FME Flow:2025,0

Erstellen einer Authentifizierungsdienstverbindung

WichtigFME Flowerfordert, dass der Windows Active Directory-Server:
Verschlüsselungstyp deaktivierenRC4_HMAC_MD5. Weitere Informationen finden Sie unterStellen Sie sicher, dass Ihre Domänencontroller keine RC4-Verschlüsselung zulassen.
Aktivieren Sie VerschlüsselungstypenAES128_HMAC_SHA1 Und AES256_HMAC_SHA1.
  1. Auf derAuthentifizierungsdienste Stellen Sie sicher, dass die entsprechende Registerkarte aktiv ist, je nachdem, mit welchem Authentifizierungsdiensttyp Sie eine Verbindung herstellen möchten:
    • Windows Active Directory; oder
    • Generisches Verzeichnis: Anderes LDAP-basiertes Verzeichnis
  2. KlickenNeu. Die Seite „Neue Serververbindung erstellen“ wird geöffnet.
  3. Füllen Sie die Felder unten aus und klicken Sie dann aufOK.
  4. Wenn Sie fertig sind, fahren Sie fort mitHinzufügen von Benutzern und Rollen aus einer Authentifizierungsdienstverbindung.

Neue Serververbindung erstellen

  • Name:Geben Sie einen Namen für die Verbindung ein.
  • Gastgeber: Der Hostname oder die IP-Adresse des Authentifizierungsdienstes, der als Domänencontroller fungiert. Round-Robin oder andere Load Balancing Domänencontroller werden nicht unterstützt.Alternative Server kann angegeben werdenunten (unter Optionale Felder).
    • NotizWennAuthentifizierungstyp (unten) istSASL, UndGastgeberist eine IP-Adresse, müssen Sie auch eineReich.

    AusAD Explorer:

    1. Wählen Sie „Datei“ > „Verbinden …“ und klicken Sie auf „OK“. Lassen Sie alle Werte leer.
    2. Wenn AD Explorer erfolgreich eine Verbindung zu Windows Active Directory herstellt, wird der Hostname in eckigen Klammern gedruckt.

    Von einem Domänencomputer:

    1. Öffnen Sie über das Startmenü eine Eingabeaufforderung (cmd.exe).
    2. Typgpresult /r um die Richtlinieninformationen für den aktuellen Benutzer anzuzeigen.
    3. Der Authentifizierungsdienst wird unter „Gruppenrichtlinie wurde angewendet von“ angezeigt.
  • Hafen: Der Port, der für die Kommunikation mit den Authentifizierungsdiensten verwendet wird. Die gängigsten Windows-Domänenkonfigurationen verwenden Port 389 oder 636.
  • Verbindungsverschlüsselung: Die bei der Authentifizierung mit dem Authentifizierungsdienst zu verwendende Verschlüsselungsmethode.
  • Suchen Sie nach dem Kontonamen: Ein WindowsDienstkonto zum Importieren von Benutzern und Gruppen des Authentifizierungsdienstes inFME Flow. Dieses Konto benötigt Lesezugriff auf den Domänencontroller.

    • Geben Sie das Konto in einem der folgenden Formate an:

    Format

    Syntax

    Beispiel
    NT-Anmeldung DOMÄNE\Benutzername MEINE FIRMA\Benutzer1
    Benutzerprinzipalname benutzername@domain.net Benutzer1@MEINEFIRMA.INTERN
    Definierter Name CN=...,OU=...,DC=... CN=Benutzer Eins,OU=Dienstkonten,OU=Meine Firma,DC=Firma,DC=intern
    1. AusAD Explorer, stellen Sie eine Verbindung zum Active Directory her.
    2. Suchen Sie nach dem Eintrag, der das Konto darstellt, und wählen Sie ihn aus.
    3. Der Name des Dienstkontos wird unter dem Attribut „sAMAccountName“ angezeigt.
  • Suchen Sie nach dem Kontokennwort: Das Kennwort des Authentifizierungsdienstkontos.
  • Kontonamenattribut: Wenn die aktive RegisterkarteGenerisches Verzeichnis, das Verzeichnisattribut, das für die Anmeldung beim Benutzerkonto verwendet werden soll inFME Flow. Typische Attribute sindUID,mail, oderCN.
  • Gruppennamenattribut: Wenn die aktive RegisterkarteGenerisches Verzeichnis, das für den Rollennamen zu verwendende Verzeichnisattribut inFME Flow. Ein typisches Attribut istCN.
  • Benutzerklasse: Wenn die aktive RegisterkarteGenerisches Verzeichnis, DieObjektklasse Attributwert, der Verzeichnisbenutzer identifiziert. Dieser Wert muss für alle Benutzer konsistent sein, da er zur Suche nach Benutzern im Authentifizierungsdienst verwendet wird. Typische Attributwerte sindinetOrgPersonUndOrganisationsperson.
  • Gruppenunterricht: Wenn die aktive RegisterkarteGenerisches Verzeichnis, DieObjektklasse Attributwert, der Verzeichnisgruppen identifiziert. Dieser Wert muss für alle Gruppen konsistent sein, da er zur Suche nach Gruppen im Authentifizierungsdienst verwendet wird. Ein typischer Attributwert istGruppe von Namen.

Authentifizierung

  • Authentifizierungstyp: Geben Sie die Methode zur Authentifizierung mit dem Authentifizierungsdienst an:
    • Basic: SASL-Authentifizierung ist nicht aktiviert.
    • SASL: Aktivierteinfache Authentifizierung und Sicherheitsstufe (SASL).
      • SASL-Mechanismus:
        • GSSAPI: Kerberos V5-Authentifizierung
        • GSS-SPNEGO: Einfacher und geschützter GSSAPI-Aushandlungsmechanismus
        • EXTERN: Kontextimplizite Authentifizierung
        • DIGEST-MD5: MD5-Nachrichtenübersicht
  • Aktivieren Sie Single Sign-On: Wenn die aktive RegisterkarteWindows Active Directory, wenn diese Einstellung aktiviert ist, können Benutzer, die aus dieser Verbindung importiert wurden, automatisch eine Verbindung herstellen zuFME Flow mit ihren Windows-Anmeldeinformationen.
    • NotizUm Single Sign-On zu verwenden, müssen Sie auch Ihre Windows-Domäne und Webbrowserkonfigurationen aktualisieren. Weitere Informationen finden Sie unterKonfigurieren der integrierten Windows-Authentifizierung.
    • Dienstkontoname: Der Name des WindowsDienstkonto zur Konfiguration für Single Sign-On im FormatBENUTZERNAME (Geben Sie keine DOMAIN an).
      1. AusAD Explorer, stellen Sie eine Verbindung zum Active Directory her.
      2. Suchen Sie nach dem Eintrag, der das Konto darstellt, und wählen Sie ihn aus.
      3. Der Name des Dienstkontos wird unter dem Attribut „sAMAccountName“ angezeigt.
    • Kennwort des Dienstkontos: Das Kennwort des Windows-Dienstkontos.

Optionale Felder

  • Synchronisierung aktivieren: Wenn diese Option aktiviert ist, wird die Verbindung in festgelegten Intervallen mit dem Authentifizierungsdienst synchronisiert. Zu den synchronisierten Informationen gehören:
    • Beziehungen zwischen Benutzern und Gruppen. Betrachten wir beispielsweise Benutzer_1, der zur Gruppe_1 gehört inFME Flow aufgrund einer entsprechenden Beziehung im Authentifizierungsdienst. Wenn diese Beziehung anschließend im Authentifizierungsdienst unterbrochen wird, wird die Beziehung zwischen Benutzer_1 und Gruppe_1 unterbrochen inFME Flow nach dem nächsten Synchronisierungsintervall. Wenn ein Benutzer des Authentifizierungsdienstes die Gruppe ändert, wird diese Änderung ebenfalls synchronisiert inFME Flow.
    • Namensänderungen an Benutzerkonten auf dem Verzeichnisserver.
      • NotizWenn eine Synchronisierung erfolgt,FME Flow stellt sicher, dass eine Namensänderung des Authentifizierungsdienstes die Verbindung des Benutzers zuFME Flow. Jedoch,FME Flow aktualisiert den Anmeldenamen des Benutzers nicht (Benutzername) oder Anzeigename (Vollständiger Name ).
    NotizWenn „Synchronisierung aktivieren“ nicht aktiviert ist, können Sie die Verbindung nach der Erstellung trotzdem manuell synchronisieren. Weitere Informationen finden Sie unterAusführen anderer Aufgaben für Verbindungen mit Authentifizierungsdiensten (Windows Active Directory, anderes LDAP-basiertes Verzeichnis oder Azure Active Directory).
    • Synchronisierungsintervall:Geben Sie die gewünschte Synchronisierungshäufigkeit an.
  • KDC-Host: Wenn die aktive RegisterkarteWindows Active Directory UndSASL-Mechanismus IstGSSAPI, geben Sie den Hostnamen oder die IP-Adresse des Kerberos-Schlüsselverteilungszentrums (KDC) an. Wenn nicht angegeben, wird davon ausgegangen, dass sich das KDC auf demselben Server befindet wie der Active Directory-Domänencontroller.
  • Reich: Wenn die aktive RegisterkarteWindows Active Directory UndSASL-Mechanismus IstGSSAPIoderDIGEST-MD5geben Sie dieAuthentifizierungsbereich für die Kerberos V5- oder MD5-Message-Digest-Authentifizierung. Im Active Directory ist der Authentifizierungsbereich der Domänenname. Geben Sie die Version des Domänennamens in Großbuchstaben in der Form des vollqualifizierten Domänennamens (FQDN) an. Wenn der FQDN beispielsweise domain.net lautet, verwenden Sie DOMAIN.NET. Wenn nicht angegeben, wird als Authentifizierungsbereich der Domänenname des Active Directory angenommen.Domänencontroller.
    • NotizWennGastgeberist eine IP-Adresse, müssen Sie eineReich.
    1. Öffnen Sie über das Startmenü eine Eingabeaufforderung (cmd.exe).
    2. Führen Sie einen der folgenden Schritte aus:
      1. Typecho %USERDNSDOMAIN% um die Umgebungsvariable USERDNSDOMAIN anzuzeigen.
      2. Der FQDN wird gedruckt.

