Einrichten einer Active Directory-Synchronisation für eine Firma in Autotask

SICHERHEIT  Zugriffsrechte mit Admin-Berechtigung zum Konfigurieren von Microsoft-Erweiterungsmodulen. Siehe Sicherheitseinstellungen für Admin.

NAVIGATION   > Admin > Erweiterungsmodule & Integrationen > Microsoft-Erweiterungsmodule > Active Directory (AD) Sync > Hinzufügen

Auf der Seite Active Directory (AD) Sync - Neue Synchronisierung hinzufügen konfigurieren Sie die Einstellungen für die Synchronisierung der Kontakte einer bestimmten Firma von AD zu Autotask. AD Sync muss für jede Firma separat eingerichtet werden.

WICHTIG  Es muss sich um eine 1:1-Beziehung handeln. Sobald eine Firma die Active Directory-Synchronisierung erfolgreich eingerichtet hat, kann keine zweites Firma für dieselbe Firma eingerichtet werden.

BEVOR SIE BEGINNEN  Bevor Sie eine Firma in Autotask einrichten können, müssen Sie die erforderlichen Schritte in Azure ausführen. Siehe AD für eine Organisation in Azure konfigurieren.

Auf der Registerkarte Einstellungen wählen Sie die zu synchronisierende Firma und den AD-Typ, die zu synchronisierenden Kontaktfelder und den Abrechnungsartikel aus. Sie können die Verbindung auch testen.

Um die Seite zu öffnen, nutzen Sie den/die Pfad(e) im vorstehenden Abschnitt Sicherheit und Navigation.

  1. Füllen Sie die Felder in den folgenden Abschnitten aus:

Füllen Sie im Abschnitt Konfiguration die folgenden Felder aus.

Feldname Beschreibung
Organisation Wählen Sie die Firma aus, deren Kontakte Sie mit Autotask synchronisieren möchten. Alle Firmen in Ihrer Autotask-Instanz stehen zur Verfügung.
Aktiviert Kontakte werden nur synchronisiert, wenn dieses Kontrollkästchen aktiviert ist.
Active Directory-Typ

Active Directory-Typ

Dieses Feld erscheint auf der Seite Active Directory (AD) Sync, wenn Sie eine Active Directory-Synchronisation für einen Kunden hinzufügen oder bearbeiten. Sie können damit das Protokoll auswählen, das Sie zur Synchronisation der AD-Benutzer mit den Kontakten einer Autotask-Firma verwenden werden.

Die folgenden Umgebungen werden unterstützt:

  • AD in der Cloud mit Azure (Windows Azure Active Directory oder WAAD). Siehe Wenn Sie Azure ausgewählt haben .....
  • AD On-Premise mit LDAPS (Lightweight Directory Access Protocol Secure). Siehe Wenn Sie LDAP ausgewählt haben .....
  • Um ein einheitliches Identitätsmanagement mit traditionellen On-Premises-Anwendungen zu unterstützen, kann WAAD auch über DirSync und Active Directory Federation Services (ADFS) Gateway-Komponenten mit Windows Server Active Directory integriert werden. Diese hybride Implementierung wird von Datto nicht spezifisch unterstützt.

Wenn Sie Azure als den Active Directory-Typ ausgewählt haben, stellen Sie sicher, dass Sie die unter AD für eine Organisation in Azure konfigurieren beschriebenen Schritte abgeschlossen haben. Rufen Sie die Notiz auf, die das Clientgeheimnis und die IDs enthält, die Sie in Azure generiert haben und fügen Sie diese wie folgt auf der Seite ein:

Feld in Azure Autotask-Feldname Beschreibung
Anwendungs-ID (Client) Client-ID Dies erstellt die Anwendung, die es Autotask ermöglicht, mit Azure AD zu kommunizieren.
Verzeichnis-ID (Mandant) Mandant Dies ist eine eindeutige Kennzeichnung des Kunden, dessen Benutzer synchronisiert werden.
Wert (des Client-Schlüssels) Client-Schlüssel

Dies ist der eindeutige Schlüssel, der Autotask für Active Directory authentifiziert.

  • Klicken Sie auf Bearbeiten, um das Dialogfeld Schlüssel bearbeiten zu öffnen, und geben Sie den aus Azure kopierten Wert für den Schlüssel ein und bestätigen Sie diesen.

Einmal konfiguriert, wird dieser Feldwert sowohl im Ruhezustand verschlüsselt als auch in Autotask unkenntlich gemacht. Der Wert kann bearbeitet, jedoch nicht angezeigt werden.
Objekt-ID Gruppen-ID Dies ist die Gruppe der Benutzer, die mit Autotask synchronisiert wird.

Wenn Sie LDAP als den Active Directory-Typ ausgewählt haben, müssen Sie die folgenden Felder ausfüllen:

Feld Beschreibung
Autotask-Kontakte nach 30 Tagen ohne Anmeldung bei AD deaktivieren Wählen Sie dieses Kontrollkästchen aus, wenn Sie Autotask-Kontakte automatisch deaktivieren möchten, sobald sich diese mehr als 30 Tage nicht bei AD angemeldet haben.

Dadurch werden diese Benutzer in Autotask bei der nächsten Synchronisation deaktiviert. Wenn Sie die auf Regeln basierten Abrechnung aktiviert haben, wird dadurch die Anzahl der Kontakte reduziert, für die der Benutzer bezahlt.
Host DNS-registrierter Hostname des LDAP-Servers. <hostname>.<domain> ist der Standard. Die Adresse muss ein IP verwenden, das vom Autotask-Dienst aufgerufen werden kann. Sie müssen Ihre Firewall öffnen (siehe nachfolgend Port). Siehe LDAP-Anforderungen.
Port Die Portnummer, auf der der AD-Server nach Synchronisationsanfragen lauscht. 636 ist der Standard-Port für LDAPS (LDAP über SSL). SSL ist erforderlich.

WICHTIG  Ungesicherter Zugriff über Port 389 wird nun verhindert.
Benutzer-DN Der Name des Benutzers, dessen Zugangsdaten für die Authentifizierung bei Active Directory verwendet werden. Das Active Directory-Benutzerkonto kann ein normales Benutzerkonto sein und erfordert keine speziellen erweiterten Berechtigungen, um Abfragen gegen Active Directory durchzuführen.
Passwort Das Passwort des Benutzers.
Suchbasis Das typische Format der Suchbasis lautet cn=users,dc=<domain component>,dc=<domain component>.

Beispiel: cn=users,dc=aeit,dc=com sucht nach Benutzern, die die Domain aeit.com teilen, d. h., zur selben Firma gehören.

Dies ist wichtig, da alle ausgewählten Benutzer mit der Autotask-Firma synchronisiert werden, für die Sie die AD-Synchronisation konfigurieren.
Suchfilter Der Suchfilter wird verwendet, um die Anzahl der Benutzer einzuschränken, die synchronisiert werden. Die Suche nutzt die objectClass-Attribute.

Wenn beispielsweise meine Benutzer über zwei objectClass-Attribute verfügen (eines gleich „person“ und eines gleich „user“), würden Sie folgendermaßen nach ihnen suchen: (&(objectClass=person)(objectClass=user)). Beachten Sie das Et-Zeichen „&“ am Beginn der Zeichenfolge. Übersetzt bedeutet dies: Suche nach objectClass=person UND object=user. Ein senkrechter Strich „|“ steht für ODER: Suche nach objectClass=person ODER object=user.

Dieser Filter (&(objectClass=user)(memberof=CN=psa contact,cn=Users,DC=attest,DC=local)) steht für: Suche nach objectClass=person UND CN, das den Begriff „psa contact“ in der vorstehend definierten Suchbasis enthält.
SSL-Zertifikat Da Autotask LDAPS (LDAP über SSL) verwendet, ist ein SSL-Zertifikat erforderlich. Ein selbstunterzeichnetes SSL-Zertifikat reicht aus. Weitere Informationen finden Sie unter Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle.

HINWEIS  Wenn Sie eine Datei hochladen, die nicht über die Erweiterung .cer verfügt, wird ein Validierungsfehler für den ungültigen Dateityp angezeigt. Wenn Sie eine ungültige .cer-Datei hochladen (Junk-Datei oder Zertifikat ist abgelaufen), wird ein Warndialog mit dem Hinweis angezeigt, dass das SSL-Zertifikat ungültig ist.
SSL entfernen Wenn Ihr SSL-Zertifikat abgelaufen ist und Sie ein neues hochladen möchten, klicken Sie auf SSL entfernen. Somit können Sie das neue hochladen.

Im Abschnitt Kontaktsynchronisierungsfelder geben Sie die Kontaktfelder an, die von AD mit Autotask synchronisiert werden. Diese Einstellungen sind firmenspezifisch.

  • Vorname und Nachname müssen synchronisiert werden.
  • Alle anderen Felder sind standardmäßig ausgewählt, können aber gelöscht werden.

WICHTIG  Zweiter Vorname und Alternative Telefonnummer sind bei der Synchronisierung von Azure aus nicht verfügbar. Leere Felder in Active Directory überschreiben Felder in Autotask und entfernen alle vorhandenen Informationen. Wählen Sie keine Felder aus, die nicht in AD ausgefüllt sind!

Wenn Sie diesem Kunden die Anzahl der unterstützten Kontakte in Rechnung stellen und allen neu synchronisierten Kontakten automatisch einen Abrechnungsartikel für Kontakte zuweisen möchten, wählen Sie einen aus der Dropdown-Liste aus. Weitere Informationen zur auf Regeln basierten Abrechnung finden Sie unter Pro Kontakt oder Gerät abrechnen.

Um die Verbindung zum AD-Server zu testen, klicken Sie auf Verbindung testen. Wenn Autotask eine Verbindung zu Active Directory herstellen kann, werden Sie benachrichtigt, dass der Test erfolgreich war, und es werden eine Reihe von Benutzern im nachstehenden Raster angezeigt.

  1. Klicken Sie auf Speichern. Es können bis zu 400.000 Kontakte (500 auf einmal) synchronisiert werden.

Wenn die Verbindung erfolgreich ist, weist die Statusspalte in der Listenansicht einen grünen Punk auf, und wenn sie fehlschlägt, einen roten mit einem x.

HINWEIS  Beachten Sie, dass selbst wenn die Verbindung erfolgreich ist, Sie eventuell Zuordnungskonflikte für bestimmte Benutzer haben. Diese werden auf der Registerkarte AD-Benutzer adressiert. Siehe Registerkarte AD Kundenbenutzer.

Sobald die erste Synchronisation abgeschlossen ist, werden alle Active Directory-Benutzer, die den von Ihnen in Azure oder LDAP konfigurierten Einstellungen entsprechen und an Autotask übertragen wurden, auf der Registerkarte AD-Benutzer angezeigt.

  • Wenn keine Kontaktdatensätze für die Firma existieren, werden die synchronisierten Kontakte in Autotask erstellt und automatisch den entsprechenden AD-Benutzern zugeordnet.
  • Wenn einige oder alle AD-Benutzer bereits als Firmenkontakte in Autotask vorhanden sind, werden Sie anhand der unter Zuordnungsschritte nach Priorität aufgelistet beschriebenen Regeln zugeordnet.

Beim Zuordnen von AD-Benutzern zu Autotask-Kontakten kann es zu Zuordnungskonflikten kommen. Siehe Konfliktfälle. Auf dieser Seite können Sie Zuordnungskonflikte manuell lösen. Siehe Zuordnungskonflikte finden und lösen.

Sie können eine Synchronisation jederzeit erzwingen, zum Beispiel wenn Sie eine Reihe von Benutzern zu Active Directory hinzugefügt haben.

  • Klicken Sie oben auf der Registerkarte AD-Benutzer der Seite Active Directory (AD) Sync - Neue Synchronisierung hinzufügen auf Synchronisierung erzwingen.
  • Wählen Sie im Kontextmenü der Seite Active Directory (AD) Sync die Option Synchronisierung erzwingen aus.

Die nächste Synchronisation erfolgt immer 24 Stunden nach der letzten (beachten Sie den Datums-/Zeitstempel direkt unter der Schaltfläche). Beachten Sie jedoch, dass die nächste Synchronisation nun 24 Stunden nach der erzwungenen Synchronisation erfolgt.

Das Benutzerraster kann anhand einer beliebigen angezeigten Spalte gefiltert werden. Um Zuordnungskonflikte zu finden, nutzen Sie den Filter Status. Die folgenden Status sind verfügbar:

Name Beschreibung
[leer] Es wird kein Filter angewandt und alle synchronisierten Datensätze werden angezeigt.
Zugeordnet Zeigt AD-Benutzer an, die einem eindeutigen Autotask-Kontakt zugeordnet sind. Alle Konflikte wurden manuell gelöst, und alle Duplikate wurden auf Ignoriert gesetzt.
Nicht zugeordnet

Benutzer erscheinen als nicht zugeordnet, wenn Folgendes zutrifft:

  • Es gibt zwei identische AD-Benutzer, jedoch nur einen übereinstimmenden Kontakt in Autotask. Der erste AD-Benutzer wird dem Kontakt zugeordnet, und der zweite bleibt nicht zugeordnet.
  • Es gibt einen AD-Benutzer, jedoch zwei übereinstimmende aktive Kontakte. Beide Benutzer bleiben nicht zugeordnet. Sie müssen den Benutzer einem der Kontakte zuordnen und den anderen auf „Ignoriert“ setzen.
Ignoriert

Dieser Status wird immer manuell auf einen Benutzer angewandt. Ignorierte Benutzer bleiben nicht zugeordnet, zählen aber nicht als Konflikte.

Beispiel: Eventuell haben Sie einen „IT-Benutzer“ in Ihrer AD-Datenbank, den Sie keinem Autotask-Kontakt zuordnen möchten.

Auf der Registerkarte Inaktiv werden AD-Benutzer aufgelistet, die mit Autotask synchronisiert wurden, jedoch aus irgendeinem Grund inaktiv sind.

