Funktionen bei der Integration in LDAP

IBM EMM-Anwendungen senden eine Abfrage an Marketing Platform, um Informationen zur Benutzerautorisierung abzurufen. Wenn die Integration in LDAP implementiert ist, geben die Benutzer Ihren gültigen LDAP-Benutzernamen und das zugehörige Kennwort zur Authentifizierung bei IBM EMM-Anwendungen ein.

In Anmeldenamen sind nur drei Sonderzeichen zulässig: Punkt (.), Unterstrich ( _ ) und Bindestrich (-). Wenn andere Sonderzeichen (einschließlich Leerzeichen) im Anmeldenamen eines Benutzers enthalten sind, den Sie von Ihrem LDAP-Server in die Marketing Platform importieren wollen, müssen Sie den Anmeldenamen so ändern, dass der Benutzer auf keine Probleme stößt, wenn er sich abmeldet oder administrative Aufgaben ausführt (sofern der Benutzer Administratorberechtigung besitzt).

Wenn die Integration konfiguriert wurde, können Sie die importierten Benutzeraccounts in der Marketing Platform nicht hinzufügen, ändern oder löschen. Sie müssen diese Management-Tasks auf der LDAP-Seite ausführen und Ihre Änderungen werden bei der Synchronisierung importiert. Wenn Sie importierte Benutzeraccounts in der Marketing Platform ändern, können Benutzer auf Probleme bei der Authentifizierung stoßen.

Benutzeraccounts, die Sie auf der LDAP-Seite löschen, werden auf der Marketing Platform nicht gelöscht. Sie müssen diese Accounts in der Marketing Platform manuell deaktivieren. Es ist sicherer, diese gelöschten Benutzeraccounts zu inaktivieren, anstatt sie zu löschen, da Benutzer Eigentumszugriffsrechte auf Ordner in Campaign haben. Wenn Sie ein Benutzeraccount löschen, das Eigentümer eines Ordners ist, sind die Objekte in dem betreffenden Ordner nicht mehr verfügbar.

Sie können einen von drei Filtertypen wählen, um die Benutzeraccounts auszuwählen, die vom LDAP-Server in die Marketing Platform importiert werden.

Sie müssen zwischen gruppenbasiertem und attributbasiertem Import und Import basierend auf dem definierten Namen wählen. Mehrere Methoden gleichzeitig werden nicht unterstützt.

Gruppenbasierter Import

Marketing Platform importiert Gruppen und die zugehörigen Benutzer aus der Datenbank des Verzeichnisservers über eine regelmäßige Synchronisationsaufgabe, die automatisch Informationen vom Verzeichnisserver abruft. Wenn Benutzer aus der Serverdatenbank in die Marketing Platform importiert werden, wird die jeweilige Gruppenzugehörigkeit beibehalten.

Sie können IBM EMM-Berechtigungen zuordnen, indem Sie eine LDAP-Gruppe einer IBM EMM-Gruppe zuordnen. Aufgrund dieser Zuweisung können neue Benutzer, die der LDAP-Gruppe zugeordnet wurden, die Berechtigungen übernehmen, die für die entsprechende IBM EMM-Gruppe festgelegt wurden.

Eine Untergruppe in der Marketing Platform erbt die LDAP-Zuordnungen oder Benutzerzugehörigkeiten ihrer übergeordneten Gruppen nicht.

Weitere Informationen zum Konfigurieren des gruppenbasierten Imports finden Sie weiter unten in diesem Kapitel.

Attributbasierter Import

Wenn Sie keine Gruppen in Ihrem LDAP-Server erstellen möchten, die sich auf bestimmte IBM EMM-Produkte beziehen, haben Sie die Möglichkeit, die importierten Benutzer durch die Angabe von Attributen zu steuern. Dazu müssen Sie folgende Schritte während des LDAP-Installationsprozesses ausführen.

2.	Legen Sie die Eigenschaft Platform \| Security \| LDAP synchronization \| LDAP user reference attribute name auf DN fest.

Dies zeigt der Marketing Platform an, dass die Synchronisation nicht auf einer Gruppe mit Mitgliedsreferenzen basiert, sondern auf einer Organisationseinheit oder Organisation.

3.	Wenn Sie die Eigenschaft LDAP-Referenzzuordnung konfigurieren, setzen Sie den Abschnitt "Filter" des Werts auf das Attribut, nach dem Sie suchen möchten. Verwenden Sie für den Filter die Zeichenfolge, die Sie in Schritt 1 festgelegt haben.

Wenn Sie die attributbasierte Synchronisation verwenden, ist die periodische Synchronisation immer eine vollständige Synchronisation und keine partielle Synchronisation, die für die gruppenbasierte Synchronisation ausgeführt wird. Für die attributbasierte Synchronisation sollten Sie die Eigenschaft LDAP-Synchronisationsintervall auf einen hohen Wert setzen oder auf 0, um die automatische Synchronisation zu inaktivieren und sich auf die vollständige Synchronisation zu verlassen, wenn Benutzer zum Verzeichnis hinzugefügt werden.

Import basierend auf dem definierten Namen

Wenn Sie eine sehr große Anzahl von Benutzern haben, empfiehlt es sich, diese basierend auf dem definierten Namen zu importieren. Dazu müssen Sie folgende Schritte während des LDAP-Installationsprozesses ausführen.

2.	Legen Sie die Eigenschaft Platform \| Security \| \| LDAP synchronization \| LDAP BaseDN periodic search enabled auf true fest.

Wenn diese Eigenschaft auf True gesetzt ist, führt Marketing Platform die LDAP-Synchronisationssuche mit dem definierten Namen aus der Eigenschaft Base DN in der Kategorie IBM EMM | Platform | Security | LDAP durch.

3.	Legen Sie die Eigenschaft Platform \| Security \| LDAP synchronization \| LDAP user reference attribute name auf DN fest.

Dies zeigt der Marketing Platform an, dass die Synchronisation nicht auf einer Gruppe mit Mitgliedsreferenzen basiert, sondern auf einer Organisationseinheit oder Organisation.

Wenn Sie die Eigenschaft Platform | Security | LDAP synchronization | LDAP reference to IBM Marketing Platform group map | LDAP reference map konfigurieren, legen Sie den Abschnitt "Filter" des Werts auf das Attribut fest, nach dem Sie suchen möchten. Verwenden Sie für den Filter die Zeichenfolge, die Sie in Schritt 1 festgelegt haben.

In Umgebungen mit mehreren Partitionen wird die Partitionszugehörigkeit eines Benutzers von der Gruppe bestimmt, zu der der Benutzer gehört, wenn die Gruppe einer Partition zugeordnet wird. Ein Benutzer kann nur zu einer Partition gehören. Folglich gilt: Wenn ein Benutzer Mitglied mehrerer LDAP-Gruppen ist und diese Gruppen IBM EMM-Gruppen zugeordnet sind, die wiederum unterschiedlichen Partitionen zugewiesen sind, muss das System für den betreffenden Benutzer eine einzelne Partition auswählen.

Diese Situation sollte nach Möglichkeit vermieden werden. Tritt sie aber dennoch ein, gilt die Partition der IBM EMM-Gruppe, die zuletzt einer LDAP-Gruppe zugeordnet wurde, als diejenige, der der Benutzer angehört. Informationen dazu, welche LDAP-Gruppe zuletzt zugeordnet wurde, finden Sie in den LDAP-Gruppenzuordnungen, die im Konfigurationsbereich angezeigt werden. Diese werden in chronologischer Reihenfolge mit den letzten Zuweisungen an letzter Stelle angezeigt.

IBM EMM unterstützt zwei Benutzerkonten- und Benutzergruppenarten.

Intern – Benutzerkonten und -gruppen, die über die IBM EMM-Sicherheitsbenutzeroberfläche in IBM EMM erstellt wurden. Diese Benutzer werden über Marketing Platform authentifiziert.

Extern – Benutzerkonten und -gruppen, die mittels Synchronisation mit einem unterstützten LDAP-Server in IBM EMM importiert wurden. Diese Synchronisation geschieht nur dann, wenn IBM EMM für die Integration in den LDAP-Server konfiguriert wurde. Diese Benutzer werden über den LDAP-Server authentifiziert.

Es empfiehlt sich, beide Arten von Benutzern und Gruppen zu verwenden, wenn Sie z. B. Ihren Kunden den Zugriff auf IBM EMM-Anwendungen gewähren, sie jedoch nicht als vollständige Unternehmensbenutzer zu Ihrem LDAP-Server hinzufügen möchten.

Die Verwendung dieses hybriden Authentifizierungsmodell bedeutet mehr Verwaltungsaufwand als ein Modell mit reiner LDAP-Authentifizierung.

Wenn IBM EMM für die Integration in einen LDAP-Server konfiguriert wurde, werden Benutzer und Gruppen in zuvor festgelegten Intervallen automatisch synchronisiert.

Während der automatischen Synchronisation werden nur die Benutzer und Gruppen (über die Konfiguration festgelegt) in IBM EMM übernommen, die seit der letzten Synchronisation erstellt oder geändert wurden. Sie können eine Synchronisation aller Benutzer und Gruppen mit der Synchronisationsfunktion im Benutzerbereich von IBM EMM erzwingen.