      3. ODER:

      1. TypNet-Config-Arbeitsstationum die Netzwerkeinstellungen für den Computer anzuzeigen.
      2. Der FQDN wird unter dem Feld „DNS-Name der Workstation-Domäne“ angezeigt.

    1. Öffnen Sie „Active Directory-Domänen und -Vertrauensstellungen“ über das Startmenü.
    2. In der Konsolenstruktur (linke Spalte) wird eine Liste der Windows-Domänen nach ihren FQDNs aufgelistet.
  • Suchbasen: Geben Sie den definierten Namen eines Abschnitts (Unterbaums) des Authentifizierungsdienstes an, auf den die Verbindung zugreifen kann. Auf nicht angegebene Abschnitte kann nicht zugegriffen werden. Wenn nicht angegeben, ist das gesamte Verzeichnis zugänglich.
    1. AusAD Explorer, stellen Sie eine Verbindung zum Active Directory her.
    2. Durchsuchen Sie das Verzeichnis, um den Speicherort aller Benutzer und Sicherheitsgruppen zu ermitteln, auf die Zugriff gewährt werden soll.FME Flow.
    3. Wählen Sie einen Eintrag aus, der als Benennungskontext verwendet werden soll.
    4. Der Distinguished Name wird unter dem Attribut „distinguishedName“ angezeigt.
  • Alternative Server: AktiviertFME Flow um über alternativeGastgeberUndHafenKombinationen. Diese Einstellung kann in den folgenden Situationen nützlich sein:
    • Auf den Authentifizierungsdienst kann von mehreren redundanten Servern aus zugegriffen werden. FME Flowverwendet diese Server, um im Rotationsverfahren auf den Authentifizierungsdienst zuzugreifen, wodurch die Last auf sie verteilt wird.
    • Wenn ein Authentifizierungsserver nicht erreichbar ist,FME Flow stellt eine Verbindung zu einem oder mehreren alternativen Servern her.

    Um einGastgeberUndHafenKombination, klicken Sie auf+. So entfernen Sie einGastgeberUndHafenKombination, klicken Sie auf-.

  • Kontonamenattribut: Wenn die aktive RegisterkarteWindows Active Directory, das Active Directory-Attribut, das für die Anmeldung beim Benutzerkonto inFME Flow. Unter Windows lassen Sie das Feld leer, um den Anmeldenamen des Kontos vor Windows 2000 zu verwenden (sAMAccountName).
  • Kontomitgliedsattribut: Wenn die aktive RegisterkarteGenerisches Verzeichnis, das Authentifizierungsdienstattribut, das die Gruppenmitgliedschaft eines Benutzerkontos enthält. Dieses Attribut ist nicht in allen Authentifizierungsdiensten vorhanden. Wenn es jedoch vorhanden ist, kann es den Verzeichniszugriff effizienter machen. Ein typisches Attribut istMitglied von.
  • Gruppennamenattribut: Wenn die aktive RegisterkarteWindows Active Directory, das Attribut, das für den Rollennamen inFME Flow. Unter Windows lassen Sie das Feld leer, um den Gruppennamen der Gruppe vor Windows 2000 zu verwenden (sAMAccountName).
  • Vollständiges Namensattribut: Das Authentifizierungsdienstattribut, das für den vollständigen Namen des Benutzerkontos verwendet werden soll inFME Flow. Wenn die aktive Registerkarte ist:
    • Windows Active Directory: Leer lassen, damit Windows es verwenden kannAnzeigename.
    • Generisches Verzeichnis: Ein typisches Attribut istAnzeigename.
  • E-Mail-Attribut: Das zu verwendende Authentifizierungsdienstattribut für die E-Mail-Adresse des Benutzerkontos inFME Flow. Wenn die aktive Registerkarte ist:
    • Windows Active Directory: Lassen Sie das Feld leer, damit Windows die E-Mail-Adresse des Kontos verwendet (mail).
    • Generisches Verzeichnis: Ein typisches Attribut istmail.

