A felhasználói fiókok kezelése

A szervezethez tartozó Workplace-fiókokat vagy manuálisan kezeli a rendszeradminisztrátor, vagy automatikusan kezeli egy felhőalapú identitásszolgáltató. A Workplace emellett az Active Directory szolgáltatáson keresztüli, automatizált fiókkezelést is támogatja.

Felhőalapú identitásszolgáltató igénybevételével egyszerűen automatizálható a fiókok kezelése a Workplace szolgáltatásban. Identitás- és hozzáférés-kezelési partnereink az alábbi előnyöket nyújtják:
  • Felhasználói adatok központosítása: Az elsődleges identitástár (például a Microsoft Active Directory vagy az Oracle Directory Server) felhőcímtárhoz kapcsolásával szinkronizálhatók a különféle alkalmazások, így a Workplace felhasználói fiókjai is. A felhőalapú identitásszolgáltatás szoftverügynöke vagy beépülő modulja szinkronizálja az elsődleges identitástárban eszközölt módosításokat egy felhőben tárolt példányba.
  • Egységes nyilvántartás: Az elsődleges identitástár karbantartást igényel, mivel új emberek csatlakozhatnak a szervezethez, mások pedig távozhatnak onnan.
  • Fiókváltozások szinkronizálása a Workplace szolgáltatásba: A rendszer szinkronizálja a felhasználói fiókok adatainak és állapotának változásait a felhőalapú identitásszolgáltató és a Workplace között, így nincs szükség a felhasználók manuális adminisztrálására a szervezetbe való belépéskor, illetve az onnan való távozáskor.
A rendszer-adminisztrátorok kezdésképpen az itt megadott lépéseket követve tudnak létrehozni felhasználói fiókok kezelésére alkalmas egyéni integrációs alkalmazást. Így megkapod a konfigurálás befejezéséhez szükséges alábbi értékeket:
  • Hozzáférési kód: Az a token, amely lehetővé teszi egy alkalmazás számára a fiókok kezelését.
  • SCIM URL-cím: Az az API-végpont, amelyet a felhőalkalmazás használni fog a fiókok kezeléséhez.
  • Közösségi azonosító: A szervezet azonosítója, amely alapján a felhőalkalmazás meg tudja különböztetni egymástól a Workplace-példányokat.
Ezután kövesd a felhőalapú identitásszolgáltatód útmutatását.
Fontos tudni, hogy a Workplace natív integrációt biztosít a következő partnerekkel:
Hasznosnak találtad ezt az információt?
Az AD Sync komponens használatához az alábbiakra van szükség:
  • A szoftver telepítését egy AD-tartományi rendszergazdai jogosultságokkal rendelkező felhasználónak kell végeznie.
  • Az AD Sync komponens Windows Server 2012 R2 vagy Windows Server 2016 operációs rendszeren fut. Más konfigurációk is működhetnek (ha az operációs rendszer nyelvét angolra – en_US – állítják), de ezeket a Workplace nem támogatja.
  • Az Ad Sync komponenst olyan számítógépen kell futtatni, amely ugyanannak az AD-vezérlőnek a tartományához csatlakozik, mint a Workplace felhasználói. Ha a Workplace felhasználói több AD-tartományhoz tartoznak, elképzelhető, hogy mindegyik tartományban el kell végezned egy kiszolgálón az AD Sync telepítési és konfigurációs folyamatát.
  • A következő Microsoft-komponensekre van szükség, és ezeket telepítjük az AD Sync komponenssel együtt, ha még nincsenek telepítve a kiszolgálón: .NET Framework 4.5.2, továbbá az SQL Server 2014 Express LocalDB (az SQL Server Express egyszerűsített verziója) a felhasználói adatok tárolásához. Minden kumulatív frissítést telepíteni kell.
  • Minden olyan felhasználócsoportnál, akiket szeretnél szinkronizálni a Workplace from Facebook szolgáltatással, azonosítanod kell a következőket: a felhasználókat tartalmazó Active Directory-gyökérbejegyzés (root entry) megkülönböztető neve (DN) és vagy egy LDAP-szűrő vagy egy olyan Active Directory-csoport, amely azonosítja a Workplace szolgáltatással szinkronizálni kívánt felhasználókat.
