Integracja domeny Active Directory

Jednym z najczęstszych problemów podczas pracy z wieloma domenami Active Directory jest konieczność korzystania z różnych zestawów haseł. Czy to w przypadku migracji domen, czy też utrzymywania oddzielnych domen na potrzeby logowania do komputera i dostępu do skrzynki pocztowej Exchange, użytkownicy muszą posługiwać się różnymi hasłami dla każdej domeny. Komplikuje to zarządzanie hasłami użytkowników i powoduje wzrost liczby biletów związanych z hasłami, co ostatecznie wpływa na ogólną wydajność.

Zarządzanie hasłami użytkowników w dużym środowisku jest uciążliwe. Dodając do tego zadanie zarządzania zmianami haseł w wielu domenach, staje się to jeszcze większym wyzwaniem dla administratorów. Rozwiązaniem jest synchronizowanie zmian haseł w wielu domenach.

Synchronizacja haseł między domenami Active Directory

Dostępna w ADSelfService Plus funkcja synchronizacji haseł replikuje zmiany wprowadzone w haśle użytkownika domeny na konta użytkowników w innych domenach Active Directory, a nawet w aplikacjach dla przedsiębiorstw, takich jak Google Workspace (dawniej G Suite) i Office 365. Agent synchronizacji haseł ADSelfService Plus idzie o krok dalej i synchronizuje natywne zmiany haseł dokonywane z poziomu ekranu wyświetlanego po naciśnięciu Ctrl+Alt+Del oraz resety haseł dokonywane przez administratorów za pomocą konsoli użytkowników i komputerów usługi Active Directory.

Jak skonfigurować synchronizację haseł za pomocą ADSelfService Plus?

1. Zaloguj się do konsoli administracyjnej ADSelfService Plus, podając poświadczenia administratora.
2. Przejdź do obszaru Aplikacja → Dodaj nową aplikację.
3. Wybierz aplikację Active Directory..
Uwaga: Możesz również znaleźć potrzebną aplikację Active Directory za pomocą paska wyszukiwania w lewym okienku lub wybierając pierwszą literę aplikacji w prawym okienku.



4. Wprowadź Nazwę aplikacji oraz Opis.
5. Wybierz Nazwę domeny, z którą hasła mają być synchronizowane. Przykładowo, jeśli chcesz zsynchronizować hasła z domeny A z domeną B, w polu Nazwa domeny podaj domenę B i wybierz zasady samoobsługi skojarzone z domeną A na liście rozwijanej skojarzonych zasad.
6. Wybierz odpowiednie zasady z listy rozwijanej Przypisz zasady.. Synchronizacja haseł będzie możliwa tylko dla użytkowników objętych wybranymi zasadami samoobsługi.
7. Kliknij Dodaj aplikację.
Uwaga: W ADSelfService Plus można utworzyć wiele zasad opartych na jednostkach organizacyjnych i grupach, które określają funkcje samoobsługowe dostępne dla różnych użytkowników.



8. Kliknij Zapisz.

Łączenie kont użytkowników

Łączenie kont użytkowników między domenami jest niezbędne, aby synchronizacja haseł działała. Domyślnie konta użytkowników będą automatycznie łączone na podstawie atrybutu sAMAccountName usługi AD. ADSelfService Plus umożliwia również łączenie kont użytkowników na podstawie dowolnie wybranego atrybutu.

1. Automatyczne łączenie kont
2. Ręczne łączenie kont

Automatyczne łączenie kont

Aby łączyć konta automatycznie, należy określić atrybut źródłowy składający się z co najmniej jednego atrybutu w AD oraz atrybut docelowy z aplikacji dla przedsiębiorstw. Kiedy użytkownik resetuje lub zmienia hasło, modyfikacja jest synchronizowana tylko wtedy, gdy wartość atrybutu docelowego pasuje do wartości atrybutu źródłowego.

Instrukcja automatycznego łączenia kont użytkowników:

1. Zaloguj się do konsoli internetowej ADSelfService Plus jako administrator.
2. Przejdź do karty Aplikacje . Zostanie wyświetlona lista skonfigurowanych aplikacji.
3. Kliknij przycisk Zaawansowane przy wymaganej konfiguracji aplikacji.



