Configuración de los servicios de directorio
Si su organización usa Microsoft Active Directory u otro proveedor de servicios de directorio compatible con el Protocolo Ligero/Simplificado de Acceso a Directorios (LDAP por sus siglas en inglés) como Apache Active Directory, OpenLDAP Server, Oracle Unified Directory, entre otros, podrá integrarlo con FlowForce Server. Si decide hacerlo, podrá disfrutar de estas ventajas:
•Los usuarios podrán iniciar sesión en FlowForce Server con su nombre de usuario y contraseña del dominio.
•El administrador tiene dos opciones: (i) permitir a los usuarios del dominio actuales iniciar sesión en FlowForce Server con sus credenciales del dominio (es decir, se importan los usuarios de forma implícita) o (ii) importar de forma explícita los usuarios y grupos del dominio en FlowForce Server (véase Importar usuarios y roles del dominio). Sea cual sea la opción elegida, las cuentas del dominio importadas se pueden ver en las páginas de administración de usuarios de FlowForce Server. Es decir, el administrador podrá añadir y revocar privilegios y permisos a cuentas de usuario o grupos del dominio como si fueran cuentas de FlowForce Server (véase ¿Cómo funcionan los privilegios? y ¿Cómo funcionan los permisos?). El administrador también podrá asignar roles de FlowForce Server a cuentas de usuario o grupos del dominio (véase Asignar roles a usuarios).
•El administrador no puede cambiar el nombre ni la contraseña de los usuarios del dominio que se importaron a FlowForce Server.
•El administrador no puede renombrar ni modificar los miembros de los grupos del dominio que se importaron a FlowForce Server.
•El administrador podrá eliminar cuentas del dominio importadas en FlowForce Server sin eliminar las cuentas del dominio Windows ni modificar sus privilegios de Windows.
•Si las cuentas del dominio importadas tienen asignados privilegios y permisos de FlowForce Server, entonces aparecerán en los informes de privilegios.
Para cambiar la configuración de los servicios de directorio:
1.Inicie sesión en la interfaz de administración web de FlowForce.
2.Vaya a Administración y después haga clic en la pestaña Opciones.
A continuación describimos las opciones disponibles.
Habilitar
Marque esta casilla para que los usuarios puedan iniciar sesión en FlowForce Server con su nombre de usuario y contraseña del dominio. Si elige marcarla debe elegir entre Active Directory o el Protocolo Ligero de Acceso a Directorios (LDAP por sus siglas en inglés), como describimos a continuación.
Si elige la opción Protocolo Ligero de Acceso a Directorios (LDAP por sus siglas en inglés) asegúrese de que los detalles de la conexión (nombre de usuario, contraseña, etc.) son correctos. Cuando hace clic en Guardar FlowForce intenta comunicarse con el servidor LDAP especificado y genera un error si los detalles de la conexión no son válidos. Tenga en cuenta que FlowForce Server debe poder conectarse correctamente al servidor LDAP para que se pueda guardar la configuración LDAP.
Si elige la opción Active Directory, el equipo en el que se ejecuta FlowForce Server debe formar parte de un dominio controlado por Active Directory.
Una vez se ha habilitado el servicio de autenticación del directorio en la página de acceso de FlowForce Server aparece otra lista desplegable llamada Acceso. La lista desplegable Acceso permite a los usuarios seleccionar la opción de autenticación que deseen y contiene estas opciones:
•Directamente. Esta es la opción de autenticación predeterminada. Para acceder los usuarios deben proporcionar su nombre de usuario y contraseña de Flowforce.
•[Un dominio concreto] en función del servidor LDAP que se haya configurado. Para acceder los usuarios deben proporcionar su nombre de usuario y contraseña del dominio, que son gestionados por el servidor LDAP.
Consulte también Iniciar sesión en FlowForce Server.
Conectarse con
Seleccione Active Directory para habilitar su integración directa. Esta opción solo funciona si FlowForce se está ejecutando en Windows y el equipo forma parte de un dominio controlado por Active Directory.
Seleccione Protocolo Ligero de Acceso a Directorios (LDAP por sus siglas en inglés) para habilitar su integración con un servicio de directorio compatible con el LDAP. Complete los detalles como sigue:
•Host: introduzca el nombre del host, el nombre del dominio o la dirección IP del servidor LDAP. Para añadir un número de puerto, introduzca dos puntos y a continuación el número de puerto. Por ejemplo: somehost:10389
•User: introduzca un nombre de usuario que tenga derechos administrativos para buscar en el servicio de directorio. El nombre de usuario puede tener el formato "Nombre-Distintivo" (por ejemplo, cn=name,dc=domain,dc=com) o "Nombre principal del usuario" (por ejemplo, user@some.domain.com). Nota: el formato "Nombre principal del usuario" sirve únicamente para Active Directory; para otros servidores LDAP, use el "Nombre-Distintivo".
•Password: la contraseña del usuario. Nota si escribe mal la contraseña varias veces, el servidor LDAP bloqueará su cuenta. En ese caso, asegúrese de que la cuenta no está bloqueada antes de proceder.
•Usar SSL: marque esta casilla solo si el servidor LDAP está configurado para que acepte conexiones cifradas con SSL de clientes. Si marca esta opción debe cambiar el número de puerto por el que usa el servidor LDAP para conexiones seguras (que suele ser el puerto 636). Si su organización ya está usando el mismo certificado raíz de confianza en ambos equipos, entonces no es necesario configurar nada más. De lo contrario debe instalar el certificado raíz (CA) del servidor LDAP en el equipo en que se esté ejecutando FlowForce Server:
a.Exporte el certificado raíz del almacén de certificados de confianza desde el equipo en el que está el servidor LDAP. Para ello use las herramientas correspondientes de su sistema operativo (por ejemplo, en Windows puede usar el complemento Certificados).
b.En el equipo en que está instalado FlowForce Server importe el certificado al almacén de certificados de confianza, como se describe en el apartado Importar el certificado raíz.
En algunos casos los servidores LDAP pueden tener esquemas arbitrarios que no encajan en un estándar concreto. Si FlowForce Server no puede detectar el esquema de su proveedor LDAP se generará un error parecido a "El servicio de directorio detectó un esquema LDAP inválido". En este caso, copie el archivo directoryservice.cfg al mismo directorio en el que esté el ejecutable de FlowForce Server. Si FlowForce Server detecta este archivo no intentará detectar automáticamente el esquema del proveedor LDAP.
Permitir a usuarios del dominio iniciar sesión
Marque esta casilla si la cuenta del dominio del usuario se debe importar en la BD del usuario de FlowForce Server la primera vez que el usuario inicie sesión en FlowForce Server con sus credenciales del dominio.
Si no marca esta casilla, los usuarios del dominio podrán iniciar sesión en FlowForce Server si su cuenta ya ha sido importada por un administrador (véase Importar usuarios y roles del dominio).
Inicio de sesión con dominio predeterminado
Esta opción es visible si se marca la casilla Habilitar y se guarda la configuración.
La lista desplegable contiene todos los dominios de los que es miembro este equipo. Si está habilitado el inicio de sesión de los servicios de directorio (véase más arriba la primera opción), los usuarios verán esta misma lista en la página de inicio de FlowForce.
Marque la casilla Establecer inicio de sesión de dominio como predeterminado si el dominio debe seleccionarse como opción predeterminada en la lista desplegable Acceso de la página de autenticación de FlowForce Server.
Si deja esta casilla sin marcar, se usará la opción de autenticación predeterminada de FlowForce Server: la opción Directamente.