Filtros de Consulta LDAP e Grupos Dinâmicos

Este artigo oferece informações sobre como usar a linguagem de consulta LDAP para filtrar usuários e criar grupos dinâmicos.

Visão geral

Cato permite que você simplifique o Gerenciamento de Usuários importando apenas os usuários relevantes do seu diretório LDAP usando a linguagem de consulta LDAP. Com o Filtro de Diretório LDAP, você pode definir consultas LDAP precisas para controlar quais Usuários são sincronizados com a Cato. Além disso, você pode usar consultas LDAP para organizar Usuários em Grupos Dinâmicos dentro do CMA. Usando atributos LDAP, você pode criar Grupos Dinâmicos como um subconjunto do seu filtro original ou de todos os seus Usuários.

Usando a página de Serviços de Diretório, você pode integrar o diretório LDAP da sua organização com a Cato e configurar importação de Usuários.

Caso de Uso - Filtros de Consulta

A Empresa ABC trabalha com funcionários em tempo integral, contratados temporários, assim como estagiários. Ao importar Usuários para o CMA, como admin, você deseja importar apenas os funcionários em tempo integral. Você cria o seguinte filtro de consulta para sua instância LDAP do Azure para importar apenas os funcionários relevantes:

(&(objectCategory=person)(objectClass=user)(employeeType=full-time))

Caso de Uso - Grupos Dinâmicos

A Empresa ABC possui representantes de vendas em todo o País, e todos pertencem ao Departamento de Vendas. Usando o atributo employeeType, você cria um subconjunto dos representantes de vendas para todos os Gerentes no Departamento de Vendas. Quando um Usuário é promovido e recebe a atribuição employeeType Gerente e o departamento é definido como Vendas, eles são automaticamente incluídos no Grupo Dinâmico.

Pré-requisitos

Antes de você configurar filtros de diretório LDAP ou grupos de Usuários dinâmicos, certifique-se de que:

  • Você tem uma integração de diretório LDAP existente configurada no CMA
  • Você é um admin Cato com permissões para modificar configurações de Serviços de Diretório

Limitações conhecidas

  • O Filtro de Diretório LDAP importa apenas Usuários. Grupos de Usuários LDAP não são importados.

  • Cada conta suporta até 10 atributos LDAP exclusivos em todos os Grupos Dinâmicos.

    Reutilizar o mesmo atributo com diferentes valores (por exemplo, memberOf=Admin, memberOf=Finance) conta como um único atributo.

  • Cada conta suporta até 50 Grupos de Usuários Dinâmicos
  • Grupos Dinâmicos não suportam associação de grupos aninhados do LDAP.

Importar Usuários usando Filtros de Consulta LDAP

Você pode optar por importar Usuários usando seleção de Grupo tradicional ou o novo filtro de consulta LDAP. Você também pode definir Grupos Dinâmicos de Usuários que agrupam automaticamente Usuários com base em atributos do seu diretório.

Nota

Nota: A linguagem de consulta LDAP não é desenvolvida nem mantida pela Cato. Você é responsável por escrever e validar consultas que atendam aos requisitos da sua organização. 

ldap-query-filter.png

Para configurar um filtro de diretório LDAP:

  1. No menu de navegação, selecione Acesso > Serviços de Diretório.
  2. Selecione uma configuração LDAP existente ou clique em Novo para criar uma.
  3. Em Filtros, no Campo de Método de Filtro, selecione Consulta LDAP.

  4. No campo Consulta, insira uma consulta LDAP usando o prefixo do diretório do seu fornecedor e atributos LDAP. A consulta deve começar com um prefixo específico do fornecedor válido.

    • Azure: (&(objectCategory=person)(objectClass=user))
    • OKTA + OpenLDAP: (&(objectClass=inetOrgPerson))
    • JumpCloud + OneLogin: (&(objectClass=person))

    Veja abaixo alguns exemplos de filtros de consulta.

  5. Clique em Salvar.

Filtros de Consulta de Exemplo

A seguir estão exemplos de vários filtros diferentes que você pode usar. Consulte a documentação do seu fornecedor LDAP para mais informações.