Benutzer können aus folgenden Gründen inaktiv sein:

Grund Beschreibung
Nicht aktiviert Der Benutzer ist gegenwärtig inaktiv in AD, gehört aber zu einer Gruppe, die mit Autotask synchronisiert wurde.
30 Tage inaktiv Der Benutzer hat sich seit 30+ Tagen nicht bei AD angemeldet, und das Konto wurde automatisch deaktiviert. Diese Einstellung ist lediglich für den AD-Typ „LDAP“ verfügbar.
Gelöscht Der Benutzer wird nicht länger aus Active Directory synchronisiert, entweder, weil er nicht länger Mitglied der Gruppe oder weil er nicht länger in Active Directory ist.

Die Spalte Deaktiviert (Datum) zeigt den Zeitstempel der ersten Synchronisation an, bei der der Benutzer als inaktiv erscheint.

Um nach einem bestimmten Benutzer zu suchen, verwenden Sie die Filterzeile unter den Spaltenüberschriften.

Beachten Sie, dass Benutzer in Autotask nicht erneut aktiviert werden können, da die Synchronisation von AD zu Autotask einseitig ist. Wenn eine AD-Synchronisierung keinen bestimmten Benutzer enthält, wird dem Benutzer in Autotask der Status Gelöscht zugewiesen. Wenn dieser Benutzer oder ein Benutzer mit derselben E-Mail-Adresse in AD hinzugefügt wird, wird dieser AD-Benutzer mit einer neuen externen ID mit Autotask synchronisiert. Der Autotask-Kontakt ist reaktiviert.

Wählen Sie auf der Registerkarte Benachrichtigungen aus, wer eine E-Mail erhalten soll, wenn die Synchronisation fehlschlägt oder Fehler auftreten.

  • Es werden Fehler generiert, wenn AD-Benutzer nicht eindeutig Autotask-Kontakten zugeordnet werden können. Siehe Konfliktfälle.

  • Bei LDAP-Integrationen werden außerdem Fehlermeldungen generiert, wenn das SSL-Zertifikat abgelaufen ist oder innerhalb der nächsten 30 Tage ablaufen wird.

Feld Beschreibung
Mitarbeiter

Mitarbeiter

Ein Mitarbeiter ist ein Benutzer in Ihrer Firma, der über ein Autotask-Login verfügt. Angestellte, Berater oder freie Mitarbeiter müssen als ein Autotask-Mitarbeiter eingerichtet werden, wenn Sie folgende Handlungen vornehmen:

  • Sie erstellen oder bearbeiten Autotask-Objekte wie beispielsweise Tickets, Firmen oder Verkaufschancen. In diesem Zusammenhang lautet die Feldbeschriftung in Autotask in der Regel Erstellt von oder Ersteller.
  • Sie arbeiten an Projektaufgaben, Tickets oder To-Dos. In diesem Zusammenhang lautet die Feldbeschriftung in Autotask in der Regel Mitarbeiter, verantwortlicher Mitarbeiter oder zusätzliche Mitarbeiter.
  • Sie sind für Vertriebskunden zuständig sowie alle von ihnen generierten Verkaufschancen. In diesem Zusammenhang lautet die Feldbeschriftung in Autotask in der Regel Firmenverantwortlicher oder Verkaufschancen-Verantwortlicher.
  • Sie sind individuelle oder rollenbasierte Empfänger von Benachrichtigungsmails. In diesem Zusammenhang lautet die Feldbeschriftung in Autotask in der Regel Empfänger oder Mitarbeiter.
  • Sie verwalten, genehmigen, genehmigen & buchen oder berichten über diese Aktivitäten. In diesem Zusammenhang lautet die Feldbeschriftung in Autotask in der Regel Zeiterfassungsgenehmiger, Spesengenehmiger oder Change Request-Genehmiger.

Bei zahlreichen Autotask-Objekten werden Mitarbeiter ausgewählt bzw. auf sie verwiesen. Sie können einem Objekt zugewiesen werden, selbst wenn sie nicht in der Benutzeroberfläche angezeigt werden.

Die Komponenten Vorname, zweiter Vorname und Nachname im Namen eines Mitarbeiters werden entweder in sortierender (Lang, Susanne M.) oder narrativer Reihenfolge (Susanne M. Lang) angezeigt.
Weitere E-Mail-Adressen

Weitere E-Mail-Adressen

Dieses Feld erscheint im Abschnitt Benachrichtigung bei Autotask-Objekten. Damit können Sie Benachrichtigungsmails an Empfänger senden, deren E-Mail-Adresse nicht in Autotask gespeichert ist, da sie weder ein Kundenkontakt noch ein interner Mitarbeiter sind. Auf einigen Formularen gibt es mehrere Felder für Andere E-Mail(s), damit Sie zwischen Empfänger für An:, CC: und BCC: unterscheiden können.

Geben Sie die komplette E-Mail-Adresse für jeden Empfänger ein. Trennen Sie mehrere E-Mail-Adressen durch ein Semikolon.