  • A tartományvezérlődnek támogatnia kell az LDAPS- (SSL-) kapcsolatokat a 636-os porton keresztül.
Hasznosnak találtad ezt az információt?
A Workplace Active Directory-szinkronizáló komponens lehetővé teszi, hogy kiválasztott csoportokat és szervezeti egységeket szinkronizálj az Active Directory szolgáltatásból a Workplace szolgáltatásba, így nem lesz szükség a felhasználók manuális adminisztrációjára, amikor új emberek csatlakoznak a szervezethez, vagy távoznak onnan. Az Active Directory-szinkronizáló eszköz az alábbi feladatokat hajtja végre automatikusan:
  • Felhasználói fiókok létesítése (létrehozása), amikor új emberek csatlakoznak a szervezethez.
  • A felhasználói profil attribútumainak frissítése az idővel jelentkező változások alapján (pl. telefonszám megváltozása).
  • Felhasználói fiókok megszüntetése (inaktiválása), amikor emberek távoznak a szervezettől, vagy meg kell szüntetni a hozzáférésüket.
Az Active Directory-szinkronizáló eszköz Windows-szolgáltatásként fut az IT-infrastruktúrán belül. Miután úgy konfiguráltad, hogy lekérdezze az AD szolgáltatásból azt a felhasználói csoportot, amely számára hozzáférést szeretnél nyújtani a Workplace szolgáltatáshoz, az Active Directory-szinkronizáló eszköz háromóránként ütemezetten egyezteti egymással az AD és a Workplace fiókjait.
Megjegyzés: Ha az Active Directory szinkronizálva van a Workplace szolgáltatás partnereként működő felhőalapú identitásszolgáltatóval, javasoljuk, hogy közvetlenül integráld a Workplace szolgáltatást a felhőszolgáltatóval.
Hasznosnak találtad ezt az információt?
Az Active Directory-szinkronizáló komponens a következők korlátokkal rendelkezik:
  • Csak abból az Active Directory tartományból szinkronizálja a felhasználókat, amelyhez a szerver tartozik, illetve olyan azonos AD-erdőbe tartozó tartományba, amely megfelelő bizalmi kapcsolatokkal rendelkezik.
  • Úgy van konfigurálva, hogy csak LDAP-szűrők (például speciális felhasználói osztály vagy attribútumérték) vagy AD biztonsági és terjesztési csoportok alapján tud felhasználókat szinkronizálni.
  • Legfeljebb (körülbelül) 100 000 felhasználót tud kezelni az alapértelmezett, adminisztrátor nélküli SQL Server 2014 Express LocalDB funkció használatával. Ennél több felhasználó szinkronizálásához a saját adatbázisát kezelő adminisztrátorra van szükség.
  • Csak Active Directory tartományokon és a funkcionális szintű Windows Server 2012 erdőkön teszteltük.
  • Csak a következő felhasználói profilattribútumok leképezési szabályainak testreszabását engedélyezi: formázott név és helyszín. Minden egyéb attribútumot alapértelmezés szerint képez le.
  • Nem szinkronizálja azokat a felhasználókat, akiknél nincs beállítva AD-érték a következő három kötelező Workplace-mezőben: e-mail-cím, megjelenített név, vezetéknév.
Hasznosnak találtad ezt az információt?
Az AD Sync egyirányú szinkronizálással, kötegelt módon készít másolatot a kiválasztott felhasználók profiladatairól. Az AD Sync komponens nem ír vissza a címtárszolgáltatásba. Miután úgy konfiguráltad, hogy lekérdezze az AD-ből azt a felhasználói csoportot, amely számára hozzáférést szeretnél nyújtani a Workplace szolgáltatáshoz, az AD Sync háromóránként ütemezetten egyezteti egymással az AD és a Workplace fiókjait.
Hasznosnak találtad ezt az információt?