Konfiguration / Einstellungen

Die Dokumentation für ältere Versionen von Active Directory Synchronisation finden Sie hier.

Benutzer-Import aus Active Directory

Active Directory Benutzer, die in einer AD-Benutzergruppe zusammengefasst sind, werden automatisiert und zeitgesteuert in die STARFACE importiert (ausreichend freie STARFACE-Benutzerlizenzen vorausgesetzt). Die Benutzereigenschaften wie Vorname, Nachname, Emailadresse sowie beliebig viele Rufnummern (Telefon Geschäftlich, Fax, ...) werden hierbei ebenfalls importiert.

Beispiel für eine Rufnummernkonfiguration

Rufnummern, die zur Leitungskonfiguration der STARFACE gehören, werden dem Benutzer als eigene Telefonnummer zugewiesen. Bei Faxrufnummern wird für den Benutzer und die entsprechende Rufnummer Software Fax2Mail konfiguriert.


Besitzen mehrere Benutzer im Active Directory die selbe Rufnummer, erstellt das Modul beim Import eine STARFACE-Benutzergruppe und weist der Gruppe diese Rufnummer sowie die zugehörigen Benutzer zu. Darüberhinaus kann im Modul ein Mapping zwischen AD-Sicherheitsgruppen und STARFACE-Benutzergruppen angelegt werden, so dass Mitglieder der AD-Sicherheitsgruppen automatisch auch STARFACE-Gruppenmitglieder werden.

Benutzer, die im Active Directory Mitglied einer Admin-Benutzergruppe sind, bekommen beim Import in die STARFACE ebenfalls Adminrechte und werden beim Import zuerst importiert.

Wenn auf der STARFACE Benutzer existieren, die keine Entsprechung im Active Directory haben, werden diese Benutzer umbenannt, indem ein Minus-Zeichen vor den Nachnamen gesetzt wird. Hierdurch wird kenntlich gemacht, dass ein Benutzer, der z.B. im Active Directory gelöscht wurde, auch auf der STARFACE gelöscht werden kann. Das Modul Active Directory Synchronisation wird selbst keine Benutzer löschen, um eventuell vorhandene Ruflisteninformationen, Faxe oder Voicemails nicht zu verlieren.

Einem nur in der STARFACE vorhandenen Benutzer werden darüberhinaus alle Rufnummern (mit Ausnahme der primären internen Rufnummer) entzogen, so dass die Rufnummern anderen Benutzern wieder zur Verfügung stehen. Soll das verhindert werden (z.B. für Benutzer, die nicht im AD existieren, wie Türsprechstellen, Faxgeräte, usw.), muß der Benutzer mit Admin-Rechten ausgestattet werden.

Vorbereitung für den AD-Import

Falls nicht bereits geschehen: Legen Sie eine oder mehrere Leitungen in der Leitungskonfiguration Ihrer STARFACE an, um die im AD konfigurierten Rufnummern auch auf der STARFACE verfügbar zu machen.

Importieren Sie das Modul "Active Directory Synchronisation" in Ihre STARFACE, legen eine Modulkonfiguration für das Modul an und fügen den Modullizenzschlüssel in das dafür vorgesehene Feld ein:

Falls Sie aus einem lokalen (on-prem) Active Directory importieren möchten:
Aktivieren Sie die AD-Authentifizierung in der STARFACE. Die Anbindung der STARFACE an das AD wird auch vom Modul selbst verwendet. Active Directory Synchronisation wird den Zustand der AD-Anbindung sowie die verwendeten Parameter nach Auswahl der Synchronisationsquelle anzeigen.

Bitte achten Sie darauf, dass der Benutzer für die AD-Anbindung über ausreichend Rechte verfügt, alle Attribute(!) der Personenobjekte im AD zu lesen.

Active Directory Synchronisation verfügt über einen eingebauten SSH-Tunnel-Konfigurator mit dem Sie auch auf STARFACE-Cloud-Anlagen die lokale Active Directory Anbindung über einen verschlüsselten SSH-Tunnel umsetzen können. Eine Anleitung hierfür finden Sie unter: STARFACE VPN-SSH-Tunnel

Wählen Sie die zu importierenden AD-Gruppen im Bereich der Synchronisationseinstellungen aus. Nach Drücken der Taste erscheint ein Auswahldialog, der alle in Ihrem AD gefundenen Gruppen auflistet und eine Suche erlaubt:

Nach Auswahl der zu importierenden Gruppe können für diese gruppenspezifische Importeinstellungen vorgenommen werden:

Benutzer aus der gewählten AD-Gruppe können nicht nur importiert werden, sondern optional auch einer STARFACE-Gruppe hinzugefügt werden.
Bei jedem Synchronisationsvorgang wird den zu importierenden/synchronisierenden Benutzern der ausgewählte Lizenztyp (Benutzer oder Benutzer Light) zugewiesen.
Die ausgewählten Rechte werden bei jedem Synchronisationsvorgang zwar gesetzt, aber niemals entzogen.

Rechte werden beim Synchronisationsvorgang zwar nicht aktiv entzogen, dies kann jedoch mittelbar geschehen, indem einem Benutzer durch die Synchronisation eine "Benutzer Light Lizenz" zugewiesen wird. Dieser Benutzer verliert Admin-/App-Premium-/Teams-Integration- und Terminal-Server-Rechte!


