Vorheriges Thema Nächstes Thema

Passwort-Synchronisierung

Mit dieser Funktion können Sie synchronisieren:

1. Passwörter über den Echtzeit-Passwortsynchronisierer.
2. Passwörter über benutzerdefinierte Skripte.

Passwort-Synchronisierer

Unter Passwort-Synchronisierer können Sie

• Die Passwortsynchronisierung mit den verknüpften Konten der Benutzer automatisieren, nachdem die durchgeführte Self-Service-Aktion (Passwortzurücksetzung oder Passwortänderung) in AD reflektiert wurde.
• Das Entsperren von Konten für die verknüpften Konten der Benutzer automatisieren, nachdem die durchgeführte Entsperraktion in AD reflektiert wurde.
• Die Passwortsynchronisierung mit den verknüpften Konten der Benutzer erzwingen. Die Benutzer können keine ihrer verknüpften Konten während der Passwortsynchronisierung abwählen.
• Den Benutzern erlauben, ihr AD-Konto von der Passwortsynchronisierung auszunehmen.

Beispiel: Angenommen, Benutzer möchten separate Passwörter für ihre Windows- und Nicht-Windows-Konten beibehalten; mit dieser Option kann der Administrator den Benutzern erlauben, AD aus der Liste der Konten, die für die Passwortsynchronisierung zur Verfügung stehen, abzuwählen. Sie können die Passwörter ihres Nicht-Windows-Kontos (Google Apps-Konten, Microsoft 365-Konten usw.) zurücksetzen, ohne ihr Windows-Passwort zu beeinflussen.

• Benutzer erlauben, die erforderlichen verknüpften Konten für die Passwortsynchronisierung auszuwählen, indem die Konten standardmäßig während der Self-Service-Aktionen (Passwortzurücksetzung, Kontosperrung aufheben und Passwortänderung) abgewählt sind.
• Aktivieren Sie das Kontrollkästchen neben Anwendungstab ausblenden, wenn die Option zur automatischen Kontoverknüpfung aktiviert ist um den Anwendungstab aus dem Self-Service-Portal des Benutzers zu entfernen, wenn der Benutzer keinen Zugriff auf eine Unternehmensanwendung für SSO hat und die Kontoverknüpfung für die Passwortsynchronisierung aktiviert ist.

Nachaktion

Unter Nachaktion können Sie:

• Die Passwörter der Benutzer mit anderen Anbietern durch Ausführen eines benutzerdefinierten Skripts synchronisieren.
• Die Sperrstatus der Konten mit anderen Anbietern durch Ausführen eines benutzerdefinierten Skripts synchronisieren.

Wichtige Sicherheitsaspekte

Die unten genannten Schritte müssen bei der Implementierung benutzerdefinierter Skripte beachtet werden:

• Die Skriptdatei muss sich im Verzeichnis [Installation_Directory]/Scriptsbefinden. Verweise auf Unterordner sind nicht erlaubt.
• Der Skriptbefehl darf nur den Dateinamen und Argumente enthalten.
• Das erste Argument muss ein Dateiname mit Erweiterung sein. Es sind nur VBScript (.vbs) und PowerShell-Skripte (.ps1) erlaubt.
• Die Verwendung von '..' ist im Skriptbefehl eingeschränkt.
• An das Skript übergebene Argumente werden in Base64 codiert, um Command-Injection-Angriffe zu verhindern.

Argumente dekodieren

Unzureichende Eingabevalidierung von Befehlszeilenbefehlen ermöglicht es einem Angreifer, beliebige Befehle auf dem Host-Betriebssystem auszuführen. Zum Schutz der Benutzer vor diesen Angriffen werden alle Argumente des Skripts in Base64 codiert. Diese Argumente sollten im Skript vor der Ausführung dekodiert werden.

Hinweis: Zur Unterstützung hierfür enthält der Skripte-Ordner zwei Dateien – sample-base64.vbs und sample-base64.ps1. Diese Dateien enthalten Beispielcode zum Dekodieren von Base64.

Base64-Dekodierung in VBScript:

Eine Hilfsdatei im Verzeichnis [Installation Directory]/Scripts/utils/Base64Decoder.vbs enthält die Funktion Base64Decode. Sie können diese Funktion in Ihren Skripten nutzen, um Base64-Werte zu dekodieren.

• Importieren Sie die Base64Decoder.vbs Datei in Ihr Skript.
• Übergeben Sie den codierten Wert an die Base64Decode-Funktion. Die Funktion dekodiert den Wert und gibt den UTF-8-String zurück.

Base64-Dekodierung in VBScript

Include("utils\Base64Decoder.vbs")
For Each arg In WScript.Arguments
	Dim decodedArg
	decodedArg = Base64Decode(arg)
	f.WriteLine("Before decoding: " + arg)
	f.WriteLine("After decoding: " + decodedArg)
Next

Base64-Dekodierung in PowerShell-Skripten:

• Übergeben Sie den codierten String an die Funktion [System.Convert]::FromBase64String. Diese gibt den dekodierten Wert als Byte-Array zurück.
• Übergeben Sie das Byte-Array an die Funktion [System.Text.Encoding]::UTF-8.GetString. Diese wandelt das Byte-Array in einen UTF-8-String um.

Base64-Dekodierung in PowerShell-Skripten

foreach ($arg in $args) {
	$decodedArg = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($arg))
	Add-Content -Path sample-base64-test.txt -Value "Before decoding: $arg"
	Add-Content -Path sample-base64-test.txt -Value "After decoding: $decodedArg"
}

Vorheriges Thema Nächstes Thema