Filtros de consultas LDAP y Grupos dinámicos

Este artículo proporciona información sobre cómo utilizar el lenguaje de consulta LDAP para filtrar usuarios y crear grupos dinámicos.

Visión general

Cato te permite simplificar la gestión de usuarios al importar solo los usuarios relevantes de tu directorio LDAP utilizando el lenguaje de consulta LDAP. Con el Filtro de Directorio LDAP, puedes definir consultas LDAP precisas para controlar qué usuarios se sincronizan con Cato. Además, puedes usar consultas LDAP para organizar usuarios en grupos dinámicos dentro del CMA. Usando atributos LDAP, puedes crear grupos dinámicos como un subconjunto de tu filtro original o de todos tus usuarios.

Usando la página de Servicios de Directorio, puedes integrar el directorio LDAP de tu organización con Cato y configurar la configuración de importación de usuarios.

Caso de uso - Filtros de consulta

La compañía ABC trabaja con empleados a tiempo completo y contratistas, así como pasantes. Al importar usuarios al CMA, como administrador, solo deseas importar los empleados a tiempo completo. Creas el siguiente filtro de consulta para tu instancia de LDAP Azure para importar solo los empleados relevantes:

(&(objectCategory=person)(objectClass=user)(employeeType=full-time))

Caso de uso - Grupos dinámicos

La compañía ABC tiene representantes de ventas en todo el país, y todos pertenecen al departamento de Ventas. Usando el atributo employeeType, creas un subconjunto de los representantes de ventas para todos los gerentes en el departamento de Ventas. Cuando un usuario es ascendido y se le asigna el employeeType Gerente y el departamento se establece en Ventas, se incluye automáticamente en el grupo dinámico.

Requisitos Previos

Antes de configurar filtros de directorio LDAP o grupos dinámicos de usuarios, asegúrate de que:

  • Tienes una integración de directorio LDAP existente configurada en el CMA
  • Eres un administrador de Cato con permisos para modificar la configuración de Servicios de Directorio

Limitaciones conocidas

  • El Filtro de Directorio LDAP importa solo usuarios. Los grupos de usuarios LDAP no se importan.

  • Cada cuenta admite hasta 10 atributos LDAP únicos en todos los grupos dinámicos.

    Reutilizar el mismo atributo con diferentes valores (por ejemplo, memberOf=Admin, memberOf=Finance) cuenta como un atributo.

  • Cada cuenta admite hasta 50 grupos dinámicos de usuarios
  • Los grupos dinámicos no admiten membresía de grupo anidada desde LDAP.

Importar usuarios usando filtros de consulta LDAP

Puedes elegir importar usuarios usando la selección de grupos tradicional o el nuevo filtro de consulta LDAP. También puedes definir Grupos Dinámicos de Usuarios que agrupan automáticamente a los usuarios según los atributos de tu directorio.

Nota

Nota: El lenguaje de consulta LDAP no está desarrollado ni mantenido por Cato. Eres responsable de escribir y validar consultas que cumplan con los requisitos de tu organización. 

ldap-query-filter.png

Para configurar un filtro de directorio LDAP:

  1. Desde el menú de navegación, selecciona Acceso > Servicios de Directorio.
  2. Selecciona una configuración LDAP existente o haz clic en Nuevo para crear una.
  3. Bajo Filtros, en el campo Método de Filtro, selecciona Consulta LDAP.

  4. En el campo Consulta, ingresa una consulta LDAP usando el prefijo de directorio de su proveedor y atributos LDAP. La consulta debe comenzar con un prefijo válido específico del proveedor.

    • Azure: (&(objectCategory=person)(objectClass=user))
    • OKTA + OpenLDAP: (&(objectClass=inetOrgPerson))
    • JumpCloud + OneLogin: (&(objectClass=person))

    Consulta los filtros de ejemplo a continuación.

  5. Haz clic en Guardar.

Filtros de consulta de ejemplo

Los siguientes son ejemplos de varios filtros diferentes que puedes usar. Consulta la documentación de tu proveedor LDAP para más información.

Buscar Usuarios de un Grupo Específico (Azure)

El siguiente ejemplo importa usuarios de un grupo específico usando el atributo memberOf, y está formateado para Azure:

(&(objectCategory=person)(objectClass=user)(memberOf=CN=Developers,OU=Groups,DC=catonetworks,DC=com))

Buscar Usuarios de Dos Grupos (Okta)

El siguiente ejemplo importa todos los usuarios de dos grupos, y está formateado para Okta:

(&(objectClass=inetOrgPerson)(memberOf=CN=Admins,OU=Groups,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=Groups,DC=catonetworks,DC=com))

Buscar Usuarios de Cualquiera de los Dos Grupos (Jumpcloud)

El siguiente ejemplo importa todos los usuarios que pertenecen a uno de los dos grupos definidos, y está formateado para Jumpcloud:

(&(objectClass=person)(|(memberOf=CN=Admins,OU=Groups,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=Groups,DC=catonetworks,DC=com)))

Configura Grupos Dinámicos

Después de importar usuarios con selección de grupo de usuarios o filtro LDAP, puedes crear grupos dinámicos basados en atributos LDAP.

ldap-dynamic-groups.png

Para configurar un grupo dinámico:

  1. Desde el menú de navegación, selecciona Acceso > Servicios de Directorio.
  2. Selecciona una configuración LDAP existente o haz clic en Nuevo para crear una.

  3. Bajo Grupos Dinámicos: ingresa un nombre para el grupo y define la consulta.

    • No se requiere un prefijo para grupos dinámicos.
    • Si definiste un filtro de consulta LDAP, el grupo dinámico es un subconjunto de ese filtro. De lo contrario, el grupo dinámico es un subconjunto de todos tus usuarios.
  4. Haz clic en Guardar.

Ejemplos

Los siguientes son ejemplos de definición de grupos dinámicos:

  • Define un grupo dinámico usando un único atributo

    (department=Finance)
    (title=*Manager)

  • Define un grupo dinámico usando múltiples atributos con el operador AND:

    (&(department=Sales)(title=Executive*))

  • Define un grupo dinámico usando múltiples atributos con el operador OR:

    (|(appRole=Admin)(appRole=Support))

Solucionar Problemas de Consultas de Filtros y Grupos Dinámicos

La siguiente es una lista de posibles mensajes de error y sus explicaciones.

  • Puedes definir un Filtro DN de Grupo o un Filtro de Consulta LDAP

    Aparece cuando has definido tanto un Filtro de Grupo como un Filtro de Consulta LDAP. Puedes definir uno o ninguno, pero no puedes definir ambos.

  • El Filtro de Consulta LDAP es inválido. El error es '<ERROR MESSAGE FROM SDK>'

    Aparece por varias razones, y el mensaje de error individual proporcionará más información. Por ejemplo, Unable to parse string '(&amp;(objectClass=group)(cn=*)'. Este mensaje aparece cuando falta un paréntesis de cierre.

    Consulta la documentación específica del proveedor LDAP para más información.

  • El Filtro de Consulta LDAP está perdiendo filtros de objetos de usuario requeridos

    Aparece si no incluiste el atributo requerido objectClass.

  • El Filtro de Consulta LDAP contiene filtros de objetos no admitidos

    Aparece si incluiste un filtro en un atributo no admitido, por ejemplo, grupos en lugar de usuarios.

  • Grupos Dinámicos requieren demasiados atributos LDAP adicionales (máximo 10 permitidos además de los atributos predeterminados)

    Aparece cuando la suma de todos los atributos de solicitud no es mayor de 10 atributos adicionales (además de los que buscamos por defecto)

  • Demasiados Grupos Dinámicos (máximo 50 permitidos)

    Aparece cuando se ha excedido el máximo de 50 grupos dinámicos en la cuenta

  • El nombre del Grupo Dinámico '<GROUP_NAME>' ya existe

    Aparece cuando el nombre del Grupo no es único.

  • El Grupo Dinámico '<GROUP_NAME>' tiene una sintaxis de consulta LDAP inválida

    Aparece cuando la sintaxis LDAP para el grupo dinámico es incorrecta. Consulta la documentación específica del proveedor LDAP para más información.

  • El Grupo Dinámico '<GROUP_NAME>' contiene atributos de objeto de usuario que ya se aplican automáticamente y no deben incluirse en tu consulta de grupo dinámico

    Aparece cuando la sintaxis de consulta LDAP incluye atributos que se aplican por defecto por Cato.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios