對象
使用 HENNGE Directory Sync Tool 同步工具講 Active Directory 上的使用者同步到 HENNGE Access Control 。
目的
執行 HENNGE Directory Sync Tool 所需要的安裝步驟。
注意事項
1. 請在執行安裝步驟之前,確認您的伺服器 Server 已經滿足了以下的條件。請參考下方文章中的 "HENNGE Directory Sync Tool" 部分:
2. 如果以下的問題發生的話,可能是和您電腦上的憑證不正確有關,可以參考以下的文章。
<urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)>
Installation Manual of Root Certificate for HDE One Directory Sync Tool
3. Active Directory 上的使用者和 HENNGE Access Control 上的使用者一定為 1:1 的關聯。
※您無法把 Active Directory 上多個使用者對應到 HENNGE Access Control 上的一位使用者。
4.HENNGE Directory Sync Tool 將參考網際網路選項的proxy設定。
請使用服務啟動帳戶登錄到伺服器並進行proxy設定。
proxy設定參考文章:如果有在使用 Proxy (代理伺服器) 或是防火牆的客戶的 FQDN 白名單
5.進行此項目會需要使用 HENNGE Access Control 的管理員帳戶
6.本文章為根據 2021 年 11 月的產品撰寫而成,將有可能不經通知進行修改。
詳細步驟/說明
1. 同步測試
1.1. 以管理員的身份執行 PowerShell。
1.2.在 PowerShell 中輸入以下的指令來執行 HENNGE Directory Sync Tool 。
> cd "C:\Program Files\HDE One Directory Sync"
> .\console.exe /n
※ 加入[ /n ] 為測試,不會實際執行。
※ 去除 [ /n ] 執行時,同步會正式執行。
輸出結果:
##### Sync set [sync01] #####
Active Directory ---> HDE Access Control
Add: Administrator / iGcrgi8tjUy1NfaLulJ/5Q==
Add: Guest / qWEUYHX3DUOxPrZv6C271Q==
Add: test01 / test01@addc1.example.com / WEt4r/aDlE3wtGz0UbVoqQ==
Delete: aaa / aab@addc1.example.com / hfJV7x6cakym2AIWkThdA==
如果沒有任何同步對象存在,便會看到以下的結果。
##### Sync set [sync01] #####
Active Directory ---> HDE Access Control
* No sync data *
2. 手動同步
如果您在測試同步完成之後,想正式執行同步的話,可以移除 [ /n ] 。並實際執行 [ console.exe ]。
> cd "C:\Program Files\HDE One Directory Sync"
> .\console.exe
3. 定期同步
如果您在手動測試完同步後覺得沒有問題,可以執行 [ HDE One Directory Sync ] 和 [ HDE One Password Sync ] 來做實際的同步操作。
請在您的 AD 裝置上安裝 HENNGE Directory Sync Tool 並確認啟用以下服務。
・HDE One Directory Sync
・HDE One Password Sync
3.1. 啟動 [ 服務 ] 。
3.2. 開啟以上兩個服務,並設定。
[ 一般 ] → [ 啟動種類 ] : 自動。
[ 登入 ] → [ 帳號 ] : 請設定為和 config.ini 檔案裡同一個使用者帳號。
HENNGE Directory Sync Tool 中 config.ini 檔案的初始設定 步驟 2.2.
3.3. 儲存您的設定,服務即會開始。
4. 確認同步記錄
在 HENNGE Access Control 管理介面 → [ 系統 ] → [ 同步記錄 ] 來進行確認。
[ Active Directory > HDE Access Control ] 為同步記錄。
4. 確認定期同步紀錄
4.1. 登入 HENNGE Access Control 管理介面
進入 HENNGE Access Control 管理員介面的方法
4.2. 點擊介面左側選單中的「同步紀錄」
4.3. 在介面頂端的搜人選單設定日期,並點擊放大鏡圖示。
4.4. 確認同步紀錄顯示為搜尋結果。
確認同步記錄內容是否顯示為如上所示的搜索結果。
如果同步記錄未顯示在搜索結果中,則可能是運行 HENNGE 同步工具的客戶端存在問題。
若發生此情形,請聯繫 HENNGEOne 技術支援團隊。
4.5. 檢查顯示的同步紀錄搜索結果中是否存在錯誤。
如果同步紀錄搜索出現 [ 失敗 ] (列中顯示紅色 X 標記),則為同步由於某種原因失敗。
若發生此情形,請聯繫 HENNGE One 技術支援團隊。
同步紀錄搜索結果顯示的兩種類型。
1. 從 Windows Active Directory 同步使用者帳號到 HENNGE Access Control。
2. 從 Windows Active Directory 同步使用者密碼到 HENNGE Access Control。
由於在搜索結果顯示中沒有區分,因此需要點擊每個紀錄展開詳細資訊。
範例 1:使用者同步成功的情形
預設的情形下,同步作業 2 小時執行一次。
在 Windows Active Directory 對使用者帳戶的屬性(例如使用者名稱、UPN等)所做的更改將在下一次同步時反應至 HENNGE Access Control 中。
請注意,即使在 Windows Active Directory 中的所有使用者帳戶都沒有發生更改,這些同步記錄仍會顯示在搜尋結果中。
展開這些記錄並顯示 "[ HDE One Directory Sync <版本資訊> ]" 的狀態,即為使用者同步的記錄。
請確認這些同步記錄定期執行且沒有錯誤存在。
範例2:密碼同步成功的情況
預設的情形下,密碼同步作業會定期每3分鐘執行一次。
在 Windows Active Directory 對使用者帳戶的密碼所做的更改將在下一次同步時反應至 HENNGE Access Control 中。
請注意,若在 Windows Active Directory 上沒有任何使用者進行密碼的更改,則不會出現同步記錄
(只有在 Windows Active Directory 上有使用者的密碼更改的情況,下一次密碼同步時才會出現在同步記錄中。)
展開這些記錄並顯示"[Start password syncing]" 的狀態,即為密碼同步的記錄。
請確認這些同步記錄定期執行且沒有錯誤存在。