Wenn Sie Benutzerkonten von einem Azure AD-Server importieren, können sich Ihre Benutzer authentifizieren mitFME Flow unter Verwendung ihrer Azure AD-Anmeldeinformationen, wenn sie:

NotizWenn Ihre FME Flow-Architektur einen Reverse-Proxy oder Load Balancer enthält, über den HTTPS konfiguriert ist, und HTTPS auf der FME Flow-Instanz nicht konfiguriert ist, nehmen Sie die folgenden Änderungen an der Datei server.xml vor, die sich in <FMEFlowDir>\Dienstprogramme\tomcat\conf:
  • Aktualisieren Sie dieProxyPort Richtlinie zu443 (das heißt, ProxyPort="443").
  • Aktualisieren Sie dieSchemaRichtlinie zuhttps (das heißt, Schema="https").

Wenn Sie fertig sind, speichern und schließen Sie die Datei undNeustart DieFME Flow Dienstleistungen.

Erste Schritte

UmFME Flow Um mit Azure AD zu kommunizieren, müssen Sie erstellen und registrierenFME Flow als Unternehmensanwendung in Azure AD. Befolgen Sie die Anweisungen inKonfigurieren von Azure Active Directory mitFME Flow. Wenn Sie fertig sind, gehen Sie wie folgt vor:

Auf derAuthentifizierungsdienste Seite, stellen Sie sicher, dass dieAzure Active Directory ist aktiv, und klicken Sie aufNeu. Die Seite „Neuen Azure AD-Mandanten erstellen“ wird geöffnet. Füllen Sie die Felder unten aus und klicken Sie dann aufOK. Wenn Sie fertig sind, fahren Sie fort mitHinzufügen von Benutzern und Rollen aus einer Authentifizierungsdienstverbindung.

  • Name: Geben Sie einen Namen für die Verbindung ein.
  • Mandanten-ID: Die Verzeichnis-ID (Mandanten-ID), die für dasFME Flow Anmeldung.
  • Mandantentyp: Ob der Mandant für diese Verbindung einPrimäroderSekundärMieter. Sekundärkann nur angegeben werden, wennFME Flow ist in Azure AD registriert, um mehrere Mandanten zu unterstützen. Darüber hinaus müssen die beiden folgenden Bedingungen in Azure AD erfüllt sein:
    1. Dem Mieter wird Zweitmieterzugang gewährt zuFME Flow.
    2. FME Flow erhält Zugriff auf die Benutzer und Gruppen des sekundären Mandanten.

    Weitere Informationen finden Sie unterGewähren des sekundären Mandantenzugriffs aufFME Flow in Azure AD.

  • Client-ID: Die Anwendungs-ID (Client-ID), die für denFME Flow Anmeldung.
  • Clientgeheimnis: Der geheime Clientwert der registrierten App. (Die geheime ID ist nicht erforderlich.)
  • Synchronisierung aktivieren: Wenn diese Option aktiviert ist, wird die Verbindung in festgelegten Intervallen mit dem Authentifizierungsdienst synchronisiert. Zu den synchronisierten Informationen gehören:
    • Beziehungen zwischen Benutzern und Gruppen. Betrachten wir beispielsweise Benutzer_1, der zur Gruppe_1 gehört inFME Flow aufgrund einer entsprechenden Beziehung im Authentifizierungsdienst. Wenn diese Beziehung anschließend im Authentifizierungsdienst unterbrochen wird, wird die Beziehung zwischen Benutzer_1 und Gruppe_1 unterbrochen inFME Flow nach dem nächsten Synchronisierungsintervall. Wenn ein Benutzer des Authentifizierungsdienstes die Gruppe ändert, wird diese Änderung ebenfalls synchronisiert inFME Flow.
    • Namensänderungen an Benutzerkonten auf dem Verzeichnisserver.
      • NotizWenn eine Synchronisierung erfolgt,FME Flow stellt sicher, dass eine Namensänderung des Authentifizierungsdienstes die Verbindung des Benutzers zuFME Flow. Jedoch,FME Flow aktualisiert den Anmeldenamen des Benutzers nicht (Benutzername) oder Anzeigename (Vollständiger Name ).
    NotizWenn „Synchronisierung aktivieren“ nicht aktiviert ist, können Sie die Verbindung nach der Erstellung trotzdem manuell synchronisieren. Weitere Informationen finden Sie unterAusführen anderer Aufgaben für Verbindungen mit Authentifizierungsdiensten (Windows Active Directory, anderes LDAP-basiertes Verzeichnis oder Azure Active Directory).
    • Synchronisierungsintervall:Geben Sie die gewünschte Synchronisierungshäufigkeit an.

Wie geht es weiter?

Weiter zuHinzufügen von Benutzern und Rollen aus einer Authentifizierungsdienstverbindung.