In der Kopfzeile einer Synchronisationseinstellung wird die AD-Gruppe (;aus der die Benutzer importiert/synchronisiert werden), optional die STARFACE-Gruppe (der die Benutzer hinzugefügt werden), die ausgewählten Rechte und Funktionstasten angezeigt.

Manche Funktionen, wie z.B. die manuelle Synchronisation einer einzelnen Gruppe, sind nur im Expertenmodus sichtbar.

Die Synchronisation kann entweder manuell, durch Drücken der Taste oder zeitgesteuert, über einen Timer ausgelöst werden.


Checkliste für den AD-Import

  1. Stellen Sie sicher, dass Sie eine für Ihre STARFACE-Version passende Modulversion verwenden (mit anderen Worten, dass das Modul mit Ihrer STARFACE-Version kompatibel ist).
  2. Stellen Sie sicher, dass alle Benutzer über eine eindeutige Emailadresse verfügen, die in Groß- und Kleinschreibung der Emailadresse im Active Directory entspricht. Benutzer, die nicht im AD existieren, benötigen eine eindeutige Dummy-Emailadresse in der STARFACE.
  3. Stellen Sie sicher, dass Sie über ausreichend STARFACE-Benutzerlizenzen für die zu importierenden Benutzer verfügen.
  4. Stellen Sie sicher, dass keine Rufnummernkollisionen im Active Directory existieren. Rufnummern sollten nur einem Benutzer zugewiesen sein.
  5. Stellen Sie sicher, dass externe Rufnummern im Active Directory zur STARFACE Leitungskonfiguration passen (keine Schreibfehler oder Zahlendreher).

Einrichtung der Microsoft Azure Anwendung

  1. Im Azure Portal (https://portal.azure.com/): "App-Registrierungen" ->  "+ Neue Registrierung"
  2. Name eintragen und bei "Unterstützte Kontentypen" den Punkt "Konten in einem beliebigen Organisationsverzeichnis (beliebiges Azure AD-Verzeichnis – mehrinstanzenfähig)" auswählen und auf "Registrieren" klicken.
  3. In der linken Spalte auf "API-Berechtigungen" und dort auf "+ Berechtigungen hinzufügen" und dort "Microsoft Graph" -> "Anwendungsberechtigungen" auswählen. In der angezeigten Liste müssen folgende Berechtigungen ausgewählt werden und anschließend auf "Berechtigungen hinzufügen" klicken:
    • Directory.Read.All
    • User.Read.All
    • User.ReadWrite.All  (für die Rücksynchronisation der Telefonnummer notwendig)
  4. Anschließend auf "✓ Administratorenzustimmung für '...' erteilen" klicken und den Dialog bestätigen.
  5. In der Tabelle sollte jetzt bei allen Berechtigungen in der Spalte "Status" ein grüner Hacken sein.
  6. In der linken Spalte auf "Zertifikate & Geheimnisse" und dort auf "+ Neuer geheimer Clientschlüssel" klicken. "Beschreibung" und "Gültig bis" nach belieben setzten (max. 2 Jahre möglich) und anschließend auf Hinzufügen klicken.
  7. In der Spalte "Wert" steht nun das "Anwendungs Geheimnis". Dieses sollte gesichert werden, da es später nicht mehr einsehbar ist.
  8. In der linken Spalte auf "Übersicht" klicken. Dort findet man die Werte für "Anwendungs-ID" und "Verzeichnis-ID"
  9. "Anwendungs-ID", "Anwendungs Geheimnis" und "Verzeichnis-ID" im Modul eintragen.

Begriffsdefinitionen

Begriffsdefinitionen finden Sie in unserem Glossar.

Hinweis

Damit externe Rufnummern aus der Active Directory Konfiguration übernommen werden können, müssen diese Bestandteil der STARFACE Leitungskonfiguration sein.

Damit einem Benutzer eine interne Rufnummer zugewiesen wird, muß diese interne Rufnummer als weitere Rufnummer im Active Directory hinterlegt werden – zusätzlich zur externen Rufnummer.

Auswirkung auf Funktionstasten

Bitte beachten Sie, dass durch eine Synchronisation unter Umständen Änderungen an den STARFACE-Benutzern (z.B. Gruppenzugehörigkeiten) vorgenommen werden, wodurch es notwendig werden kann, eine Endgeräteprovisionierung (z.B. durch Neuanmeldung am Telefon) auszulösen, um die korrekte Funktion von Funktionstasten zu gewährleisten.

Warnung

Sind Benutzer im AD nicht mehr verfügbar, entzieht das Modul diesen Benutzern auf der STARFACE ihre Rufnummern. Bitte achten Sie sorgsam darauf, nicht ungewollt Benutzern ihre Rufnummern zu entziehen, indem Sie AD-Benutzer aus dem im Modul angegebenen Pfad verschieben, die AD-Benutzergruppen ändern oder die Emailadresse und den Benutzernamen im AD derart verändern, dass eine Zuordnung zwischen STARFACE-Benutzer und AD-Benutzer nicht mehr möglich ist.

  • Keine Stichwörter