Univention Bugzilla – Attachment 9313 Details for
Bug 45608
English version: Add documentation about Microsoft Office 365 Connector to manual
Home
|
New
|
Browse
|
Search
|
[?]
|
Reports
|
Requests
|
Help
|
New Account
|
Log In
[x]
|
Forgot Password
Login:
[x]
idm-cloud-de.xml
idm-cloud-de.xml (text/xml), 8.61 KB, created by
Stefan Gohmann
on 2017-12-08 16:31:51 CET
(
hide
)
Description:
idm-cloud-de.xml
Filename:
MIME Type:
Creator:
Stefan Gohmann
Created:
2017-12-08 16:31:51 CET
Size:
8.61 KB
patch
obsolete
><?xml version="1.0" encoding="UTF-8" standalone="no"?> ><!DOCTYPE chapter [ > <!ENTITY % extensions SYSTEM "../stylesheets/macros.ent" > > <!ENTITY % DocBookDTD PUBLIC "-//OASIS//DTD DocBook XML V4.5//EN" > "http://www.oasis-open.org/docbook/xml/4.5/docbookx.dtd"> > <!ENTITY % entities SYSTEM "../stylesheets/macros-de.ent" > > %extensions; > %DocBookDTD; > %entities; >]> ><chapter id="idmcloud"> > <title>Identity Management Anbindung an Cloud-Dienste</title> > <section id="idmcloud:general"> > <title>Einführung</title> > <para> > UCS bietet ein integriertes Identity Management System. Ãber Univention Management Console können u.a. Benutzer > oder Gruppen sehr einfach administriert werden. Abhängig von den installierten Diensten stehen diese > Identitäten über unterschiedliche Schnittstellen bereit, bspw. via LDAP. > </para> > <para> > Mit Hilfe von bereitgestellten Erweiterungen, sogenannten Apps, kann das Managementsystem so erweitert werden, dass > Benutzer oder Gruppen auch direkt in Cloud-Dienste repliziert werden. Im App Center sind u.a. Erweiterung für > Microsoft Office 365 oder G Suite vorhanden. > </para> > <para> > Dank Single Sign-on (SSO) können sich die Benutzer mit ihrem gewohnten Passwort anmelden und anschlieÃend sofort online > in der Cloud arbeiten. Dabei bleibt das Passwort im Unternehmensnetzwerk und wird nicht zum Cloud Dienst übertragen. > </para> > <para> > Im folgenden Kapitel ist die Einrichtung des Microsoft Office 365 Connector beschrieben. > </para> > </section> > > <section id="idmcloud:o365"> > <title>Microsoft Office 365 Connector</title> > <para> > Der Microsoft Office 365 Connector ermöglicht die Synchronisation der Benutzer und Gruppen zu einer Azure Active > Directory Domäne, welche von Office 365 verwendet wird. Dabei lässt sich steuern, welche der in UCS angelegten > Benutzer Office 365 verwenden dürfen. Die so ausgewählten Benutzer werden entsprechend von UCS in die Azure Active > Directory Domäne provisioniert. Es kann dabei konfiguriert werden, welche Attribute synchronisiert werden und Attribute > können dabei anonymisiert werden. > </para> > > <para> > Die Single Sign-on Anmeldung an Office 365 erfolgt über die in UCS integrierte SAML-Implementierung, d.h. die Authentifizierung erfolgt dabei gegen den > UCS-Server und es werden keine Passwort-Hashes zu Microsofts Azure Cloud übertragen. Die Authentifikation des Benutzers erfolgt ausschlieÃlich über den > Webbrowser des Clients. Dieser sollte aber die DNS-Namen der UCS-Domäne auflösen können, das ist insbesondere > für Mobilgeräte wichtig zu beachten. > </para> > > <section id="idmcloud:o365:setup"> > <title>Einrichtung</title> > <para> > Für den Einsatz des Microsoft Office 365 Connectors wird ein Microsoft Office 365 Administrator Konto, ein entsprechendes > Konto im Azure Active Directory, sowie eine von Microsoft > <ulink url="https://azure.microsoft.com/de-de/documentation/articles/active-directory-add-domain/">verifizierte > Domäne</ulink> benötigt. Die ersten beiden werden zu Testzwecken kostenlos von Microsoft bereitgestellt. Für das > Konfigurieren des SSO wird jedoch eine eigene Internet-Domäne benötigt, in der TXTâRecords erstellt werden können. > </para> > > <para> > Falls noch keine Microsoft Office 365 Subskription vorhanden ist, so kann diese via <ulink url="http://www.office.com"/> > im Bereich <guimenu>kostenlos testen für Unternehmen</guimenu> konfiguriert werden. Mit einem privaten Microsoft Konto > ist eine Verbindung nicht möglich. > </para> > > <para> > AnschlieÃend sollte eine Anmeldung mit einem <guimenu>Office 365 Administratorkonto</guimenu> im <guimenu>Office 365 Admin Center</guimenu> erfolgen. In > der linken Navigationsleiste ganz unten ist <guimenu>Azure AD</guimenu> auszuwählen, welches in einem neuen Fenster das > <guimenu>Azure Management Portal</guimenu> öffnet. > </para> > > <para> > Unter dem Menüpunkt <guimenu>Domänen</guimenu> kann nun die eigene Domäne hinzugefügt und verifiziert werden. Dafür ist > es notwendig, einen TXT-Record im DNS der eigenen Domäne zu erzeugen. Dieser Vorgang kann einige Minuten in > Anspruch nehmen. AnschlieÃend sollte der <guimenu>Status</guimenu> der konfigurierten Domäne als > <guimenu>überprüft</guimenu> angezeigt