierter Import
Marketing Platform importiert Gruppen und die zugehörigen Benutzer aus der Datenbank des Verzeichnisservers über eine regelmäßige Synchronisationsaufgabe, die automatisch Informationen vom Verzeichnisserver abruft. Wenn Benutzer aus der Serverdatenbank in die Marketing Platform importiert werden, wird die jeweilige Gruppenzugehörigkeit beibehalten.
Sie können IBM EMM-Berechtigungen zuordnen, indem Sie eine Active Directory-Gruppe einer IBM EMM-Gruppe zuordnen. Aufgrund dieser Zuweisung können neue Benutzer, die der Active Directory-Gruppe zugeordnet wurden, die Berechtigungen übernehmen, die für die entsprechende IBM EMM-Gruppe festgelegt wurden.
Eine Untergruppe in der Marketing Platform übernimmt die Active Directory-Zuordnungen oder Benutzerzugehörigkeiten ihrer übergeordneten Gruppen nicht.
Weitere Informationen zum Konfigurieren des gruppenbasierten Imports finden Sie weiter unten in diesem Kapitel.
Attributbasierter Import
Wenn Sie keine Gruppen in Ihrem Active Directory-Server erstellen möchten, die sich auf bestimmte IBM EMM-Produkte beziehen, haben Sie die Möglichkeit, die importierten Benutzer durch die Angabe von Attributen zu steuern. Dazu müssen Sie folgende Schritte während des Konfigurationsprozesses ausführen.
1.
Bestimmen Sie die Zeichenfolge, die in Ihrem Active Directory-Server für die Attribute verwendet wird, nach denen Sie filtern möchten.
2.
Legen Sie die Eigenschaft Platform | Security | LDAP synchronization | LDAP user reference attribute name auf DN fest.
Dies zeigt der Marketing Platform an, dass die Synchronisation nicht auf einer Gruppe mit Mitgliedsreferenzen basiert, sondern auf einer Organisationseinheit oder Organisation.
3.
Wenn Sie die Eigenschaft LDAP-Referenzzuordnung konfigurieren, setzen Sie den Abschnitt "Filter" des Werts auf das Attribut, nach dem Sie suchen möchten. Verwenden Sie für den Filter die Zeichenfolge, die Sie in Schritt 1 festgelegt haben.
Wenn Sie die attributbasierte Synchronisation verwenden, ist die periodische Synchronisation immer eine vollständige Synchronisation und keine partielle Synchronisation, die für die gruppenbasierte Synchronisation ausgeführt wird. Für die attributbasierte Synchronisation sollten Sie die Eigenschaft LDAP-Synchronisationsintervall auf einen hohen Wert setzen oder auf 0, um die automatische Synchronisation zu inaktivieren und sich auf die vollständige Synchronisation zu verlassen, wenn Benutzer zum Verzeichnis hinzugefügt werden.
Folgen Sie zum Konfigurieren der Integration den Anweisungen weiter unten in diesem Kapitel. Ziehen Sie dabei für die Schritte zum Festlegen der Konfigurationseigenschaften die voranstehenden Anweisungen heran.
Import basierend auf dem definierten Namen
Wenn Sie eine sehr große Anzahl von Benutzern haben, empfiehlt es sich, diese basierend auf dem definierten Namen zu importieren. Dazu müssen Sie folgende Schritte während des LDAP-Installationsprozesses ausführen.
1.
Bestimmen Sie die Zeichenfolge, die in Ihrem Active Directory-Server für den Basis-DN verwendet wird.
2.
Legen Sie die Eigenschaft Platform | Security | LDAP synchronization | LDAP BaseDN periodic search enabled auf true fest.
Wenn diese Eigenschaft auf True gesetzt ist, führt Marketing Platform die LDAP-Synchronisationssuche mit dem definierten Namen aus der Eigenschaft Base DN in der Kategorie IBM EMM | Platform | Security | LDAP durch.
3.
Legen Sie die Eigenschaft Platform | Security | LDAP synchronization | LDAP user reference attribute name auf DN fest.
Dies zeigt der Marketing Platform an, dass die Synchronisation nicht auf einer Gruppe mit Mitgliedsreferenzen basiert, sondern auf einer Organisationseinheit oder Organisation.
4.
Wenn Sie die Eigenschaft Platform | Security | Login method details | LDAP synchronization | LDAP reference to IBM Marketing Platform group map | LDAP reference map konfigurieren, setzen Sie den Abschnitt "Filter" des Werts auf das Attribut, nach dem Sie suchen möchten. Verwenden Sie für den Filter die Zeichenfolge, die Sie in Schritt 1 festgelegt haben.
Folgen Sie zum Konfigurieren der Integration den Anweisungen weiter unten in diesem Kapitel. Ziehen Sie dabei für die Schritte zum Festlegen der Konfigurationseigenschaften die voranstehenden Anweisungen heran.
Informationen zu Active Directory und Partitionen
In Umgebungen mit mehreren Partitionen wird die Partitionszugehörigkeit eines Benutzers von der Gruppe bestimmt, zu der der Benutzer gehört, wenn die Gruppe einer Partition zugeordnet wird. Ein Benutzer kann nur zu einer Partition gehören. Wenn daher ein Benutzer Mitglied mehrerer Active Directory-Gruppen ist und diese Gruppen IBM EMM-Gruppen zugeordnet sind, die ihrerseits verschiedenen Partitionen zugewiesen sind, muss das System eine einzelne Partition für diesen Benutzer wählen.
Diese Situation sollte nach Möglichkeit vermieden werden. Tritt sie aber dennoch ein, gilt die Partition der IBM EMM-Gruppe, die zuletzt einer Active Directory-Gruppe zugeordnet war, als diejenige, der der Benutzer angehört. Informationen dazu, welche LDAP-Gruppe zuletzt zugeordnet war, finden Sie in den Active Directory-Gruppenzuordnungen, die im Konfigurationsbereich angezeigt werden. Diese werden in chronologischer Reihenfolge mit den letzten Zuweisungen an letzter Stelle angezeigt.
Synchronisation
Wenn IBM EMM für die Integration in einen Active Directory-Server konfiguriert wurde, werden Benutzer und Gruppen automatisch in zuvor festgelegten Intervallen synchronisiert. Während der automatischen Synchronisation werden nur die Benutzer und Gruppen (über die Konfiguration festgelegt) in IBM EMM übernommen, die seit der letzten Synchronisation erstellt oder geändert wurden. Sie können eine Synchronisation aller Benutzer und Gruppen mit der Synchronisationsfunktion im Benutzerbereich von IBM EMM erzwingen.
Sie können auch eine vollständige Synchronisation erzwingen, wie unter Erzwingen der Synchronisation externer Benutzer beschrieben.
Sonderzeichen in Anmeldenamen
LDAP-Benutzer, deren Anmeldenamen Sonderzeichen enthalten, können bei der Authentifizierung auf Probleme stoßen. Eine Liste der zulässigen Sonderzeichen finden Sie unter Referenz zum Fenster „Benutzer“. Ändern Sie die Anmeldenamen von LDAP-Accounts, die Sie in IBM EMM importieren wollen, wenn diese unzulässige Sonderzeichen enthalten.
Copyright IBM Corporation 2014. All Rights Reserved.