Skip to main content

Active Directory Integration

Nubeto kann mit Ihrem lokalen Active Directory verbunden werden. Folgenden Funktionsumfang bietet die Integration:

  • Automatisiertes Anlegen von neuen Accounts
  • Automatisiertes Deaktivieren und Löschen von Accounts
  • Erstellen von Gruppen
  • Verwalten von Gruppenmitgliedschaften

Die Nubeto AD Integration verwendet im Hintergrund eine geplante Aufgabe, die standardmäßig alle 15 Minuten aufgerufen wird. Ein kürzeres Intervall wird nicht unterstützt. In großen Umgebungen kann es erforderlich sein, das Intervall zu erhöhen.

Struktur im Active Directory

Gruppen

Nubeto wird im Active Directory verschiedene Gruppen anlegen:

Eine Gruppe je globaler Rolle

Zum Beispiel: nu_global_1_datenschutzbeauftragter

Eine Gruppe je Organisationsrolle innerhalb einer Organisationseinheit

Zum Beispiel: hr2_or3_trainee.entwicklung

Eine Gruppe je Funktionsrolle innerhalb einer Organisationseinheit

Zum Beispiel: hr9_fr5_featuremanager.vertrieb

Eine Gruppe je Organisationsrolle

Diese Gruppen beinhaltet dann alle Mitarbeiter bzw. Accounts, die primär in der jeweiligen Organisationseinheit arbeiten.

Eine Gruppe je Organisationseinheit

Zum Beispiel: hr6.logistik

Integration einrichten

  1. Um die Integration einzurichten, gehen Sie in den Einstellungen zum Menüpunkt "Integrationen".
  2. Klicken Sie auf das Plus-Symbol, um eine Integration hinzuzufügen.
  3. Wählen Sie bei Provider "Active Directory".
  4. Geben Sie der Integration einen Namen, z.B. "Lokales AD".
  5. Speichern Sie die Integration.
  6. In der Ansicht der erstellten Integration finden Sie einen Link, um das Setup der Integration herunterzuladen.
  7. Installieren Sie die Anwendung auf einem Server, welcher miglied der Domäne ist. Es muss sich nicht zwingend um einen Domaincontroller handeln.
  8. Während der Installation werden Sie nach Zugangsdaten für einen Benutzer gefragt, welcher in der Aufgabenplanung hinterlegt wird, um die Synchronisation zudruchzuführen. Diese Nutzer muss Domainadmin sein und die Berechtigung zum "Anmelden als Stapelverarbeitungsauftrag" haben.
  9. Die Installation wird durchgeführt und die geplante Aufgabe erstellt.
  10. Wenn Sie die Integration noch nicht nutzen möchten, können Sie die Aufgabe in der Aufgabenplanung vorerst deaktivieren.

Häufige Probleme mit der AD Integration

Ein Nutzer wurde bereits gelöscht und jetzt in Nubeto neuangelegt. Kann der Nutzer seinen alten Account zurückbekommen?

Ja, das kann funktionieren. Voraussetzung ist aber, dass in Ihrer AD-Umgebung der Papierkorb für AD-Objekte aktiviert ist. Wenn Sie Azure AD Connect verwenden, ist das in der Regel der Fall. Gehen Sie wie folgt vor:

  1. Prüfen Sie, ob der alte Account im Papierkorb des AD existiert. Nutzen Sie dafür zum Beispiel das Active Directory-Verwaltungscenter (blaues Symbol). Fahren Sie nur fort, wenn Sie sich sicher sind, dass der alte Account im Papierkorb existiert. Stellen Sie diesen jetzt noch nicht wieder her!
  2. Deaktivieren Sie die geplante Aufgaben, welche für die Nubeto Synchronisierung verantwortlich ist (Rechtsklick, deaktivieren)
  3. Rufen Sie den Account des Mitarbeiters im AD auf.
  4. Kopieren Sie den Wert der Attribute „employeeID“ und „employeeNumber“
  5. Löschen Sie diesen Account nun
  6. Wenn Sie Azure AD Connect im Einsatz haben, warten Sie einen Moment ab, damit Microsoft 365 die Änderungen übernehmen kann. Dies dauert zwischen 30 und 120 Minuten.
  7. Stellen Sie den alten Account aus dem Papierkorb wieder her. Verwenden Sie dazu zum Beispiel das Active Directory-Verwaltungscenter (blaues Symbol).
  8. Nachdem Sie den Account in die gewünschte AD OU wiederhergestellt haben, (er)setzen Sie die beiden Attribute, die Sie sich in Schritt 4 notiert haben.
  9. Reaktivieren Sie die geplante Aufgabe für die Synchronisation mit Nubeto (Rechtsklick, aktivieren)

Ich habe im laufenden Betrieb einen Account im AD gefunden, der in Verwendung ist, aber für den es in Nubeto keinen Account gibt. Wie sollte ich vorgehen?

Option 1: Account löschen und durch Nubeto erstellen lassen

Hinweis: Bei dieser Option verliert der Nutzer möglicherweise Daten!

  1. Löschen Sie den Account im AD
  2. Erstellen Sie einen Mitarbeiter in Nubeto
  3. Erstellen Sie einen Account für den Mitarbeiter in Nubeto
  4. Warten Sie einen Augenblick ab
  5. Nun gibt es für den Mitarbeiter einen Account, welcher mit Nubeto verknüpft ist

Option 2: EmployeeID an vorhandenen Account knüpfen

  1. Erstellen Sie einen Mitarbeiter in Nubeto
  2. Erstellen Sie einen Account für den Mitarbeiter in Nubeto
  3. Warten Sie einen Augenblick ab
  4. Nun gibt es einen zweiten Account für den Mitarbeiter im lokalen AD, welcher mit Nubeto verknüpft ist
  5. Kopieren Sie nun den Wert des Active Directory Attributs “EmployeeID” des neu erstellten Accounts. Löschen Sie anschließend den Account und fügen Sie das Attribut beim alten Account, welcher bereits vorhanden war, ein.
  6. Beim nächsten Sync Zyklus wird der Account mit Nubeto verknüpft