Definição de unidades organizacionais LDAP

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Uma definição de unidade organizacional (OU) especifica os diretórios de origem LDAP disponíveis para a integração.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    As definições da OU podem conter locais, pessoas ou grupos de usuários. Cada definição de servidor LDAP contém duas definições de OU de amostra: uma para importar grupos para o sistema e outra para usuários.

    Procedimento

    1. Navegar até Tudo > LDAP do Sistema > Servidores LDAP.
    2. Selecione o servidor LDAP a ser configurado.
    3. Na lista relacionada Definições de OU LDAP, selecione a definição da OU de exemplo de Grupos ou Usuários.
    4. Preencha o formulário de definição de OU do LDAP (consulte a tabela).
    5. Clique em Atualizar.
      O sistema testa a conexão com o servidor LDAP automaticamente.
    6. Em Links relacionados, clique em Procurar para exibir os registros do diretório LDAP retornados pela definição da OU.
      Formulário de definição de OU do LDAP
      Tabela 1. Formulário de definição do OU
      Campo Descrição
      Nome Especifique o nome que a integração usa quando referencia este OU. O nome inserido aqui se torna um destino LDAP no registro da fonte de dados.
      RDN Especifique o nome distinto relativo do subdiretório que você deseja pesquisar. Este RDN é combinado com o diretório de início de pesquisa da definição do servidor LDAP para identificar o subdiretório que contém informações para esta unidade organizacional. Por exemplo, a definição de OU de exemplo usa o valor de RDN de CN=Users para pesquisar o diretório LDAP CN=Users,DC=service-now,DC=com e qualquer diretório abaixo deste ponto. Este campo deve corresponder a um subdiretório no seu sistema LDAP.
      Campo de consulta Especifique o nome do atributo no servidor LDAP para consultar os registros. O campo de consulta deve ser exclusivo tanto em instâncias de domínio único como de vários domínios. Para obter melhores resultados, use endereços de e-mail ou outras credenciais que identifiquem exclusivamente o usuário em uma instância de vários domínios. O Active Directory usa o atributo sAMAccountName. Outros servidores LDAP tendem a usar o atributo cn.
      Nota:
      O campo de Consulta deve ser mapeado para o campo ID do usuário na tabela Usuário [sys_user]. Por exemplo, se um usuário do Active Directory fizer login como joe.example, deverá haver um registro de usuário com um valor de ID de usuário de joe.example e um registro LDAP com um valor sAMAccountName de joe.example.
      Ativo Marque esta caixa de seleção para ativar a definição da OU e permitir que os administradores testem a importação de dados. No entanto, a integração só pode trazer dados para o sistema de definições de OU ativas.
      Tabela Especifique a tabela que recebe os dados mapeados do servidor LDAP. Para usuários, selecione Usuário (sys_user)e, para grupos, selecione Grupo (sys_group).
      Filtro Insira uma cadeia de caracteres de filtro LDAP para selecionar registros específicos para importar da OU. Quanto mais específica for a consulta do filtro LDAP, mais eficiente será a consulta.

      Por exemplo, a definição de OU do LDAP de usuários usa o seguinte filtro para selecionar registros que são classificados como uma pessoa, têm um valor de atributo sn, não são computadores e não estão sinalizados como inativos:

      (&(objectClass=person)(sn=*)(!(objectClass=computer)) (!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Você pode encontrar uma descrição da sintaxe do filtro LDAP pesquisando a RFC de filtros LDAPna Internet.

    Exemplos de definições de unidades organizacionais

    Suponha que você tenha um servidor LDAP com a seguinte estrutura de diretórios:

    dc=my-domain,dc=com

    • ou=Grupos
      • cn=Desenvolvimento
      • cn=RH
      • cn=Vendas
    • ou=Usuários
      • ou=Desenvolvimento
      • ou=RH
      • ou=Vendas

    Suponha ainda que você queira excluir o grupo de RH e os usuários de RH da aplicação. Faça o seguinte:

    1. Crie um registro de servidor LDAP com um diretório de pesquisa inicial de dc=my-domain,dc=com.
    2. Crie um registro de definição de OU para ou=Grupos com um filtro para excluir cn=RH.
    3. Crie um registro de definição de OU para ou=Usuários com um filtro para excluir ou=RH.

    Se atributos ou filtros adicionais com uma definição de OU não forem especificados, a consulta LDAP retornará a subárvore completa do diretório inicial e do RDN.

    Nesses exemplos, uma definição de OU com o valor de RDN de ou=Grupos e nenhum filtro retornaria todos os grupos. Da mesma forma, uma definição de OU com o valor de RDN de ou=Usuários e nenhum filtro retornaria todos os usuários e unidades organizacionais secundárias.