Configuración para el acceso directo al servicio de directorio

Vea cómo configurar y ejecutar el proceso de sincronización de usuarios usando el modo de comunicación directa:

1.Para incluir una nueva configuración de dominio, acceda a SE Suite, al componente SE Configuración

Autenticación (CM008). En la pantalla que se abrirá, acceda a la sección Integración de directorio

Dominios y haga clic en el botón Incluir.

2.En la sección General

Conexión de la pantalla que se abrirá, se deben configurar los datos para la conexión con el servidor LDAP.

Identificador del dominio: Informe el identificador del dominio para la conexión con el servidor LDAP.

El identificador (A) y la dirección (B) del dominio se pueden encontrar en las propiedades de la computadora - a las que se accede a través del Panel de control - como se muestra en la siguiente imagen:

sda0002

String de conexión: Informe la string de conexión con el servidor LDAP. "ldap://<hostname>:<port>", recordando que el valor estándar para el puerto de conexión con Active Directory de Microsoft es 389. Por ejemplo: ldap://contoso.local:389

▪Active Directory: Active Directory es una implementación de servicio de directorio en el protocolo LDAP que almacena información sobre objetos en red de computadoras y proporciona esa información a usuarios y administradores de esta red. Es un software de Microsoft utilizado en entornos Windows, presentes en Active directory.

▪OpenLDAP: OpenLDAP es un software libre de código abierto que implementa el protocolo LDAP. Es un servicio de directorio basado en el estándar X.500. OpenLDAP es independiente del sistema operativo. Varias distribuciones Linux incluyen el paquete de OpenLDAP. El software también está disponible en los sistemas operativos: BSD, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (2000, XP, 2003, 2008, Vista, Windows 7 y Windows 8) y z/OS.

Seguridad SSL: Marque esta opción para que se utilice el protocolo de seguridad SSL al acceder al sistema. El protocolo SSL provee la privacidad y la integridad de datos entre dos aplicaciones que se comunican por internet. Esto ocurre por intermedio de la autenticación de las partes involucradas y el cifrado de los datos transmitidos entre las partes. Además, este protocolo ayuda a prevenir que intermediarios entre los dos extremos de las comunicaciones obtengan acceso indebido o falsifiquen los datos que se están transmitiendo.

Usuario: Informe el nombre del usuario para conexión con el servidor LDAP. Por ejemplo: "Synchonization User". El nombre del usuario es usado para efectuar la conexión con el servicio de directorio en los procesos de sincronización y simulación.

Contraseña: Informe la contraseña para la autenticación del usuario cuando se conecte con el servidor LDAP.

Se recomienda la creación de un usuario específico para esta conexión en el servicio de directorio, con el debido permiso para efectuar las búsquedas usando el filtro y el directorio informados en los pasos siguientes.

3.En la sección General

Conexión NTLMv2, se deben informar los datos de la conexión NTLMv2.

Dirección del dominio: Informe la dirección del dominio para la conexión con el servidor LDAP.

Puerto NTLMv2: Este puerto se utiliza para la autenticación de los usuarios vía NTLMv2. La prueba de conexión efectúa un intento de autenticación usando las credenciales (login y contraseña) que se proporcionan a continuación. Si no hay intención de utilizar este modo de autenticación, se puede ignorar.

Login para prueba de conexión NTLMv2: Informe el login del usuario para conectarse al servidor LDAP. Por ejemplo: "user.synch@contoso.local". Este login será utilizado para probar la conexión con el servicio de directorio.

4.En la sección General

Criterios de búsqueda (usuario/grupo) deben ser informados los criterios de búsqueda para efectuar la consulta de determinada información del servidor LDAP. Para eso, llene los campos Filtro (para restringir el resultado de la búsqueda) y Directorio (desde donde serán importados los datos).

Para visualizar la estructura de directorios/usuarios contenida en el servicio de directorio, se recomienda la utilización de herramientas externas, como "Active Directory Users and Computer" o "Apache Directory Studio". Consulte la sección Ejemplos de filtros LDAP para conectarse a un servicio de directorio, para obtener más ejemplos de filtros y directorios.

En este momento, es posible validar la información ejecutando una prueba de conexión; para eso, haga clic en el botón

Para ver los posibles errores que la prueba de conexión puede mostrar, consulte la sección Errores y avisos de la prueba de conexión/configuración de dominio.

5.Una vez hecho esto, guarde las configuraciones realizadas. Enseguida, acceda a la sección General

Sincronización para realizar la configuración de la información que será sincronizada.

Para sincronizar solo los datos de usuario, no marque las opciones "Área y función", "Grupo de acceso" y "Grupo". Sin embargo, no será posible hacer el login en el sistema sin esta información.

El campo Atributo para la primera sincronización es utilizado para vincular un usuario ya existente a un dominio. Cuando sea devuelto un registro con un valor igual al del servicio de directorio, el usuario interno será vinculado automáticamente al dominio, pasando a autenticar con las credenciales mantenidas por el servicio. Se recomienda utilizar el campo "Matrícula" como atributo para la primera sincronización, por tratarse de un campo que tiene valor único para cada usuario, sin embargo, pueden ser configurados otros campos, como "Login", "E-mail" o "Nombre".

6.Enseguida, llene los campos de la sección Notificación

Frecuencia. Con eso, el administrador será notificado vía e-mail, si ocurre algún error de comunicación en el proceso de sincronización que haga que el proceso no sea ejecutado, después de exceder el tiempo de inactividad.

7.Utilice la sección Sincronización

Usuario para hacer la sincronización de usuarios:

▪Identificador en el controlador de dominio: Informe el atributo del servidor LDAP que debe ser usado como identificador del usuario, o sea, al importar los datos, el atributo seleccionado en este campo será grabado en la base como el identificador del usuario.

▪Nombre: Informe el atributo del servidor LDAP que debe ser usado como nombre del usuario, o sea, al importar los datos, el atributo seleccionado en este campo será grabado en la base como el nombre del usuario.

▪Login: Informe el atributo del servidor LDAP que debe ser usado como login del usuario, o sea, al importar los datos, el atributo seleccionado en este campo será grabado en la base como el login del usuario.

▪E-mail: Informe el atributo del servidor LDAP que debe ser usado como e-mail del usuario, o sea, al importar los datos, el atributo seleccionado en este campo será grabado en la base como el e-mail del usuario.

▪Matrícula: Informe el atributo del servidor LDAP que debe ser usado como matrícula del usuario, o sea, al importar los datos, el atributo seleccionado en este campo será grabado en la base como la matrícula del usuario.

▪Sincronizar líder: Marque esta opción para activar la sincronización del vínculo de líder de los usuarios del sistema con la información configurada en LDAP. De forma predeterminada, el sistema utiliza el campo "manager" que viene del servicio de directorio, para identificar el líder y montar la jerarquía organizativa, comparando con el campo "distinguishedName" de cada registro devuelto en la consulta (estos dos atributos pueden ser personalizados). Para que el vínculo ocurra, es necesario que tanto el usuario como su líder sean listados en la consulta hecha utilizando el filtro y directorio informados. Por lo tanto, se debe ajustar la búsqueda para cumplir con este requisito, o habilitar la opción "Ignorar errores de líder no encontrado" si desea habilitar esta función.

▪Atributo identificador del líder (opcional): Usado para tomar el identificador de un usuario líder. De forma predeterminada, el sistema usa el atributo "distinguishedName", o "entryDN" si está usando el tipo de conexión OpenLDAP.

▪Atributo de relación (opcional): Indica el identificador del líder relacionado con los usuarios. De forma predeterminada, el sistema utiliza el atributo "manager".

▪No sincronizar líderes de usuarios con referencia circular: Considere tres usuarios: A, B y C. Los usuarios A y B son líderes uno del otro y C tiene como líder B. En este ejemplo, A y B no serían importados debido a una referencia circular, y C tampoco sería ya que su líder B no pudo ser importado. Al marcar esta opción, la referencia circular sería ignorada, importando solo A y B sin líder definido, pero manteniendo B como líder del usuario C, ya que este está fuera de la referencia circular.

▪Ignorar errores de líder no encontrado: Al utilizar esta opción, si la sincronización de líder está habilitada y el líder del usuario no está incluido en la lista de usuarios para la sincronización, no ocurrirá error y el usuario será importado normalmente.

▪Parámetros iniciales: Los parámetros iniciales solo serán utilizados cuando el usuario sea creado en SE Suite. Estos parámetros serán utilizados como estándares para todos los usuarios importados del servidor LDAP. O sea, las opciones Idioma, Usuario activo, Usuario bloqueado, Recibir noticias por e-mail interno, Permitir login simultáneo y Número máximo de conexiones serán usados solo en el primer acceso de nuevos usuarios, siendo así, no interfieren en usuarios ya registrados SE Suite.

Todos los atributos que están disponibles para selección son obtenidos directamente del servicio de directorio, usando la búsqueda configurada en el filtro y directorio. Si algún atributo que era esperado no está disponible para selección, es posible que no haya sido devuelto ningún usuario con este atributo llenado. Por ejemplo, en el campo de e-mail, era esperado el atributo "mail", sin embargo, no existe este atributo para selección. En este caso, debe ser verificado en el servicio de directorio si existe algún usuario con este campo llenado, dentro del directorio informado y siguiendo las reglas definidas en el filtro.

8.En la sección Sincronización

Área y función se debe hacer la sincronización de áreas y funciones. Para eso, llene los siguientes campos:

▪Identificador del área: Informe el atributo del servidor LDAP que debe ser utilizado como identificador del área, o sea, al importar los datos, el atributo seleccionado en este campo será grabado en la base como identificador del área.

▪Nombre del área: Informe el atributo del servidor LDAP que se debe usar como nombre del área, es decir, al importar los datos, el atributo seleccionado en este campo será grabado en la base como nombre del área.

▪Área inactiva: Los parámetros iniciales solo serán utilizados cuando el área sea creada en SE Suite. Este parámetro será utilizado como estándar para todas las áreas importadas del servidor LDAP.

▪Función inactiva: Los parámetros iniciales solo serán utilizados cuando la función sea creada en SE Suite. Este parámetro es utilizado como estándar para todas las funciones importadas del servidor LDAP.

▪Identificador de la función: Informe el atributo del servidor LDAP que debe ser utilizado como identificador de la función, o sea, al importar los datos, el atributo seleccionado en este campo será grabado en la base como identificador de la función.

▪Nombre de la función: Informe el atributo del servidor LDAP que deberá ser utilizado como nombre de la función, o sea, al importar los datos, el atributo seleccionado en este campo será grabado como el nombre de la función.

▪Grupo de acceso estándar: Grupo de acceso estándar para nuevas áreas sincronizadas

Se recomienda que los identificadores del área o de la función no sobrepasen 50 caracteres, porque cuando esto ocurra, el identificador será truncado y será incrementado con un valor secuencial.

9.En la sección Sincronización

Grupo de acceso, se debe hacer la definición del atributo de los grupos del servidor LDAP que será considerado como identificador para crear el vínculo con el respectivo grupo de acceso de SE Suite. La sincronización de grupos no crea grupos de acceso en SE Suite, solo hace el vínculo de grupos ya existentes en el sistema con grupos del servicio de directorio que tengan el mismo identificador. También, hace que los usuarios miembros del grupo en el servicio de directorio sean también miembros del grupo de acceso en SE Suite.

10. En la sección Sincronización

Grupo, se debe realizar la sincronización de grupos, finalizando la configuración. Para eso, llene los siguientes campos:

▪Identificador del grupo: Seleccione el atributo del servidor LDAP que debe ser usado como identificador del grupo, o sea, al importar los datos, el atributo seleccionado en este campo será grabado en la base como identificador del grupo.

▪Nombre del grupo: Informe el atributo del servidor LDAP que debe ser usado como nombre del grupo, o sea, al importar los datos, el atributo seleccionado en este campo será grabado en la base como el nombre del grupo.

Se recomienda que el identificador de los grupos no sobrepase 50 caracteres, porque cuando esto ocurra, este será truncado y será incrementado con un valor secuencial.

12. En la pantalla Autenticación (CM008), accione el botón

para ejecutar la simulación de la sincronización, sin realizar las modificaciones en SE Suite. El sistema notificará la finalización del envío de los datos. Haga clic en la opción "Visualizar" de la notificación o en el botón

de la barra de herramientas para visualizar la simulación de la sincronización.

13.

Enseguida, se debe liberar las conexiones para sincronización. Para eso, accione el botón

de la barra de herramientas y confirme la solicitud realizada por el sistema. En este momento, el dominio estará liberado y el botón

será habilitado, permitiendo efectuar la sincronización del sistema.

14. A partir de este momento, es posible ejecutar la sincronización y hacer el seguimiento del proceso. Cada sincronización genera un registro en el historial de sincronizaciones de usuarios y grupos (si está habilitado), posibilitando ver el status actual y el número de registros procesados. Para hacer el seguimiento y acompañar la sincronización actual haga clic en el botón

15. En la sección Historial de sincronización de usuario, el sistema deja disponible para consulta, los últimos 10 registros de sincronización.

La sincronización puede tener el siguiente status: "Ejecutando", "Ejecutando con errores", "Cargando información de AD", "Cargando usuarios de SE Suite", "Comparando usuarios de SE Suite con los usuarios de AD", "Calculando los permisos de los usuarios", "Finalizado" y "Finalizada con errores".

El status "Calculando los permisos de los usuarios" indica que nuevos usuarios están siendo agregados y el sistema está creando la estructura de permisos de acceso para ellos. Esta etapa puede tardar dependiendo del número de nuevos usuarios. El progreso del procesamiento de los permisos de los usuarios puede ser acompañado en la columna "Con permiso". Los status que acusan errores se refieren a los usuarios con falta de información, formatos no válidos o información contradictoria y el motivo del error puede ser visualizado en los detalles de la importación.

Para visualizar los detalles de la importación (usuarios con error, actualizados, importados y deshabilitados), seleccione el registro deseado y haga un clic en el botón

Para ver más detalles sobre los posibles errores que el proceso de sincronización puede mostrar, y como solucionarlos, acceda a la sección Errores que pueden ser producidos en la sincronización de usuarios.

16. La sección Historial de sincronización de grupo, es similar a la sección "Historial de sincronización de usuario", que difieren de los detalles presentados. En esta sección serán presentados los grupos con errores, actualizados, importados y deshabilitados.

17. Habilitando la programación de la sincronización, el proceso será ejecutado diariamente a la medianoche de manera intermitente. La recurrencia puede ser modificada accediendo al menú Monitoreo

Programación (CM019) y buscando por el nombre "LDAPSynchronizerJob".

18. Hay una configuración en SE Suite que permite realizar la autenticación a través de SAML para los usuarios que no están vinculados a un dominio. Esa configuración es "Habilitar autenticación integrada para usuarios no sincronizados" y está ubicada en la pantalla Configuración

Autenticación (CM008), en el menú lateral izquierdo, en Integración de directorio

Opciones generales.

Esa configuración fue creada para situaciones en las que no hay una sincronización de usuarios vía LDAP o SCIM con SE Suite, pero se necesita autenticar a los usuarios registrados manualmente en SE Suite con alguna plataforma que utiliza SAML (Azure, Okta, entre otras).

En esos casos, se debe habilitar la configuración "Habilitar autenticación integrada para usuarios no sincronizados" y configurar SAML en SE Suite a través de la pantalla Configuración

Autenticación (CM008).

Cuando la configuración "Habilitar autenticación integrada para usuarios no sincronizados" no esté habilitada:

▪Los registros de usuarios no aprovisionados a través de LDAP o SCIM quedan abiertos en SE Suite para realizar el cambio manual, incluida la contraseña de acceso.

▪Los usuarios pueden efectuar la autenticación integrada vía SAML (si SAML está configurado en Configuración

Autenticación (CM008) y el usuario que se desea autenticar está registrado en la plataforma que utiliza SAML), o pueden optar por iniciar sesión con la contraseña contenida en su registro de SE Suite.

▪El login vía Autenticación Integrada autenticará con la contraseña que está registrada para el usuario en la plataforma que utiliza SAML (Azure, Okta, entre otras), y el login con usuario y contraseña (sin autenticación integrada) autenticará con la contraseña y el login del usuario registrado en SE Suite.

▪La Autenticación Integrada en la pantalla de login de SE Suite tiene prioridad, es decir, si los campos "Usuario" y "Contraseña" se ingresan en la pantalla de login de SE Suite, y se acciona el botón “Autenticación Integrada”, los valores informados en ambos campos serán ignorados.