Pré-requisitos de integração LDAP

Tempo de integração LDAP

As integrações LDAP geralmente são feitas antes que a instância entre em operação, mas podem feitas a qualquer momento.

Integridade de dados do servidor LDAP

Alguns usuários ficam preocupados com a possibilidade de um terceiro (a instância, nesse caso) fazer mudanças (gravação) no servidor LDAP. Em uma integração LDAP, a instância não grava no diretório LDAP interno. A instância consulta as informações e atualiza o banco de dados da forma adequada.

A instância não faz nenhuma mudança no servidor LDAP interno. A conta de serviço é somente leitura.

A maioria das mudanças, inclusive adições, do servidor LDAP ficam disponíveis para a instância em segundos, dependendo de quantos componentes da integração LDAP completa estão em vigor.

Para manter os registros LDAP sincronizados, programe uma verificação periódica do servidor LDAP para selecionar as mudanças.

A instância não sincroniza registros de departamento. Os usuários e as associações de grupo são mantidos atualizados pelo mecanismo de ouvinte LDAP e por uma navegação LDAP completa diária, mas a instância não exclui nenhuma dessas entradas depois que elas desaparecem do LDAP.

Se uma entrada fosse excluída, todo o histórico também seria excluído e todas as referências a ele seriam limpas ou excluídas. Itens de configuração (ICs), acordos de ANS, licenças de software, ordens de compra e entradas do Catálogo de serviços têm uma referência ao departamento e, se um departamento for excluído, essas referências serão limpas. Há muitas referências a usuários, portanto, a exclusão de um usuário apagaria todo o histórico do que ele fez. Atualmente, a decisão de excluir ou não é dos clientes.

Segurança

A conexão é feita de uma única máquina que usa um endereço IP fixo por uma porta específica do firewall. A autenticação é feita com uma conta LDAP somente leitura de sua escolha. Você pode usar o LDAP padrão ou carregar o lado público de um certificado SSL instalado no diretório. Nesse caso, é possível usar o LDAPS. Para adicionar outra camada de segurança, também oferecemos a opção de um túnel VPN IPSec ponto a ponto. Fale com o gerente de conta para obter detalhes e preços.

Os dados compartilhados em uma integração LDAP são outro aspecto de segurança. Para limitar os dados expostos à instância, especifique os atributos no mapa de transformação. Para obter mais informações, consulte Mapas de transformação LDAP.

Importação de dados LDAP para a instância

É recomendável que os atributos sejam definidos para importar somente os dados necessários. Os atributos definidos são mapeados para o banco de dados do usuário da instância.

Não podemos responder à pergunta sobre quais atributos específicos são necessários porque isso é determinado pelo escopo do projeto e pelos requisitos de negócio.

Tipos compatíveis de servidores LDAP

A instância foi integrada com sucesso com o Microsoft Active Directory, Novell, Domino (Lotus Notes) e Open LDAP. O JNDI foi usado para fazer a interface com o servidor LDAP. Desde que o servidor LDAP seja compatível com o LDAP versão 3, a integração será bem-sucedida.

Single Sign-on do LDAP

Junto com a funcionalidade de preenchimento de dados da importação LDAP, é possível usar a funcionalidade de autenticação externa compatível com a aplicação para evitar que os usuários precisem fazer logon todas as vezes.

Vários domínios LDAP

O método recomendado para lidar com vários domínios é criar um registro de servidor LDAP separado para cada domínio. Cada registro de servidor LDAP deve apontar para um controlador de domínio desse domínio. Isso significa que a rede local deve permitir conexões com cada controlador de domínio.

Depois de expandir para mais de um domínio de rede, é essencial identificar atributos LDAP exclusivos para os nomes de usuário da aplicação e importar valores de aglutinação. Um atributo de aglutinação exclusivo comum para o Active Directory é objectSid. Nomes de usuário exclusivos podem variar com base no design de dados LDAP. Atributos comuns são e-mail ou userPrincipalName.

Manipulação de limites de consulta

Por padrão, o Active Directory 2000/2003 tem um limite de consulta LDAP (maxPageSize) de 1000 objetos para evitar cargas excessivas e ataques de negação de serviço. Há dois métodos para manipulação desse limite.

O método padrão é dividir a consulta para retornar menos de 1000 objetos por vez. Por exemplo, consulte somente o objeto que começa com a letra "a" e, em seguida, consulte os objetos que comecem com a letra "b". O método mais eficiente para ambientes grandes é habilitar a paginação. A paginação é compatível por padrão com todos os servidores Microsoft Active Directory. Ela divide automaticamente os resultados em vários conjuntos de resultados, portanto, não é preciso dividir a consulta em várias solicitações.

Tipo de consulta LDAP

Se uma senha LDAP for fornecida, uma "vinculação simples" será executada. Se nenhuma senha LDAP for fornecida, a palavra "nenhuma" será usada e, nesse caso, o servidor LDAP deve permitir login anônimo.

Autenticação LDAP

As credenciais de conta de serviço fornecidas para LDAP são usadas para a recuperação do DN do usuário do servidor LDAP. Com base no valor de DN do usuário, nós nos vinculamos novamente com o LDAP de acordo com o DN do usuário e a senha fornecida.

Armazenamento de senhas

A senha que o usuário insere fica totalmente contida na sessão HTTPS. A senha não fica armazenada em nenhum lugar.

Configuração da autenticação LDAP

Estes campos do registro do usuário pertencem ao LDAP: