AD Sync to Zoom
Überblick
AD Sync to Zoom ist ein Befehlszeilentool, das Sie herunterladen und auf einem Windows- oder Linux-Computer in Ihrem eigenen System ausführen können. Es synchronisiert Benutzer zwischen Ihrem Active Directory-Server und Ihrem Zoom Konto. Bei Benutzeränderungen in Ihrem AD-System können Sie mit dem Tool die entsprechenden Benutzer auch in Ihrem Zoom Konto hinzufügen, aktualisieren oder deaktivieren/löschen. Wird beispielsweise die E-Mail-Adresse eines Benutzers in AD geändert, wird diese Änderung in das Zoom Konto übernommen.
Das Tool läuft im Hintergrund und hat weder eine grafische Benutzeroberfläche noch eine Weboberfläche. Die Einstellungen werden mithilfe einer Eigenschaftendatei konfiguriert. Details zu vorgenommenen Änderungen und hilfreiche Informationen für die Fehlerbehebung finden Sie dann in den Protokolldateien.
AD Sync to Zoom unterstützt ausschließlich die folgenden Attribute:
- Vorname
- Nachname
- E-Mail-Adresse
- Abteilung
Nach der ersten vollständigen Synchronisierung zwischen Ihrem AD-Server und Zoom können Sie unter Windows/Linux einen CRON-Job einrichten, der das Tool in festgelegten Intervallen startet. Alternativ können Sie das Tool auch manuell starten. Sie sparen Zeit, weil Ihr Zoom Konto nur mit den AD-Änderungen aktualisiert wird, die seit der letzten Synchronisierung vorgenommen wurden.
In diesem Artikel:
Voraussetzungen
- Zoom Konto mit folgenden aktivierten Funktionen:
-
- Active Directory-Verbunddienste (AD FS)
- AD-Administratorkonto bei Microsoft mit Benutzername und Kennwort
Anleitung
So verwenden Sie AD Sync to Zoom:
- Installieren Sie Oracle JDK 8, und führen Sie den folgenden Befehl aus, um sicherzustellen, dass Java richtig installiert wurde:
java -version
- Laden Sie die Datei zoomadsynctool.zip unter folgender URL herunter: http://cdn.zoom.us/prod/tools/zoomadsynctool.zip.
- Entpacken Sie die Datei.
- Aktualisieren Sie die Datei override.properties. Wie das geht, wird im Abschnitt Konfiguration beschrieben.
- Führen Sie den folgenden Befehl aus, um Ihre Konfiguration zu testen:
java -jar adtool-[version].jar test
Wenn der Test erfolgreich war, wird in Ihrer Konsole eine Erfolgsmeldung angezeigt. Sie können auch nachsehen, ob in der Datei syncresult.jjjj-mm-tt.log die Meldungen Zoom account setting is OK (Einstellung im Zoom Konto ist OK) und AD account setting is OK (Einstellung im AD-Konto ist OK) erfasst wurden.
Dieser Befehl nimmt keine Änderungen an Ihrem Zoom Konto vor. - Führen Sie den folgenden Befehl aus, um eine vollständige Synchronisierung zu starten:
java -jar adtool-[version].jar full
Vorsicht: Wenn Sie diesen Befehl ausführen, werden bestehende Benutzer in Ihrem Zoom Konto, die in Active Directory nicht vorhanden sind, möglicherweise gelöscht oder deaktiviert. Siehe die Konfiguration Ihres Zoom Kontos: zoom.full.delete.missing.users
- Überprüfen Sie in der Datei syncresult.jjjj-mm-tt.log, ob der Job erfolgreich ausgeführt wurde und welche Änderungen im Zoom Konto vorgenommen wurden. Wenn Fehler auftreten, finden Sie in der Datei sync.jjjj-mm-tt.log entsprechende Debugging-Informationen.
- Führen Sie den folgenden Befehl regelmäßig aus, um alle seit der letzten Ausführung des Tools vorgenommenen Änderungen zu synchronisieren:
java -jar adtool-[version].jar diff
Zoom empfiehlt, die Ausführung dieser Aufgabe mit einem Aufgabenautomatisierungstool wie dem Taskplaner oder CRON zu automatisieren.
Konfiguration
Die Datei override.properties enthält einen Satz von Parametern und Werten, die regeln, wie das Tool auf Active Directory zugreift, welches Zoom Konto verwendet wird und welches Synchronisierungsverhalten erwünscht ist. Sie müssen die Werte in den nachfolgend aufgeführten Abschnitten der Datei aktualisieren. Aktualisieren Sie nicht die Werte im unteren Teil der Datei.
Einstellungen für das Zoom Konto (Aktualisierung der Werte erforderlich)
Aktualisieren Sie die folgenden Werte im Abschnitt „ZOOM account“ (Zoom Konto) der Datei.
- zoom.vanity.url: Ihre Vanity-URL in Zoom.
- zoom.api.key: REST API-Schlüssel (verfügbar im Zoom Marketplace).
- zoom.api.secret: REST API-Geheimnis (verfügbar im Zoom Marketplace).
- zoom.default.user.type: Typ von Zoom Konto, das neuen Zoom Benutzern standardmäßig zugewiesen wird. Die Kontotypen sind 1: „Basic“, 2: „Lizenziert“ und 3: „Vor Ort“. Der Standardwert ist 2.
- zoom.default.user.deleted: Legt fest, ob Benutzer aus Zoom gelöscht oder in Zoom deaktiviert werden, wenn sie in AD nicht existieren. Der Standardwert ist deactivated (deaktiviert).
Hinweis: Wenn Sie deleted (gelöscht) festlegen, werden bestehende Zoom Benutzer, die nicht in AD existieren, aus ihren Zoom Konten gelöscht. Zoom empfiehlt, diesen Wert auf „zoom.default.user.deleted=deactivated“ festzulegen. - zoom.full.delete.missing.users: Legt fest, ob Benutzer aus Zoom gelöscht werden, wenn sie in AD nicht existieren. Legen Sie yes (ja) fest, wenn Benutzer aus Zoom gelöscht oder in Zoom deaktiviert werden sollen, wenn sie in AD nicht vorhanden sind. Legen Sie no (nein) fest, wenn Benutzer, die in AD nicht vorhanden sind, in Zoom weiter aktiv bleiben sollen. Der Standardwert ist no (nein).
Hinweis: Diese Option wird nur verwendet, wenn die anfängliche Synchronisierung mit dem Befehl full aktiviert wird. Legen Sie diesen Wert auf „zoom.full.delete.missing.users=no“ fest, wenn bestehende Zoom Benutzer nicht in AD vorhanden sind.
AD-Konto als Datenquelle (Aktualisierung der Werte erforderlich)
Aktualisieren Sie die folgenden Werte im Abschnitt „DataSource for LDAP“ (Datenquelle für LDAP) in der Datei.
- spring.ldap.urls: LDAP-URL für den Active Directory-Server.
- spring.ldap.base: Basisordner für die Suche nach Benutzern.
- spring.ldap.username: Benutzername, der vom Tool für den Zugriff auf Active Directory verwendet wird.
- spring.ldap.password: Kennwort, das vom Tool für den Zugriff auf Active Directory verwendet wird.
- spring.ldap.user.group: vollständiger DN einer Benutzergruppe. Wenn dieser Wert leer ist, werden die Benutzer aller Gruppen mit Zoom synchronisiert. Wenn Sie den DN einer Benutzergruppe angeben, werden nur die Mitglieder in der angegebenen Gruppe mit Zoom synchronisiert. Lassen Sie den Wert leer, wenn Sie die Benutzer nicht nach Gruppe filtern möchten. Der Wert ist standardmäßig leer.
- ldap.user.deleted.base: Basisordner für die Suche nach gelöschten Elementen. Der Standardwert ist „CN=Deleted Objects,DC=devdc,DC=com“. Aktualisieren Sie die DC-Werte entsprechend ihrer Umgebung.
- ldap.test.dn: Mit diesem Wert können Sie einen einzelnen DN testen. Geben Sie „CN=<Wert>“ an, mit dem kurzen DN des Testbenutzers. Der Testbenutzer muss ein als gültig bekannter Benutzer im Active Directory-System sein, da mit ihm getestet wird, ob erfolgreich auf Active Directory zugegriffen werden kann. Der Benutzer wird eingeschlossen (zusätzlich zu den in „spring.ldap.base“ angegebenen Benutzern), wenn Sie den Befehl full ausführen.
- ldap.query.pagesize: maximale Anzahl von Ergebnissen, die Active Directory gleichzeitig zurückgibt.
Attributzuordnung (Aktualisierung der Werte optional)
Aktualisieren Sie bei Bedarf die folgenden Werte im Abschnitt „Attribute settings“ (Attributeinstellungen) der Datei.
- ldap.user.guid: eindeutige UUID in AD. Der Standardwert ist „objectGUID“.
- ldap.user.dn: Name des AD-Felds für den DN. Der Standardwert ist „distinguishedName“.
- ldap.user.email: Name des AD-Felds für die E-Mail-Adresse. Der Standardwert ist „userPrincipalName“.
- ldap.user.firstname: Name des AD-Felds für den Vornamen. Der Standardwert ist „givenName“.
- ldap.user.lastname: Name des AD-Felds für den Nachnamen. Der Standardwert ist „sn“.
- ldap.user.department: Name des AD-Felds für die Abteilung. Der Standardwert ist „department“.
- ldap.user.lastupdatedtime: Name des AD-Felds für den Zeitpunkt der letzten Änderung. Der Standardwert ist „whenChanged“.
- ldap.user.lastKnownParent: Name des AD-Felds für das gelöschte übergeordnete Element. Der Standardwert ist „lastKnownParent“.
Erweiterte AD-Konfiguration (Aktualisierung der Werte optional)
Aktualisieren Sie bei Bedarf die folgenden Werte im Abschnitt „Advanced configuration for LDAP filter“ (Erweiterte Konfiguration für LDAP-Filter) der Datei.
- ldap.user.deleted.base: Filterzeichenfolge, die zum Abrufen gelöschter Benutzer aus AD verwendet wird. Der Standardwert ist „CN=Deleted Objects, DC=devdc, DC=com“.
- ldap.user.enabled.filter: Filterzeichenfolge, die zum Abrufen aktivierter Benutzer aus AD verwendet wird. Der Standardwert ist „(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))“.
- ldap.user.disabled.filter: Filterzeichenfolge, die zum Abrufen deaktivierter Benutzer aus AD verwendet wird. Der Standardwert ist „(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2)“.
- ldap.user.deleted.filter: Filterzeichenfolge, die zum Abrufen gelöschter Benutzer aus AD verwendet wird. Der Standardwert ist „(objectClass=user)(isDeleted=TRUE)“.
- ldap.user.deleted.dn.separator: Trennzeichen, das zum Bilden des kurzen DN-Namens aus einem gelöschten DN-Namen verwendet wird. Der Standardwert ist „\“.
Synchronisierungsbefehle
test
Führen Sie den folgenden Befehl aus, um zu testen, ob die Konfigurationsdatei richtig konfiguriert ist und zur Synchronisierung auf das Zoom Konto und das AD-Konto zugreifen kann.
java -jar adtool-[version].jar test
Wenn der Test erfolgreich ist, wird in der Konsole eine Erfolgsmeldung angezeigt, und in der Datei syncresult.jjjj-mm-tt.log sind die Meldungen Zoom account setting is OK (Einstellung im Zoom Konto ist OK) und AD account setting is OK (Einstellung im AD-Konto ist OK) vermerkt.
full
Führen Sie den folgenden Befehl aus, um die Benutzer in AD mit den Benutzern in Ihrem Zoom Konto abzugleichen und neue Benutzer automatisch zu Zoom hinzuzufügen. Bei entsprechender Konfiguration deaktiviert oder entfernt das Tool auch bestehende Zoom Benutzer, wenn sie in AD nicht vorhanden sind. Zusätzlich aktualisiert der Befehl den Vornamen, den Nachnamen und die Abteilung der Zoom Benutzer mit den entsprechenden Werten aus AD.
java -jar adtool-[version].jar full
Hinweis: Sie müssen den Befehl full mindestens einmal ausführen, bevor Sie den Befehl diff oder den Befehl time ausführen können.
diff
Führen Sie den folgenden Befehl aus, um aus dem Protokoll mit den Synchronisierungsergebnissen den Zeitpunkt der letzten Tool-Ausführung abzurufen und alle nach diesem Zeitpunkt in AD vorgenommenen Änderungen mit Zoom zu synchronisieren.
java -jar adtool-[version].jar diff
Dieser Befehl ist ein Standardbefehl.
time
Führen Sie einen Befehl ähnlich dem folgenden aus, um alle AD-Änderungen mit Zoom zu synchronisieren, die nach dem angegebenen Zeitpunkt vorgenommen wurden. In unserem Beispiel ist 20170427095902.0Z der Stichzeitpunkt für die Synchronisierung. Kopieren Sie die benötigte Zeichenfolge aus einer der Protokolldateien. Das Zeitformat für den Befehl lautet JJJJMMTTHHMMSS.0Z
java -jar adtool-[version].jar time 20170427095902.0Z
Sie können diesen Befehl verwenden, falls der zuvor ausgeführte Befehl „diff“ nicht richtig funktioniert hat. Den Ausführungszeitpunkt und die Ergebnisse früherer Synchronisierungsbefehle finden Sie im Protokoll mit den Synchronisierungsergebnissen.
Protokolle
In den Protokolldateien finden Sie Details zu den synchronisierten Datensätzen sowie Informationen, die Ihnen beim Debuggen von fehlgeschlagenen Synchronisierungen helfen. Pro Tag wird maximal ein Protokoll jedes Protokolltyps generiert. Wenn Sie AD Sync to Zoom an einem Tag mehrmals ausführen, werden die Informationen jeder Ausführung jeweils an die zuvor für diesen Tag generierte Datei angefügt.
Synchronisierungsergebnis
Die folgende Protokolldatei enthält einen detaillierten Synchronisierungsdatensatz: syncresult.jjjj-mm-tt.log .
- Wenn Sie den Befehl test ausführen, enthält die Datei nur Informationen dazu, ob das AD-System und das Zoom System in einwandfreiem Zustand sind (d. h.: bereit für den Befehl full). Wenn beim Zugriff auf die Daten in einem der Systeme Probleme erkannt werden, haben Sie Gelegenheit, diese vor der vollständigen Synchronisierung zu beheben.
- Wenn Sie den Befehl full ausführen, enthält die Datei Informationen zu allen AD-Benutzern im System, die zu Zoom hinzugefügt wurden, sowie Informationen zu allen Zoom-Benutzern, die nicht im AD-System gefunden wurden.
Wenn Sie den Befehl diff oder den Befehl time ausführen, enthält die Datei Informationen dazu, wie viele Benutzer seit der letzten Ausführung von AD Sync to Zoom oder seit dem angegegebenen Zeitpunkt in Ihrem AD-System geändert wurden. Das Protokoll umfasst eine Liste aller Änderungen, die in Zoom aufgrund der in AD erkannten Änderungen vorgenommen wurden.
Synchronisierungsprotokoll
Die folgende Datei enthält das Debugging-Protokoll: sync.jjjj-mm-tt.log.
Diese Datei enthält zusätzliche Debugging-Meldungen, die nicht in der Protokolldatei „syncresult“ enthalten sind. Diese Meldungen können bei der Suche nach dem Grund für eine fehlgeschlagene Synchronisierung hilfreich sein.
TLS für AD Sync Tool aktivieren
Wenn Sie LDAPS über Port 636 verwenden, um eine SSL-Verbindung zu einem Active Directory-Server herzustellen, müssen Sie das SSL-Zertifikat abrufen und installieren. Andernfalls können folgende Fehlermeldungen angezeigt werden:
„The server requires binds to turn on integrity checking if SSL\TLS are not already active on the connection...“ (Der Server efordert Bindungen, um die Integritätsprüfung zu aktivieren, wenn SSL/TLS noch nicht für die Verbindung aktiv sind …)
oder
„sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target.“ (sun.security.provider.certpath.SunCertPathBuilderException: Kein gültiger Zertifizierungspfad zum angeforderten Ziel gefunden.)
SSL-Zertifikat abrufen und installieren
So importieren Sie das SSL-Zertifikat und verbinden AD Sync Tool über TLS:
- Öffnen Sie Windows Management Server Manager.
- Öffnen Sie unter Tools (Tools) die Option Certification Authority (Zertifizierungsstelle).
- Klicken Sie unter Issued Certifications (Ausgestellte Zertifizierungen) mit der rechten Maustaste auf das gewünschte Zertifikat.
- Klicken Sie auf Properties (Eigenschaften).
- Klicken Sie auf die Registerkarte Details (Details).
- Klicken Sie auf Copy to File (In Datei kopieren), und wählen Sie für den Export die Option Base-64 encoded x.509 (.cer) (Base-64-codiert X.509 (.CER)) aus.
- Klicken Sie auf Next (Weiter), um das Zertifikat zu exportieren.
- Kopieren Sie die exportierte Zertifizierung auf Ihr lokales Speichergerät (z. B. in das Verzeichnis „D:\ca.cert“).
- Öffnen Sie die Befehlszeile, und führen Sie den folgenden Befehl zum Verzeichniswechsel aus, um auf den Speicherort mit der BIN-Datei für Java JDK zuzugreifen:
cd C:\Program Files\Java\Jdk1.8.0_201\bin
Hinweis: Dieser Ordner befindet sich möglicherweise nicht unter exakt dem oben angegebenen Pfad. Wenn der tatsächliche Ordnerpfad ein anderer ist, müssen Sie den Befehl entsprechend anpassen. - Führen Sie den folgenden Befehl aus, um das Zertifikat an den neuen Speicherort zu kopieren:
keytool.exe -importcert -keystore ..\jre\lib\security\cacerts -storepass changeit -file D:\ca.cer -alias myca
Hinweis: Die Befehlsstruktur basiert auf Folgendem:-
-keystore: Speicherort der neuen Zertifzierung (Dieser Wert muss nicht geändert werden.)
-
-storepass: Kennwort für die Zertifizierung
-
-file: gerade exportierter Zertifizierungsspeicherort
-
-alias: Alias der neuen Zertifizierung
- Sobald der Vorgang abgeschlossen ist, wird das Zertifikat importiert und installiert.