Introductie

LDAP-bronnen worden vaak gebruikt om Zivver-gebruikersaccounts aan te maken op basis van Microsoft Active Directory (AD)-gebruikersaccounts.

De synchronisatie verloopt éénrichtingsverkeer: van AD naar Zivver, niet andersom. Je kunt met filters bepalen welke accounts vanuit AD naar Zivver worden gesynchroniseerd. Filters kunnen bijvoorbeeld een AD-organisatie-eenheid (OU) of beveiligingsgroep (SG) zijn.

Het wordt niet aanbevolen om Zivver-gebruikersaccounts aan te maken voor (geblokkeerde) AD-gebruikersaccounts die behoren tot een gedeelde Exchange-mailbox. Zie Exchange-bronnen configureren om gedeelde Exchange-mailboxen te synchroniseren met Zivver.

Broninformatie

1. Voer een Source name in.
   Bijvoorbeeld “Microsoft Active Directory” of de naam van het Active Directory-forest.
2. Voer een Source description in.
   Bijvoorbeeld de naam van de beheerder die deze LDAP-bron heeft geconfigureerd.
3. Selecteer een Default phone number region.
   Dit helpt de Synctool mobiele telefoonnummers met een landcode eenvoudig te herkennen.

Verbinding

Met deze instellingen kan de Synctool verbinding maken met de server waarop je Active Directory draait.

• Host name
  Dit is de hostnaam van de domeincontroller, bijvoorbeeld ad.example.org, of het IP-adres van die server. Dit veld is verplicht.

• Port
  Deze poort wordt gebruikt voor de LDAP-verbinding. Vul 636 in en vink Use implicit TLS aan. Dit veld is verplicht.

• Authorized user
  Vul de gebruikersnaam in van het (service)account met alleen-lezenrechten in Active Directory, zoals vermeld in de vereisten voor de Synctool. Meestal moet je hierbij ook de domeinnaam opgeven, bijvoorbeeld bedrijf\svc_account. Dit veld is verplicht.

• Password
  Voer het wachtwoord van het serviceaccount in. Dit veld is verplicht.

• Base DN
  Voer vanuit Active Directory de distinguished name in van de Organisatie-Eenheid (OU) die al je gebruikers bevat. Dit veld is verplicht.
  

  Opmerking

  Kies een Base DN hoog in je AD-structuur
  Gebruikers die niet in de OU staan die is opgegeven bij Base DN, worden niet gesynchroniseerd met Zivver — ook niet als filters zijn toegepast. Omgekeerd worden Zivver-accounts gedeactiveerd of verwijderd als ze niet onder de opgegeven OU vallen.
  1. Open Active Directory - gebruikers en groepen.
  2. Klik met de rechtermuisknop op de Active Directory-OU die alle gebruikers bevat (de bovenliggende OU).
  3. Selecteer Eigenschappen.
  4. Open het tabblad Kenmerkeditor.
     In de Kenmerkeditor vind je de distinguished name.
  5. Kopieer de distinguished name.
  6. Plak deze in de Synctool bij Base DN.

Tip

Worden niet alle gebruikers weergegeven in de gegevenspreview?
Kies een Base DN hoger in de AD-domeinstructuur, zoals DC=bedrijf,DC=org. Maak je geen zorgen over te veel resultaten — die kun je later nog filteren.

• Paging
  Verhoog de waarde voor paging als er meer dan 1.000 gebruikers worden verwacht.
  

  Tip

  Nog steeds niet alle gebruikers zichtbaar in de gegevenspreview?
  Zonder paging geeft AD maximaal 1.000 resultaten terug. Met paging haalt de Synctool meerdere sets op en toont die samen als één geheel. Als niet alle accounts worden getoond, verhoog dan het paging-getal stapsgewijs met 1.000 totdat alle gebruikers verschijnen. De waarde kan worden verhoogd tot maximaal 100.000.
  Meer informatie over paging in AD.

• LDAP query (replaces the Base DN)
  Je kunt LDAP-queries gebruiken om direct op Active Directory te zoeken. Laat dit veld leeg als je niet vertrouwd bent met LDAP-queries.
  Meer informatie vind je op de Microsoft Wiki over LDAP-filters.

• Test connection
  Klik op Test connection om te controleren of de Synctool een LDAP-verbinding kan opzetten met de opgegeven configuratie.
  Als de verbinding wordt geweigerd, kan de Synctool geen verbinding maken met de AD-server via LDAP met de opgegeven gegevens. Veelvoorkomende oorzaken zijn:

  • De hostnaam is onjuist.
    Het IP-adres mag ook worden gebruikt in plaats van de FQDN.
  • De opgegeven poort wordt geblokkeerd door een firewall.
    Probeer zowel 636 met Use implicit TLS ingeschakeld, als 389 met die optie uitgeschakeld.
  • De geautoriseerde gebruiker heeft geen leesrechten in deze Active Directory.
  • De geautoriseerde gebruiker moet mogelijk wél of juist niet de domeinnaam voor de accountnaam gebruiken.
    Probeer zowel bedrijf\svc_account als svc_account.
  • Het wachtwoord is onjuist ingevoerd.
    Voer het wachtwoord opnieuw in.

Gebruikers

User Field Mapping (LDAP) koppelt Active Directory-gebruikersattributen aan Zivver-gebruikersattributen, zodat Zivver-gebruikers automatisch kunnen worden aangemaakt op basis van informatie uit Active Directory.

Voor elk Zivver-attribuut (vetgedrukt) in de Synctool kun je een Active Directory-attribuut selecteren in het keuzemenu.

Tip

Gebruik standaard Microsoft AD-attributen
Je kunt de standaard AD-attributen gebruiken door op Use MS AD Defaults te klikken. Hiermee vul je snel de aanbevolen AD-attributen in.

Internal Id

• Standaard AD-attribuut: objectGUID

Zivver gebruikt de Internal ID om gebruikers te identificeren. De objectGUID van Microsoft AD is een betrouwbare identificatie omdat deze nooit verandert, zelfs niet als de gebruiker wordt hernoemd of verplaatst. Door de Internal ID te gebruiken, wordt het e-mailadres van een gebruiker in Zivver automatisch bijgewerkt wanneer dit in Exchange verandert.

Zie Account Mapping voor meer informatie over de Internal ID.

Email

• Standaard AD-attribuut: proxyAddresses(SMTP)

Zivver-accounts moeten een e-mailadres hebben als gebruikersnaam. proxyAddresses gebruikt het primaire e-mailadres (SMTP-adres) uit het AD-attribuut proxyAddresses.

Als je geen aliassen wilt synchroniseren naar Zivver of als je organisatie geen aliassen gebruikt, kun je ook mail gebruiken als AD-attribuut. Open hiervoor het keuzemenu en selecteer een alternatief AD-attribuut.

Full name

• Standaard AD-attribuut: name

De naam van een gebruiker. Deze naam wordt weergegeven in Zivver-notificatieberichten. Het is daarom aan te raden een attribuut te selecteren dat zowel de voor- als achternaam bevat. Veelgebruikte alternatieven zijn displayName, userPrincipalName en givenName. Gebruik een van deze als name niet de juiste naam van een gebruiker geeft.

ZivverAccountKey

• Standaard AD-attribuut: objectGUID

Het is aan te raden een AD-attribuut te gebruiken met een lange, willekeurige en unieke waarde als ZivverAccountKey. Als er geen dergelijk uniek attribuut beschikbaar is voor elke gebruiker in AD, gebruik dan objectGUID.

Mobile phone

• Standaard AD-attribuut: mobile

Mobiele telefoonnummers worden gebruikt om automatisch 2FA via sms in te stellen voor gebruikers die een mobiel nummer in AD hebben. Vermijd vaste nummers, omdat deze vaak geen sms-codes kunnen ontvangen. Hierdoor kan de gebruiker niet inloggen wanneer Zivver om een tweede factor vraagt.

Is active

• Standaard AD-attribuut: userAccountControl

De waarde van userAccountControl bepaalt of een Zivver-account wordt aangemaakt, gepauzeerd of verwijderd. Als een AD-gebruiker actief is en een e-mailadres, naam en ZivverAccountKey heeft, wordt er een Zivver-account aangemaakt als er nog geen account voor dat e-mailadres bestaat. Het wordt afgeraden om userAccountControl te wijzigen naar een ander AD-attribuut.

Delegates

• Standaard AD-attribuut: MsExchDelegateListLink

Gemachtigden krijgen volledige toegang tot de Zivver-inbox van een persoonlijk account. Volledige toegangsrechten die in Exchange zijn ingesteld, worden automatisch gekoppeld aan het attribuut MsExchDelegateListLink in AD.

Opmerking

Gemachtigden werken niet in hybride Exchange-omgevingen
Automatische toewijzing werkt niet zoals verwacht in Office 365 hybride omgevingen. In dit Microsoft-artikel wordt uitgelegd dat automatische toewijzing aan MsExchDelegateListLink niet werkt wanneer je organisatie Active Directory on-premises gebruikt in combinatie met Exchange Online (Office 365 Hybrid). Gebruik in dat geval Exchange-bronsynchronisatie.

Aliases

• Standaard AD-attribuut: proxyAddresses(smtp)

Haalt SMTP-adressen op uit het AD-attribuut proxyAddresses. Andere adressoorten, zoals SIP- en X500-adressen, worden genegeerd.

Zorg ervoor dat alle domeinen onder de SMTP-adressen ofwel worden uitgesloten door de Domeinfilters, of zijn geclaimd in Zivver.

Groepen

Group Field Mapping (LDAP) koppelt geschorste Active Directory-gebruikersaccounts die verbonden zijn met Exchange shared mailboxes aan Zivver functionele account-attributen, zodat Zivver functionele accounts automatisch kunnen worden aangemaakt op basis van het AD-object dat gekoppeld is aan een Exchange shared mailbox.

Opmerking

Group Field Mapping (LDAP) wordt niet aanbevolen
Dit is een legacy-functie en Zivver raadt het gebruik ervan af. Gebruik in plaats daarvan Exchange source synchronizations om shared mailboxes naar Zivver te synchroniseren.

Schakel Get Active Directory groups from LDAP in om mail-enabled security groups in Active Directory naar Zivver te synchroniseren als functionele accounts.

Schakel zowel Get Active Directory groups from LDAP als Get users with members as groups (this will disable getting users in this source) in om geschorste AD-objecten naar Zivver te synchroniseren als functionele accounts.

Opmerking

Get users with members as groups (this will disable getting users in this source)
Als je deze functie inschakelt, kun je geen AD-objecten koppelen aan gebruikersmailboxen via deze bron. Voeg een andere LDAP-bron toe om AD-objecten van gebruikersmailboxen te synchroniseren.

Internal Id

• Standaard AD-attribuut: objectGUID

Zivver gebruikt de Internal Id om objecten te identificeren. De objectGUID van Microsoft AD is betrouwbaar omdat deze nooit verandert, zelfs niet als het object wordt hernoemd of verplaatst. Door Internal Id te gebruiken, wordt het e-mailadres in Zivver automatisch aangepast wanneer het in Exchange wordt gewijzigd.

Bezoek Account Mapping voor meer informatie over de Internal Id.

E-mail

• Standaard AD-attribuut: proxyAddresses(SMTP)

Zivver-accounts moeten een e-mailadres hebben als gebruikersnaam. proxyAddresses neemt het primaire e-mailadres (SMTP-adres) uit het AD-attribuut proxyAddresses.

Als je geen aliassen naar Zivver wilt synchroniseren of je organisatie gebruikt geen aliassen, kun je ook mail als AD-attribuut gebruiken. Selecteer een alternatief AD-attribuut in het dropdownmenu.

Full name

• Standaard AD-attribuut: displayName

De naam van een shared mailbox. Deze naam wordt weergegeven in Zivver-notificaties. Het is aanbevolen een attribuut te selecteren dat de volledige naam bevat. Andere veelgebruikte attributen zijn displayName, userPrincipalName of givenName. Gebruik deze alternatieven als name niet de volledige naam van de shared mailbox geeft.

Is active

• Standaard AD-attribuut: <empty>

Dit veld moet altijd leeg blijven. Als hier userAccountControl staat, verwijder dit en zorg dat het veld leeg blijft.

Aliassen

• Standaard AD-attribuut: proxyAddresses

Haalt SMTP-adressen op uit het AD-attribuut proxyAddresses. Andere adressen, zoals SIP- en X500-adressen, worden genegeerd.

Zorg ervoor dat alle domeinen die onder SMTP-adressen worden vermeld, ofwel zijn uitgesloten door de Domain Filters of geclaimd in Zivver.

Mapping of the group members User is member of group

• Standaard AD-attribuut: memberOf

Haalt de leden van mail-enabled security groups op uit het memberOf-attribuut.

Group has members

• Standaard AD-attribuut: MsExchDelegateListLink

Delegates krijgen volledige toegang tot de Zivver-inbox van een persoonlijk account. Volledige toegangsdelegaties die in Exchange zijn geconfigureerd, worden automatisch gemapt naar het AD-attribuut MsExchDelegateListLink.

Als gebruikers via Outlook zelf toegang tot hun mailbox mogen delegeren, kun je ook publicDelegates als invoer gebruiken.

Opmerking

Delegates werken niet in hybride Exchange-omgevingen
Auto-mapping werkt niet zoals verwacht in Office 365 hybride omgevingen. Dit Microsoft-artikel legt uit dat auto-mapping naar MsExchDelegateListLink niet werkt wanneer je organisatie Active Directory on-premise gebruikt samen met Exchange Online (Office 365 Hybrid). Gebruik in plaats daarvan Exchange source synchronizations.

