Sincronizando Usuários com LDAP

Neste artigo, explicaremos e demonstraremos como configurar sua Conta Cato para trabalhar com Active Directory (integração LDAP). O recurso permitirá buscar os usuários e adicioná-los automaticamente ao Aplicativo de Gerenciamento Cato (CMA). Isso NÃO irá autenticar no servidor AD.

O atributo sAMAccountName é usado para o nome do Grupo de Usuários no Aplicativo de Gestão Cato.

A sincronização possui duas opções principais:

1. Sincronizando com um servidor AD local

2. Sincronizando com um servidor AD externo

Compreendendo as Configurações de Sincronização do Usuário

Mudanças em usuários LDAP no Controlador de Domínio podem acionar um alto número de modificações de usuários no Aplicativo de Gerenciamento Cato. Para reduzir o risco de erros, você pode optar por limitar o número de alterações feitas em cada sincronização das seguintes maneiras:

  • Impedir a remoção ou desativação de usuários: Você pode limitar o número de usuários que são removidos ou desativados.
  • Impedir a atualização da associação de grupo: Se uma sincronização LDAP alterar a associação de grupo de usuários de 1500 ou mais usuários, o Active Directory local da Microsoft pode remover os usuários do grupo. Para evitar isso, você pode personalizar o número máximo de usuários que podem alterar a associação ao grupo de usuários em uma única sincronização. Para mais informações, veja Resolução de Problemas de Serviços de Diretório e Erros de Consciência do Usuário
  • Atualizar e-mails de usuários: Você pode limitar o número de endereços de e-mail de usuários que são atualizados.

Se o limite for excedido, a próxima sincronização LDAP falhará e um evento com o Sub-Tipo Serviços de Diretório é criado.

Nota

Nota: Um único grupo contendo mais de 10.000 membros não pode ser sincronizado. 

Sincronizando um Servidor AD Local

Se a sincronização LDAP não estiver funcionando corretamente, consulte Solução de problemas de Sincronização e Provisão LDAP.

Como sincronizar um servidor AD local (servidor atrás de um Site Cato):

  1. Adicionar o Servidor AD à página de Hosts do site.

    1. No menu de navegação, selecione Rede > Sites, e selecione o site.
    2. No menu de Navegação, selecione Configurações do Site > Hosts.
    3. Clique em Novo e insira as configurações para o servidor AD.
    4. Clique em Aplicar e depois em Salvar.
    Hosts.png
  2. Adicione um novo domínio aos serviços de LDAP para a conta.
    1. No menu de navegação, clique em Acesso > Serviços de Diretório, e selecione a aba ou seção de LDAP.

    2. Clique em Novo, e configure as configurações para o domínio AD.

      New_DirectorySevice.png

      • Login DN e Base DN - A string única para o AD (autenticando para usuários buscados)
      • Senha - A senha para acessar o Active Directory DN
      • Criptografia - Selecione Usar SSL para garantir a segurança da conexão, não suportado por todos os servidores
      • Configurações de Sincronização de Usuários SDP - Selecione os limites para adicionar a uma sincronização LDAP
    3. Clique em Salvar.
  3. Adicione o servidor AD (do passo 1) como um controlador de domínio (DC) ao domínio.
    1. Na seção de navegação do painel, clique em Controladores de Domínio.

    2. No menu suspenso superior, selecione Host, e no próximo menu suspenso, selecione o host do passo 1.

      AD_host.png
    3. Clique em Salvar.

  4. Selecione os Grupos AD que você está sincronizando com sua conta do Cato.

    Nota

    Nota:

    • Se nenhum grupo for selecionado, todos os Grupos AD são importados para Consciência do Usuário.
    • Os grupos aninhados são sincronizados se você selecionar o grupo pai
    • O parâmetro User Principal Name (UPN) de AD deve ser configurado para que um usuário seja identificado pela Consciência do Usuário
    1. Na seção de navegação do painel, clique em Grupos de Usuários.

    2. Selecione os Grupos AD que você está sincronizando.

      Edit_User_Groups.png

      Nota

      Nota: As maiúsculas são importantes ao importar unidades organizacionais do Active Directory. ExampleGroup será tratado de maneira diferente de EXAMPLEGROUP.

      Se você alterar o nome das unidades organizacionais dentro do Active Directory, por favor, certifique-se de que também alterou as unidades organizacionais selecionadas dentro do Aplicativo de Gerenciamento Cato.

    3. Selecione Sincronização Diária de Grupos de Usuários SDP para habilitar a sincronização automática dos grupos e usuários cada dia.
    4. Clique em Salvar e Fechar.
  5. Na tela Serviços de Diretório, clique em Sincronizar Agora.

Após os usuários serem sincronizados, eles podem ser atribuídos uma Licença SDP.

Para Consciência do Usuário, os usuários podem ser identificados por Consulta AD ou o Agente de Identidade.

Sincronizando um Servidor AD Externo

Se você precisar sincronizar um servidor AD externo, então você pode realizar o mesmo procedimento que acima.

  • Quando o UPN e/ou endereço de email de um usuário LDAP tiver sido alterado no AD, o status do usuário LDAP afetado permanece inalterado no CMA.
  • Ao sincronizar o Azure AD, ambos os tipos de usuário Membro e Convidado são sincronizados.
  • Certifique-se de que os primeiros e últimos nomes estejam configurados para os usuários AD. Caso contrário, usuários sem um primeiro ou último nome NÃO serão sincronizados em sua conta Cato.

Sincronizando um Servidor AD Local

Se o seu Controlador de Domínio está por trás de uma conexão IPsec ou se você está roteando apenas algumas sub-redes para o Socket, certifique-se de incluir o Endereço IP da CMA na sua configuração de roteamento de túnel VPN. O tráfego de e para este IP deve ser roteado via o túnel Cato.

Para mais informações sobre o Endereço IP da CMA, consulte Resolvendo Problemas com Sincronização LDAP (você deve estar logado em sua conta na Base de Conhecimento da Cato para visualizar este artigo).

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário