Funktionen bei der Integration in Active Directory

Authentifizierung bei der Integration in Active Directory

Unica-Anwendungen senden eine Abfrage an Unica Platform, um Informationen zur Benutzerautorisierung abzurufen.

• Frühere Versionen von Unica Platform enthielten Unterstützung für die integrierte Microsoft Windows-Anmeldung auf NTLMv1-Basis. Mit Einführung von Microsoft Windows 2008 Server und Microsoft Windows 7 wurde der standardmäßige Mindeststandard geändert und es ist nun die Verwendung des NTLMv2-Protokolls erforderlich. NTLMv2 wird nativ nicht von Unica Platform unterstützt.

  Allerdings können Sie die NTLMv2-Authentifizierung so konfigurieren, dass Benutzer für alle Unica-Anwendungen authentifiziert werden, wenn Sie sich im Unternehmensnetz anmelden, und dass hierfür kein Kennwort erforderlich ist, um sich bei den Unica-Anwendungen anzumelden. Die Benutzerauthentifizierung erfolgt auf Grundlage der Windows-Anmeldung. Die Anmeldeanzeigen der Anwendung werden umgangen.

  Zur Konfiguration der NTLMv2-Authentifizierung müssen Sie die Schritte ausführen, die in diesem Abschnitt beschrieben sind:

• Wenn die NTLMv2-Authentifizierung nicht aktiviert wurde, dann müssen sich Benutzer weiterhin über die Unica-Anmeldeanzeige anmelden und dazu ihre Windows-Berechtigungsnachweise verwenden.

Verwalten interner und externer Benutzer

Wenn die NTLMv2-Authentifizierung aktiviert ist, werden alle Benutzer auf dem Active Directory-Server erstellt und verwaltet. (Sie haben nicht die Möglichkeit, Benutzer in Unica Platform zu erstellen. Diese Benutzer werden in diesem Handbuch als „interne Benutzer“ bezeichnet.) Wenn Sie interne Benutzer erstellen müssen, darf die NTLMv2-Authentifizierung nicht aktiviert werden.

Wenn die Integration konfiguriert wurde, können Sie die importierten Benutzerkonten in Unica Platform nicht hinzufügen, ändern oder löschen. Sie müssen diese Managementaufgaben auf der LDAP-Seite ausführen. Ihre Änderungen werden bei der Synchronisation importiert. Wenn Sie importierte Benutzerkonten in Unica Platform ändern, können Benutzer auf Probleme bei der Authentifizierung stoßen.

Benutzerkonten, die Sie auf der LDAP-Seite löschen, werden auf Unica Platform nicht gelöscht. Sie müssen diese Konten in Unica Platform manuell deaktivieren. Es ist sicherer, diese gelöschten Benutzerkonten zu inaktivieren, anstatt sie zu löschen, da Benutzer Eigentumszugriffsrechte auf Ordner in Unica Campaign haben. Wenn Sie ein Benutzerkonto löschen, das Eigentümer eines Ordners ist, sind die Objekte in dem betreffenden Ordner nicht mehr verfügbar.

Synchronisieren

Wenn Unica für die Integration in einen Active Directory-Server konfiguriert wurde, werden Benutzer und Gruppen automatisch in zuvor festgelegten Intervallen synchronisiert.

Die automatische Synchronisation verfügt nur über eine eingeschränkte Funktionalität.

• Benutzer, die vom LDAP-Server gelöscht wurden, werden während der automatischen Synchronisation nicht gelöscht.

Sie können eine vollständige Synchronisation aller Benutzer und Gruppen mit der Synchronisationsfunktion im Benutzerbereich von Unica erzwingen. Alternativ hierzu können Sie sich auch an die Services wenden, um das Definieren einer verdeckten Konfigurationseigenschaft anzufordern, durch die bei der automatischen Synchronisation eine vollständige Synchronisation durchgeführt wird.

Importieren von Benutzern auf der Basis von Gruppen oder Attributen

Sie können einen von zwei Filtertypen wählen, um die Benutzerkonten auszuwählen, die vom LDAP-Server in Unica Platform importiert werden.

Sie müssen zwischen gruppenbasiertem und attributbasiertem Import wählen. Mehrere Methoden gleichzeitig werden nicht unterstützt.

Gruppenbasierter Import

Unica Platform importiert Gruppen und die zugehörigen Benutzer aus der Datenbank des Verzeichnisservers über eine regelmäßige Synchronisationsaufgabe, die automatisch Informationen vom Verzeichnisserver abruft. Wenn Unica Platform Benutzer und Gruppen aus der Serverdatenbank importiert, werden die Gruppenzugehörigkeiten nicht geändert. Um diese Änderungen zu erfassen, müssen Sie eine manuelle Synchronisation durchführen.