Find group members recursively (add members of child groups also to the parten group)

Deze functie werkt alleen als je mail-enabled security groups synchroniseert die andere security groups bevatten in het memberOf-veld.

Organisatie-eenheden

Organizational Units Mapping koppelt gebruikers en groepen van je LDAP-bron aan organisatie-eenheden (OU’s) in Zivver.

Als je organisatie geen organisatie-eenheden gebruikt in Zivver, laat dan de standaardwaarde None or Excel geselecteerd.

Info

Hoe kan ik controleren of mijn organisatie organisatie-eenheden gebruikt in Zivver?
Als je organisatie organisatie-eenheden gebruikt in Zivver, zou je toegang moeten hebben tot het tabblad Organisatie-eenheden in Zivver. Als je geen toegang hebt, gebruikt je organisatie mogelijk geen organisatie-eenheden in Zivver of heb je geen administratorrechten.

Als je organisatie organisatie-eenheden gebruikt in Zivver, selecteer dan een optie op basis van de configuratie van OU’s in het Zivver-beheerpanel.

Tip

Hoe kan ik bepalen of ik Domain of Custom OU Identifier moet gebruiken?
Je kunt de Organizational Unit Identifier controleren door naar het tabblad Organisatie-eenheden in Zivver te gaan, één van de aanwezige OU’s te klikken en edit de organisatie-eenheid te bewerken. De identifier wordt weergegeven in een pop-up onder Organization Unit Identifier.

Bronfilter

Object Filter (LDAP) stellen je in staat om gebruikers te filteren op basis van een opgegeven Active Directory-attribuutwaarde.

1. Vink Enable LDAP Source filtering aan.
2. Kies een AD-attribuut uit de keuzelijst bij Filter variable.
3. Vul de filterwaarde(n) in bij Filter text.
   Als je meer dan één filterwaarde wilt invoeren, zet elke waarde op een aparte regel.
4. Kies tussen een positieve filter (inclusief) of negatieve filter (uitsluiten).
   Je kunt niet tegelijk opnemen en uitsluiten in dezelfde filter.

Bekijk de resultaten bij Data Preview.

Voorbeeld: filteren op OU

1. Vink Enable LDAP Source filtering aan.
2. Kies distinguishedName uit de keuzelijst bij Filter variable.
3. Vul de distinguishedName van de organisatie-eenheden in, gescheiden door een regelafbreking bij Filter text.
   Bijvoorbeeld, als je twee OU’s wilt filteren:
   OU=Example,OU=Users,DC=company,DC=org
   OU=AnotherExample,OU=Users,DC=company,DC=org
4. Kies of je de resultaten van je filter wilt opnemen of uitsluiten.
   Je LDAP-filter is nu geconfigureerd.

Voorbeeld: filteren op SG

1. Vink Enable LDAP Source filtering aan.
2. Kies MemberOf uit de keuzelijst bij Filter variable.
3. Vul de commonName van de SG’s in, gescheiden door een regelafbreking bij Filter text.
   Bijvoorbeeld, als je twee SG’s wilt filteren:
   Zivver-security-group1
   Zivver-security-group2
4. Kies of je de resultaten van je filter wilt opnemen of uitsluiten.
   Je LDAP-filter is nu geconfigureerd.

Samenvoeginstellingen

Gebruik Source Merge Settings om te kiezen wat Synctool moet doen als verschillende bronnen (bijvoorbeeld een LDAP-bron en een Excel-bron) identieke items bevatten.

Als dit de eerste bron is in het Overzicht van bronnen, zijn er geen samenvoeginstellingen beschikbaar.

• Overwrite
  Items die in de momenteel geselecteerde bron worden gevonden, overschrijven dubbele items uit eerdere bronnen.
• Negeren
  Items die in de momenteel geselecteerde bron worden gevonden, worden overschreven door dubbele items uit eerdere bronnen.
• Conflict
  Vraag de beheerder om duplicaten op te lossen voordat de synchronisatie wordt uitgevoerd.

Voorvertoning van gegevens

Source Data Preview (LDAP) stelt je in staat om een voorvertoning te zien van alle gebruikersaccounts en functionele accounts die in je LDAP-bron zijn gevonden. Houd er rekening mee dat de Synctool alleen accounts kan vinden die zich bevinden binnen de geconfigureerde Base DN en Bronfilter.

Klik op Load the data now om een voorvertoning te krijgen van alle gebruikersaccounts en functionele accounts die in je LDAP-bron zijn gevonden.

Volgende stappen

Als de gegevensvoorvertoning is zoals verwacht, kun je ofwel een andere bron configureren, of doorgaan naar Synchronisatie.