4. W oknie, które zostanie otwarte, zaznacz pole wyboru Włącz automatyczne łączenie kont.
5. Na liście rozwijanej Atrybuty źródłowe wybierz co najmniej jeden atrybut z domeny AD, w której hasła użytkowników będą resetowane lub zmieniane.
UwagaZałóżmy, że chcesz wybrać jako atrybuty źródłowe AD zarówno atrybut sAMAccountName , jak i inicjały . Wybierz z listy atrybutów źródłowych sAMAccountName, kliknij przycisk + obok pola i wybierz inicjały z drugiej listy rozwijanej, która się pojawi. Połączona wartość atrybutu źródłowego AD musi być zgodna z odpowiednim atrybutem docelowym w aplikacji dla przedsiębiorstw. Przykładowo, jeśli wartość sAMAccountName konta użytkownika to „Jan”, a wartość inicjałów to „A”, atrybut docelowy powinien mieć wartość „JanA”.
6. Z listy rozwijanej Atrybut docelowy wybierz atrybut, którego wartość będzie równa połączonej wartości wybranych atrybutów źródłowych. Wartość atrybutu powinna być unikatowa dla użytkownika; jeśli wiele kont domeny ma tę samą wartość atrybutu, synchronizacja nie powiedzie się.



7. Zaznacz pole wyboru Dołącz domenę , aby dodać nazwę domeny na końcu połączonej wartości wybranych atrybutów źródłowych. W związku z tym, jeśli to pole wyboru jest zaznaczone, połączenie sAMAccountName+inicjały przyjmie formę sAMAccountName+inicjały@domena.
8. Kliknij Zapisz.

Uwaga:

• Jeśli wartość atrybutów źródłowych jest pusta, jako wartość domyślna zostanie zastosowany atrybut sAMAccountName.
• Jeśli wartość atrybutów źródłowych jest w formacie adresu e-mail, nazwa domeny nie zostanie dołączona, nawet jeśli ta opcja jest włączona.

Ręczne łączenie kont

Jeśli jest włączone ręczne łączenie, użytkownicy mogą sami łączyć swoje konta domeny AD, wprowadzając poświadczenia konta domeny, z którym chcą połączyć swoje podstawowe konto domeny. Przykładowo, aby zsynchronizować hasła z konta użytkownika w domenie A z kontem w domenie B, wykonaj następujące czynności:

1. Zaloguj się do portalu użytkownika ADSelfService Plus.
2. Przejdź do obszaru Aplikacje.
3. Kliknij aplikację dla przedsiębiorstw, z którą chcą połączyć swoje konto AD.
4. Podaj poświadczenia tego konta użytkownika.
5. Podaj nazwę użytkownika i hasło swojego konta w domenie B, aby połączyć oba konta.

Instrukcja włączania ręcznego łączenia kont:

1. Zaloguj się do ADSelfService Plus jako administrator.
2. Przejdź do karty Aplikacje. Zostanie wyświetlona lista skonfigurowanych aplikacji.
3. Kliknij przycisk Zaawansowane przy wymaganej konfiguracji aplikacji.



4. W oknie, które zostanie otwarte, usuń zaznaczenie pola wyboru Włącz automatyczne łączenie kont.



5. Kliknij Zapisz.

Użycie licencji

Po pomyślnym połączeniu kont użytkowników w dwóch domenach, przy pierwszym dostępie do ADSelfService Plus tylko konto użytkownika w domenie, z której zainicjowano synchronizację hasła, użyje licencji ADSelfService Plus. Połączone konto użytkownika w drugiej domenie, z którą hasła są synchronizowane, nie użyje licencji. Weźmy na przykład domenę A z 1000 kont użytkowników połączonych z 1000 kont użytkowników w domenie B w celu synchronizacji haseł. Gdy użytkownicy z domeny A zresetują lub zmienią swoje hasła i nowe hasła zostaną zsynchronizowane z domeną B, tylko konta użytkowników w domenie A użyją licencji. Konta domeny B nie będą używać żadnych licencji.

Uwaga: Jeśli użytkownik wykonuje działania samoobsługowe, korzystając z obu swoich kont w domenach A i B, licencje zostaną użyte dla obu kont.

Zalety

• Korzystaj z jednej tożsamości w wielu domenach usługi Active Directory i aplikacjach dla przedsiębiorstw.
• Wdróż techniki uwierzytelniania wieloskładnikowego, aby zabezpieczyć zmiany haseł.
• Ogranicz główne źródło zgłoszeń do działu pomocy technicznej, aby administratorzy IT mogli się skupić na innych ważnych zadaniach.
• Otrzymuj w czasie rzeczywistym powiadomienia o zmianie hasła za pośrednictwem wiadomości SMS lub e-mail.
• Daj użytkownikom możliwość zarządzania hasłami domeny w dowolnym czasie i z dowolnego miejsca za pomocą aplikacji mobilnej ADSelfService Plus.