Sie können Unica-Berechtigungen zuordnen, indem Sie eine Active Directory-Gruppe einer Unica-Gruppe zuordnen. Aufgrund dieser Zuweisung können neue Benutzer, die der Active Directory-Gruppe zugeordnet wurden, die Berechtigungen übernehmen, die für die entsprechende Unica-Gruppe festgelegt wurden.

Eine Untergruppe in Unica Platform übernimmt die Active Directory-Zuordnungen oder Benutzerzugehörigkeiten ihrer übergeordneten Gruppen nicht.

Weitere Informationen zum Konfigurieren des gruppenbasierten Imports finden Sie weiter unten in diesem Kapitel.

Attributbasierter Import

Wenn Sie keine Gruppen in Ihrem Active Directory-Server erstellen möchten, die sich auf bestimmte Unica-Produkte beziehen, haben Sie die Möglichkeit, die importierten Benutzer durch die Angabe von Attributen zu steuern. Dazu müssen Sie folgende Schritte während des Konfigurationsprozesses ausführen.

1. Bestimmen Sie die Zeichenfolge, die in Ihrem Active Directory-Server für das Attribut verwendet wird, nach dem Sie filtern möchten.
2. Setzen Sie die Eigenschaft Unica Platform | Sicherheit | LDAP-Synchronisation | LDAP-Attributname für Benutzerreferenz auf DN.

   Damit wird Unica Platform mitgeteilt, dass die Synchronisation nicht auf einer Gruppe mit Mitgliedsreferenzen basiert, sondern auf einer Organisationseinheit oder Organisation.

3. Wenn Sie die Eigenschaft Übersicht LDAP-Referenzen konfigurieren, setzen Sie den Abschnitt "Filter" des Werts auf das Attribut, nach dem Sie suchen möchten. Verwenden Sie für den Filter die Zeichenfolge, die Sie in Schritt 1 festgelegt haben.

Wenn Sie die attributbasierte Synchronisation verwenden, ist die periodische Synchronisation immer eine vollständige Synchronisation und keine partielle Synchronisation, die für die gruppenbasierte Synchronisation ausgeführt wird. Für die attributbasierte Synchronisation sollten Sie die Eigenschaft LDAP-Synchronisationsintervall auf einen hohen Wert setzen oder auf 0, um die automatische Synchronisation zu inaktivieren und sich auf die vollständige Synchronisation zu verlassen, wenn Benutzer zum Verzeichnis hinzugefügt werden.

Folgen Sie zum Konfigurieren der Integration den Anweisungen weiter unten in diesem Kapitel. Ziehen Sie dabei für die Schritte zum Festlegen der Konfigurationseigenschaften die voranstehenden Anweisungen heran.

Informationen zu Active Directory und Partitionen

In Umgebungen mit mehreren Partitionen wird die Partitionszugehörigkeit eines Benutzers von der Gruppe bestimmt, zu der der Benutzer gehört, wenn die Gruppe einer Partition zugeordnet wird. Ein Benutzer kann nur zu einer Partition gehören. Wenn daher ein Benutzer Mitglied mehrerer Active Directory-Gruppen ist und diese Gruppen Unica-Gruppen zugeordnet sind, die ihrerseits verschiedenen Partitionen zugewiesen sind, muss das System eine einzelne Partition für diesen Benutzer wählen.

Diese Situation sollte nach Möglichkeit vermieden werden. Tritt sie aber dennoch ein, gilt die Partition der Unica-Gruppe, die zuletzt einer Active Directory-Gruppe zugeordnet war, als diejenige, der der Benutzer angehört. Informationen dazu, welche LDAP-Gruppe zuletzt zugeordnet war, finden Sie in den Active Directory-Gruppenzuordnungen, die im Konfigurationsbereich angezeigt werden. Diese werden in chronologischer Reihenfolge mit den letzten Zuweisungen an letzter Stelle angezeigt.

Sonderzeichen in Anmeldenamen

Nur die folgenden Sonderzeichen sind in Anmeldenamen zulässig: Punkt (.), Unterstreichungszeichen ( _ ) und Bindestrich (-). Wenn andere Sonderzeichen (einschließlich Leerzeichen) im Anmeldenamen eines Benutzers enthalten sind, den Sie von Ihrem Active Directory-Server in die Unica Platform importieren wollen, müssen Sie den Anmeldenamen so ändern, dass der Benutzer bei der Anmeldung oder bei der Ausführung administrativer Aufgaben keine Probleme bekommt (sofern der Benutzer Administratorberechtigung besitzt).