werden. > </para> > > <para> > Nun kann die Microsoft Office 365 App aus dem App Center auf dem UCS System installiert werden. Die Installation dauert > nur wenige Minuten. AnschlieÃend steht ein Einrichtungsassistent (Wizard) für die Einrichtung zur Verfügung. > Mit Abschluss des Einrichtungsassistenten ist die Installation abgeschlossen und der Connector ist einsatzbereit. > </para> > > <figure id="idmcloud:o365:wizard"> > <title>Office 365 Einrichtungsassistent</title> > <graphic scalefit="1" width="100%" fileref="illustrations42/office_wizard1_de.png"/> > </figure> > > </section> > > <section id="idmcloud:o365:config"> > <title>Konfiguration</title> > <para> > Nach der Einrichtung über den Einrichtungsassistenten kann über das Benutzermodul an jedem Benutzerobjekt auf dem Reiter <guimenu>Office 365</guimenu> > konfiguriert werden, dass dieser Benutzer ins Office 365 provisioniert wird. Der Verbrauch und die Zuweisung von > Lizenzen ist im <guimenu>Office 365 Admin Center</guimenu> zu erkennen. > </para> > > <para> > Wird eine Ãnderung am Benutzer durchgeführt, so werden die Ãnderungen auch in die Azure Active Directory Domäne repliziert. Es erfolgt > keine Synchronisation aus dem Azure Active Directory in das UCS System. Das bedeutet Ãnderungen, die im Azure Active > Directory oder Office Portal vorgenommen, können durch Ãnderungen an den gleichen Attributen in UCS unter Umständen > wieder überschrieben werden. > </para> > > <para> > Aufgrund von Sicherheitsrichtlinien des Azure Active Directory können Benutzer oder Gruppen im Azure AD > während der Synchronisation nicht gelöscht werden. Sie werden lediglich deaktiviert und umbenannt. Die Lizenzen werden im Azure > Active Directory entzogen, so dass diese für andere Benutzer zur Verfügung stehen. Benutzer und Gruppen, deren Namen > mit <guimenu>ZZZ_deleted</guimenu> anfangen, können im <guimenu>Office 365 Admin Center</guimenu> gelöscht werden. > </para> > > <para> > Es ist notwendig in Office 365 ein Land für den Benutzer zu konfigurieren. Der Connector nutzt dafür die Angabe des > Landes aus den Kontaktdaten des Benutzers oder, wenn nicht gesetzt, die Einstellung des Servers. Mit Hilfe der &ucsUCRV; > <envar>office365/attributes/usageLocation</envar> kann ein 2-Zeichen-Kürzel, bspw. DE vorgegeben werden. > </para> > > <para> > Ãber die &ucsUCRV; <envar>office365/attributes/sync</envar> wird konfiguriert, welche LDAP Attribute (z. B. Vorname, Nachname, etc.) > eines Benutzerkontos synchronisiert werden. Es handelt sich um eine kommaseparierte Liste von LDAP Attributen. Somit ist eine > Anpassung an die eigenen Bedürfnisse einfach möglich. > </para> > > <para> > Mit der &ucsUCRV; <envar>office365/attributes/anonymize</envar> können kommasepariert LDAP Attribute angegeben werden, > die zwar im Azure Active Directory angelegt, jedoch mit Zufallswerten gefüllt werden. Die Univention Configuration Registry Variablen > <envar>office365/attributes/static/.*</envar> erlauben das Füllen von Attributen auf Microsoft Seite mit einem > vordefinierten Wert. > </para> > > <para> > Mit der &ucsUCRV; <envar>office365/attributes/never</envar> können kommasepariert LDAP Attribute angegeben werden, die > nicht synchronisiert werden sollen, selbst wenn diese in <envar>office365/attributes/sync</envar> oder > <envar>office365/attributes/anonymize</envar> auftauchen. > </para> > > <para> > Die Univention Configuration Registry Variablen <envar>office365/attributes/mapping/.*</envar> definieren eine Abbildung der UCS LDAP Attribute zu Azure > Attributen. Diese Variablen müssen normalerweise nicht verändert werden. Die Synchronisation der Gruppen der >Office 365 Benutzer kann mit der &ucsUCRV; <envar>office365/groups/sync</envar> aktiviert werden. > </para> > > <para> > Ãnderungen an UCR Variablen werden erst nach dem Neustart des Univention Directory Listener umgesetzt. > </para> > > > </section> > > <section id="idmcloud:o365:debug"> > <title>Fehlersuche</title> > <para> > Meldungen während der Einrichtung werden in der folgenden Logdatei > <filename>/var/log/univention/management-console-module-office365.log</filename> protokolliert. > </para> > > <para> > Bei Synchronisationsproblemen sollte die Logdatei des Univention Directory Listener geprüft werden: > <filename>/var/log/univention/listener.log</filename>. Mit Hilfe der &ucsUCRV; <envar>office365/debug/werror</envar> > können mehr Debugausgaben aktiviert werden. > </para> > > </section> > </section> > ></chapter>
<b>You cannot view the attachment while viewing its details because your browser does not support IFRAMEs. <a href="attachment.cgi?id=9313">View the attachment on a separate page</a>.</b>
View Attachment As Raw
Actions:
View
Attachments on
bug 45608
: 9313 |
9328