Erstellen einer Authentifizierungsdienstverbindung

  1. Vergewissern Sie sich auf der Seite Authentifizierungsdienste, dass je nach Typ des Authentifizierungsdienstes, mit dem Sie sich verbinden möchten, die entsprechende Registerkarte aktiv ist:
    • Windows Active Directory; oder
    • Generisches Verzeichnis: Anderes LDAP-basiertes Verzeichnis
  2. Klicken Sie auf Neu. Es öffnet sich die Seite zum Erstellen einer neuen Serververbindung.
  3. Füllen Sie die folgenden Felder aus und klicken Sie auf OK.
  4. Wenn Sie fertig sind, fahren Sie fort mit Hinzufügen von Benutzern und Rollen über eine Authentifizierungsdienstverbindung.

Erstellen einer neuen Server-Verbindung

  • Name: Geben Sie einen Namen für die Verbindung an.
  • Host: Der Hostname oder die IP-Adresse des Authentifizierungsdienstes, der als Domänencontroller fungiert. Round-Robin- oder andere Domänencontroller mit Lastenausgleich werden nicht unterstützt; Alternierende Server können jedoch unten (unter Optionale Felder) angegeben werden.
    • Hinweis  Falls der Authentifizierungstyp auf SASL gesetzt ist und der Host eine IP-Adresse ist, müssen Sie auch einen Bereich festlegen.

    Vom AD Explorer:

    1. Wählen Sie "Datei > Verbinden..." und klicken Sie auf OK, wobei Sie alle Werte leer lassen.
    2. Falls sich der AD Explorer erfolgreich mit Windows Active Directory verbindet, wird der Hostname in eckigen Klammern ausgegeben.

    Von einem Domänen-Computer:

    1. Öffnen Sie die Kommandozeile (cmd.exe) über das Startmenü.
    2. Geben Sie gpresult /r ein, um die Policy-Informationen für den aktuellen Benutzer anzuzeigen.
    3. Der Authentifizierungsdienst erscheint unter 'Group Policy was applied from'.
  • Port: Der Port, der für die Kommunikation mit den Authentifizierungsdiensten verwendet wird. Die meisten gängigen Windows-Domänen-Konfigurationen verwenden Port 389 oder 636.
  • Verschlüsselung der Verbindung: Die Verschlüsselungsmethode, die bei der Authentifizierung mit dem Authentifizierungsdienst verwendet werden soll.
  • Dienstkontoname für Suchen: Ein Windows Dienstkonto, das für den Import von Authentifizierungsdienst-Benutzern und -Gruppen in FME Flow verwendet wird. Dieses Konto benötigt Lesezugriff auf den Domänencontroller.

    • Geben Sie das Konto in einem der folgenden Formate an:

    Format

    Syntax

    Beispiel
    NT-Anmeldung DOMAIN\username MYCOMPANY\User1
    Benutzerprinzipalname username@domain.net User1@MYCOMPANY.INTERNAL
    Ausgezeichneter Name CN=...,OU=...,DC=... CN=User One,OU=Service Accounts,OU=My Company,DC=company,DC=internal
    1. Vom AD Explorer: Verbinden Sie sich mit dem Active Directory.
    2. Navigieren Sie zum Eintrag, der das Zugangskonto repräsentiert, und wählen Sie diesen aus.
    3. Der Name des Service Accounts erscheint unter dem Attribut 'sAMAccountName'.
  • Dienstkontokennwort für Suchen: Das Kennwort des Authentifizierungsdienst-Kontos.
  • Attribut für Dienstkontonamen: Wenn die aktive Registerkarte Generisches Verzeichnis ist, handelt es sich um das Verzeichnisattribut, das für die Anmeldung des Benutzerkontos in FME Flow verwendet werden soll. Typische Attribute sind UID, mail oder CN.
  • Attribut für Gruppennamen: Wenn die aktive Registerkarte Generisches Verzeichnis ist, handelt es sich um das Verzeichnisattribut, das für den Rollennamen in FME Flow verwendet werden soll. Ein typisches Attribut ist CN.
  • Benutzerklasse: Wenn die aktive Registerkarte Generisches Verzeichnis ist, identifiziert der objectClass-Attributwert die Verzeichnisbenutzer. Dieser Wert muss für alle Benutzer einheitlich sein, da er für die Suche nach Benutzern im Authentifizierungsdienst verwendet wird. Typische Attributwerte sind inetOrgPerson und organizationalPerson.
  • Gruppenklasse: Wenn die aktive Registerkarte Generisches Verzeichnis ist, identifiziert der objectClass-Attributwert die Verzeichnisgruppen. Dieser Wert muss für alle Gruppen einheitlich sein, da er für die Suche nach Gruppen im Authentifizierungsdienst verwendet wird. Ein typischer Attributwert ist groupOfNames.

Authentifizierung

  • Authentifizierungstyp: Geben Sie die Methode für die Authentifizierung beim Authentifizierungsdienst an:
    • Basis: SASL-Authentifizierung wird nicht aktiviert.
    • SASL: Aktiviert Simple Authentication and Security Level (SASL).
      • SASL-Mechanismus:
        • GSSAPI: Kerberos V5-Authentifizierung
        • GSS-SPNEGO: Simple and Protected GSSAPI Negotiation-Mechanismus
        • EXTERNAL: Kontext-implizite Authentifizierung
        • DIGEST-MD5: MD5 Message Digest
  • Single Sign-On aktivieren: Wenn die aktive Registerkarte Windows Active Directory ist, erlaubt diese Einstellung, wenn sie aktiviert ist, den Benutzern, die von dieser Verbindung importiert werden, sich automatisch mit ihren Windows-Anmeldedaten mit FME Flow zu verbinden.
    • Hinweis  Um Single Sign-On zu verwenden, müssen Sie auch Ihre Windows-Domäne und Ihre Webbrowser-Konfigurationen aktualisieren. Weitere Informationen finden Sie unter Konfigurieren von integrierter Windows-Authentifizierung.
    • Dienstkontoname: Der Name des Windows Dienstkonto für die Konfiguration von Single Sign-On im Format USERNAME (Geben Sie nicht DOMAIN an).
      1. Vom AD Explorer: Verbinden Sie sich mit dem Active Directory.
      2. Navigieren Sie zum Eintrag, der das Zugangskonto repräsentiert, und wählen Sie diesen aus.
      3. Der Name des Service Accounts erscheint unter dem Attribut 'sAMAccountName'.
    • Dienstkontokennwort: Das Kennwort des Windows-Dienstkontos.

Optionale Felder

  • Synchronisierung aktivieren: Wenn dieses Kontrollkästchen aktiviert ist, synchronisiert sich die Verbindung in festgelegten Intervallen mit dem Authentifizierungsdienst. Zu den Informationen, die synchronisiert werden, gehören:
    • Beziehungen zwischen Benutzern und Gruppen. Beispiel: Angenommen wird ein Benutzer_1, der aufgrund einer entsprechenden Beziehung im Authentifizierungsdienst zur Gruppe_1 in FME Flow gehört. Falls diese Beziehung im Authentifizierungsdienst aufgelöst wird, wird diese Beziehung zwischen Benutzer_1 und Gruppe_1 auch nach der nächsten Synchronisierung in FME Flow aufgelöst. Wenn ein Authentifizierungsdienst-Benutzer Gruppen ändert, wird diese Änderung auch in FME Flow synchronisiert.
    • Namensänderungen bei Benutzerkonten im Directory Server.
      • Hinweis  Wenn eine Synchronisierung stattfindet, stellt FME Flow sicher, dass eine Namensänderung des Authentifizierungsdienstes die Verbindung des Benutzers mit FME Flow nicht unterbricht. FME Flow aktualisiert jedoch nicht den Anmeldenamen (Benutzername) oder den Anzeigenamen (Vollständiger Name) des Benutzers.
    Hinweis  Wenn die Option "Synchronisierung aktivieren" nicht markiert ist, können Sie die Verbindung nach ihrer Erstellung immer noch manuell synchronisieren. Weitere Informationen finden Sie unter Durchführen anderer Aufgaben für Authentifizierungsdienst-Verbindungen (Windows Active Directory, andere LDAP-basierte Verzeichnisse oder Azure Active Directory).
    • Synchronisierungsintervall: Legen Sie die gewünschte Synchronisierungsfrequenz fest.
  • KDC-Host: Wenn die aktive Registerkarte Windows Active Directory ist und SASL-Mechanismus auf GSSAPI gesetzt ist, geben Sie den Hostnamen oder die IP-Adresse des Kerberos Key Distribution Centers (KDC) an. Falls keine Angabe erfolgt, wird angenommen, dass sich das KDC auf demselben Server wie der Active Directory-Domänencontroller befindet.
  • Bereich: Wenn die aktive Registerkarte Windows Active Directory ist und SASL-Mechanismus auf GSSAPI oder DIGEST-MD5 gesetzt ist, geben Sie den Authentifizierungsbereich für Kerberos V5- oder MD5 Message Digest-Authentifizierung an. Bei Active Directory ist der Authentifizierungsbereich der Domänenname. Geben Sie die großgeschriebene Version des Domänennamens an, und zwar in seiner voll-qualifizierten FQDN-Form. Wenn der FQDN z. B. domain.net lautet, verwenden Sie DOMAIN.NET. Falls keine Angabe erfolgt, wird angenommen, dass der Authentifizierungs-Bereich der Domänenname des Active Directory-Domänencontroller ist.
    • Hinweis  Falls der Host eine IP-Adresse ist, müssen Sie einen Bereich angeben.
    1. Öffnen Sie die Kommandozeile (cmd.exe) über das Startmenü.
    2. Führen Sie einen der folgenden Schritte aus:
      1. Geben Sie echo %USERDNSDOMAIN% ein, um die Umgebungsvariable USERDNSDOMAIN anzuzeigen.
      2. Der FQDN wird gedruckt.

      3. OR:

      1. Geben Sie net config workstation ein, um die Netzwerkeinstellungen für den Computer anzuzeigen.
      2. Der FQDN erscheint unter dem Feld "Workstation Domain DNS Name".

    1. Öffnen Sie 'Active Directory-Domänen und -Vertrauensstellungen' aus dem Startmenü.
    2. Im Konsolenbaum (linke Spalte) wird eine Liste von Windows-Domänen nach ihren FQDNs aufgelistet.
  • Suchbasis: Geben Sie den Distinguished Name eines Abschnitts (Teilbaums) des Authentifizierungsdienstes an, der für die Verbindung zugänglich ist. Sämtliche Bereiche, die nicht spezifiziert werden, sind nicht erreichbar. Falls nichts angegeben wird, kann auf das gesamte Verzeichnis zugegriffen werden.
    1. Vom AD Explorer: Verbinden Sie sich mit dem Active Directory.
    2. Navigieren Sie durch das Verzeichnis, um den Ort aller Benutzer und Sicherheitsgruppen zu bestimmen, denen Zugang zu FME Flow gewährt wird.
    3. Wählen Sie einen Eintrag, der als Namenskontext verwendet wird.
    4. Der ausgezeichnete Name erscheint unter dem Attribut 'distinguishedName'.
  • Alternierende Server: Ermöglicht FME Flow den Zugriff auf den Authentifizierungsdienst über wechselnde Host- und Port-Kombinationen. Diese Einstellung kann in diesen Fällen nützlich sein:
    • Der Zugriff auf den Authentifizierungsdienst kann von mehreren redundanten Servern aus erfolgen. FME Flow verwendet diese Server, um auf rotierende Weise auf den Authentifizierungsdienst zuzugreifen, wodurch die Last auf sie verteilt wird.
    • Wenn auf einen Authentifizierungsserver nicht zugegriffen werden kann, stellt FME Flow eine Verbindung zu einem oder mehreren alternierenden Servern her.

    Um eine Kombination aus Host und Port hinzuzufügen, klicken Sie auf +. Um eine Kombination aus Host und Port zu entfernen, klicken Sie auf -.

  • Attribut für Dienstkontonamen: Wenn die aktive Registerkarte Windows Active Directory ist, handelt es sich um das Active Directory-Attribut, das für die Anmeldung des Benutzerkontos in FME Flow verwendet werden soll. Unter Windows lassen Sie das Feld leer, um den Anmeldenamen des Kontos vor Windows 2000 zu verwenden (sAMAccountName).
  • Attribut für Dienstkontomitglied: Wenn die aktive Registerkarte Generisches Verzeichnis ist, das Authentifizierungsdienst-Attribut, das die Gruppenmitgliedschaft eines Benutzerkontos enthält. Dieses Attribut ist nicht in allen Authentifizierungsdiensten vorhanden. Wenn es jedoch vorhanden ist, kann es den Verzeichniszugriff effizienter machen. Ein typisches Attribut ist memberOf.
  • Attribut für Gruppennamen: Wenn die aktive Registerkarte Windows Active Directory ist, das Attribut, das für den Rollennamen in FME Flow verwendet werden soll. Unter Windows lassen Sie das Feld leer, um den Gruppennamen der Gruppe vor Windows 2000 zu verwenden (sAMAccountName).
  • Attribut für vollständigen Namen: Das Authentifizierungsdienst-Attribut, das für den vollständigen Namen des Benutzerkontos in FME Flow verwendet werden soll. Wenn die aktive Registerkarte folgendermaßen gesetzt ist:
    • Windows Active Directory: Lassen Sie das Feld leer, wenn Windows displayName verwenden soll.
    • Generisches Verzeichnis: Ein typisches Attribut ist displayName.
  • Attribut für E-Mail: Das Authentifizierungsdienst-Attribut, das für die E-Mail-Adresse des Benutzerkontos in FME Flow verwendet werden soll. Wenn die aktive Registerkarte folgendermaßen gesetzt ist:
    • Windows Active Directory: Lassen Sie das Feld leer, wenn Windows die E-Mail-Adresse des Kontos (mail) verwenden soll.
    • Generisches Verzeichnis: Ein typisches Attribut ist mail.

Wenn Sie Benutzerkonten von einem Azure AD-Server importieren, können sich Ihre Benutzer mit ihren Azure AD-Anmeldedaten bei FME Flow in folgenden Situationen authentifizieren:

  • Anmelden direkt bei FME Flow.
  • Publizieren von Workspaces von FME Form auf FME Flow oder Authentifizieren in Transformern, Readern oder Writern.
    Hinweis  Eine zusätzliche Konfiguration zwischen FME Form und Azure AD ist erforderlich. Weitere Informationen finden Sie unter Create an FME Flow Azure Active Directory Web Connection in FME Form.

Getting Started

Damit FME Flow mit Azure AD kommunizieren kann, müssen Sie FME Flow als Unternehmensanwendung in Azure AD erstellen und registrieren. Befolgen Sie die Anweisungen unter Konfigurieren von Azure Active Directory mit FME Flow. Wenn Sie fertig sind, fahren Sie wie folgt fort:

Vergewissern Sie sich auf der Seite Authentifizierungsdienste, dass die Registerkarte Azure Active Directory aktiv ist, und klicken Sie auf Neu. Die Seite "Neuen Azure AD-Mandanten erstellen" wird geöffnet. Füllen Sie die folgenden Felder aus und klicken Sie auf OK. Wenn Sie fertig sind, fahren Sie fort mit Hinzufügen von Benutzern und Rollen über eine Authentifizierungsdienstverbindung.

  • Name: Geben Sie einen Namen für die Verbindung an.
  • Mandanten-ID : Die Verzeichnis- (Mandanten-)ID, die für die FME Flow-Registrierung gilt.
  • Mandanten-Typ: Gibt an, ob der Mandant für diese Verbindung ein Primärer oder Sekundärer Mandant ist. Sekundär kann nur angegeben werden, wenn FME Flow in Azure AD registriert ist, um mehrere Mandanten zu unterstützen. Darüber hinaus müssen die beiden folgenden Bedingungen in Azure AD erfüllt sein:
    1. Dem Mandanten wird sekundärer Mandantenzugriff auf FME Flow gewährt.
    2. FME Flow erhält Zugriff auf die Benutzer und Gruppen des sekundären Mandanten.

    Weitere Informationen finden Sie unter Gewährung des sekundären Mandantenzugriffs auf FME Flow in Azure AD.

  • Client-ID: Die Anwendungs- (Client-)ID, die für die FME Flow-Registrierung generiert wurde.
  • Clientgeheimnis: Der Clientgeheimnis-Wert der registrierten Anwendung. (Die Geheimnis-ID ist nicht erforderlich.)
  • Synchronisierung aktivieren: Wenn dieses Kontrollkästchen aktiviert ist, synchronisiert sich die Verbindung in festgelegten Intervallen mit dem Authentifizierungsdienst. Zu den Informationen, die synchronisiert werden, gehören:
    • Beziehungen zwischen Benutzern und Gruppen. Beispiel: Angenommen wird ein Benutzer_1, der aufgrund einer entsprechenden Beziehung im Authentifizierungsdienst zur Gruppe_1 in FME Flow gehört. Falls diese Beziehung im Authentifizierungsdienst aufgelöst wird, wird diese Beziehung zwischen Benutzer_1 und Gruppe_1 auch nach der nächsten Synchronisierung in FME Flow aufgelöst. Wenn ein Authentifizierungsdienst-Benutzer Gruppen ändert, wird diese Änderung auch in FME Flow synchronisiert.
    • Namensänderungen bei Benutzerkonten im Directory Server.
      • Hinweis  Wenn eine Synchronisierung stattfindet, stellt FME Flow sicher, dass eine Namensänderung des Authentifizierungsdienstes die Verbindung des Benutzers mit FME Flow nicht unterbricht. FME Flow aktualisiert jedoch nicht den Anmeldenamen (Benutzername) oder den Anzeigenamen (Vollständiger Name) des Benutzers.
    Hinweis  Wenn die Option "Synchronisierung aktivieren" nicht markiert ist, können Sie die Verbindung nach ihrer Erstellung immer noch manuell synchronisieren. Weitere Informationen finden Sie unter Durchführen anderer Aufgaben für Authentifizierungsdienst-Verbindungen (Windows Active Directory, andere LDAP-basierte Verzeichnisse oder Azure Active Directory).
    • Synchronisierungsintervall: Legen Sie die gewünschte Synchronisierungsfrequenz fest.

Was ist der nächste Schritt?

Fahren Sie fort mit Hinzufügen von Benutzern und Rollen über eine Authentifizierungsdienstverbindung.