Buscar Usuários de um Grupo Específico (Azure)

O exemplo a seguir importa Usuários de um Grupo específico usando o atributo memberOf, e está formatado para Azure:

(&(objectCategory=person)(objectClass=user)(memberOf=CN=Developers,OU=Groups,DC=catonetworks,DC=com))

Buscar Usuários de Dois Grupos (Okta)

O exemplo a seguir importa todos os Usuários de dois Grupos, e está formatado para Okta:

(&(objectClass=inetOrgPerson)(memberOf=CN=Admins,OU=Groups,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=Groups,DC=catonetworks,DC=com))

Buscar Usuários de Qualquer um dos Dois Grupos (Jumpcloud)

O exemplo a seguir importa todos os Usuários que pertencem a qualquer um dos dois Grupos definidos, e está formatado para Jumpcloud:

(&(objectClass=person)(|(memberOf=CN=Admins,OU=Groups,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=Groups,DC=catonetworks,DC=com)))

Configurar Grupos Dinâmicos

Após importar Usuários com a seleção de grupo de Usuários ou filtro LDAP, você pode criar Grupos Dinâmicos com base em atributos LDAP.

ldap-dynamic-groups.png

Para configurar um Grupo Dinâmico:

  1. No menu de navegação, selecione Acesso > Serviços de Diretório.
  2. Selecione uma configuração LDAP existente ou clique em Novo para criar uma.

  3. Em Grupos Dinâmicos: insira um nome para o Grupo e defina a consulta.

    • Nenhum prefixo é necessário para grupos dinâmicos.
    • Se você definiu um filtro de consulta LDAP, o Grupo Dinâmico é um subconjunto desse filtro. Caso contrário, o Grupo Dinâmico é um subconjunto de todos os seus Usuários.
  4. Clique em Salvar.

Exemplos

A seguir estão exemplos para definir Grupos Dinâmicos:

  • Defina um Grupo Dinâmico usando um único atributo

    (department=Finance)
    (title=*Manager)

  • Defina um Grupo Dinâmico usando vários atributos com o operador E:

    (&(department=Sales)(title=Executive*))

  • Defina um Grupo Dinâmico usando vários atributos com o operador OU:

    (|(appRole=Admin)(appRole=Support))

Solução de Problemas em Consultas de Filtros e Grupos Dinâmicos

A seguir está uma lista de mensagens de erro possíveis e suas explicações.

  • Você pode definir um Filtro DN de Grupo ou um Filtro de Consulta LDAP

    Aparece quando você definiu tanto um Filtro de Grupo quanto um Filtro de Consulta LDAP. Você pode definir um ou nenhum, mas não pode definir ambos.

  • Filtro de Consulta LDAP é inválido. O erro é '<MENSAGEM DE ERRO DO SDK>'

    Aparece por várias razões, e a mensagem de erro individual fornecerá mais informações. Por exemplo, Incapaz de analisar string '(&amp;(objectClass=group)(cn=*)'. Esta mensagem aparece quando você está faltando um parêntese de fechamento.

    Consulte a documentação do LDAP específico do fornecedor para mais informações.

  • Filtro de Consulta LDAP está faltando filtros de objeto de Usuário obrigatórios

    Aparece se você não incluiu o atributo objectClass obrigatório.

  • Filtro de Consulta LDAP contém filtros de objetos não suportados

    Aparece se você incluiu um filtro em um atributo não suportado, por exemplo, grupos em vez de Usuários.

  • Grupos Dinâmicos exigem muitos atributos LDAP adicionais (máximo de 10 além dos atributos padrão)

    Aparece quando a soma de todos os atributos solicitados não é maior que 10 atributos adicionais (além dos que buscamos por padrão)

  • Muitos Grupos Dinâmicos (máximo de 50 permitidos)

    Aparece quando o máximo de 50 Grupos Dinâmicos na conta foi excedido

  • Nome de Grupo Dinâmico '<GROUP_NAME>' já existe

    Aparece quando o Nome do Grupo não é único.

  • Grupo Dinâmico '<GROUP_NAME>' tem sintaxe de consulta LDAP inválida

    Aparece quando a sintaxe LDAP para o Grupo Dinâmico está incorreta. Consulte a documentação do LDAP específico do fornecedor para mais informações.

  • Grupo Dinâmico '<GROUP_NAME>' contém atributos de objeto de Usuário que já são aplicados automaticamente e não devem ser incluídos na sua consulta do Grupo Dinâmico

    Aparece quando a sintaxe da consulta LDAP inclui atributos que são aplicados por padrão pela Cato.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário