Antes de poder sincronizar un Active Directory (AD, por sus siglas en inglés) con Genetec ClearID™, primero debe configurar Genetec ClearID™ LDAP Synchronization Agent.
Antes de comenzar
- Descargar una clave de autenticación de servicio.
- Instale el ClearID LDAP Synchronization Agent en su propio servidor dedicado. No requiere un servidor de Security Center.NOTA: El ClearID LDAP Synchronization Agent generalmente no está disponible como descarga pública. La descarga del sincronizador la proporciona su contacto de implementación cuando sea necesario.
- Número de pieza: Se requiere CD-IDSYNC-SERVICE-1Y para la importación de LDAP.
Lo que debería saber
Procedimiento
-
Abra el ClearID LDAP Synchronization Agent (Genetec.ClearID.LdapSyncAgentConfiguration.exe) y configure sus ajustes.
-
En la sección de Configuración del directorio de usuarios, introduzca los detalles de su directorio de usuarios:
La sección de Configuración del directorio de usuarios se usa para conectarse al directorio LDAP que contiene los atributos del usuario.
- Ruta de búsqueda de LDAP
- Ingrese su unidad organizativa. Por ejemplo, OU = Genetec. Esta ruta de búsqueda especifica la ubicación, carpeta raíz o grupo que contiene los atributos de usuario de Active Directory.NOTA: Se requiere el nombre distinguido del grupo AD para el campo de ruta de búsqueda LDAP.
- Intervalo de actualización (min.)
- Ingrese un intervalo de actualización en minutos. Por ejemplo, 60 para sincronizar atributos cada hora.NOTA: Según el tamaño de su organización y la cantidad de atributos, podrían ser más apropiadas sincronizaciones de 12 h. o 24 h. (720 o 1440 minutos)
-
En la sección de Configuración de conexión, configure los ajustes de conexión del host:
La sección de Configuración de conexión se usa para conectarse al servidor donde se almacena la configuración del Directorio de Usuarios.
- Anfitrión
- Ingrese la dirección de su Active Directory. Por ejemplo, Genetec.com.
- Puerto
- Ingrese el puerto predeterminado para su Active Directory. Por ejemplo, 389.
- Tipo de autenticación de LDAP
- Seleccione un tipo de autenticación entre los siguientes:
-
- Credenciales predeterminadas de Windows
- Para una aplicación del lado del cliente, esta opción usa las credenciales de Windows (nombre de usuario y contraseña) del usuario que ejecuta la aplicación.
- Enlace simple
- Con la opción de Enlace simple, las credenciales (nombre de usuario y contraseña) utilizadas para vincular el cliente LDAP al servidor LDAP se pasan por la red sin encriptar.PRECAUCIÓN:No se recomienda el tipo de autenticación de enlace simple en servidores LDAP de producción.
- Enlace simple sobre SSL
-
MEJOR PRÁCTICA: Con la opción de Enlace simple sobre SSL, las credenciales (nombre de usuario y contraseña) utilizadas para vincular el cliente LDAP al servidor LDAP se pasan por la red encriptadas.
- Nombre de usuario
- Si se seleccionó Enlace simple o Enlace simple sobre SSL, introduzca el nombre de usuario proporcionado por su organización.
- Contraseña
- Si se seleccionó Enlace simple o Enlace simple sobre SSL, haga clic en Configurar contraseña, introduzca una contraseña y luego haga clic en Aceptar.NOTA: Use las mejores prácticas de la industria para crear contraseñas seguras. Todas las contraseñas almacenadas en el archivo de configuración están encriptadas.
-
(Opcional) En la sección de Configuración de red, configure los ajustes del proxy web:
La sección de Configuración de red se usa para configurar los ajustes del proxy.
- Usar Proxy Web
- Selecciona la casilla de verificación Usar proxy web
para especificar que se requiere un servidor proxy para tener acceso a Internet.
Esta opción suele ser utilizada por clientes detrás de un firewall o donde el acceso a la red de Internet está restringido.
Un servidor proxy es un servidor que verifica y reenvía las solicitudes de clientes entrantes a otros servidores para brindar mayor comunicación. Por ejemplo, cuando un cliente no puede reunir los requisitos de autenticación de seguridad del servidor, pero se le debería permitir el acceso a algunos servicios.
- URL de proxy
- Si la opción Usar Proxy Web está habilitada, introduzca la URL del proxy suministrada por su organización.
Por ejemplo, https://proxy:8080/outgoing. Por lo general, esta información la brinda el equipo de administración de redes.
- Autenticación de Proxy
- La autenticación de proxy es el proceso de validar las credenciales de un usuario para tener acceso a un servidor proxy. En general, esta autenticación incluye un nombre de usuario y también puede incluir una contraseña.
Haga clic para seleccionar Credenciales Predeterminadas o Credenciales Específicas:
- Credenciales Predeterminadas
- Especifica que no se requiere la autenticación de proxy.
- Credenciales Específicas
- Especifica que se requiere la autenticación de proxy.
-
- Nombre de Usuario del Proxy
- Si la opción de autenticación de proxy Specific Credentials está activada, introduzca el nombre de usuario del proxy suministrado por su organización.
- Contraseña de Proxy
- Haga clic en Establecer contraseña e ingrese una contraseña, luego haga clic en Aceptar.NOTA: Use las mejores prácticas de la industria para crear contraseñas seguras.
- Dominio Proxy
- Introduzca el nombre de dominio proporcionado por su organización.
- Estado de la conexión de proxy
- Los íconos de estado indican una conexión proxy válida () o no válida (). El estado solo se muestra después de hacer clic en el botón Verificar.
- Verificar
- Haga clic en Verificar para probar que la configuración de conexión para su servidor proxy es válida.
-
En la sección de Configuración de ClearID, configure los ajustes:
La sección de Configuración de ClearID se usa para conectarse a los servicios de ClearID y sincronizar datos.
- Clave de autenticación del servicio ClearID
- Haga clic en más () para navegar y seleccionar la clave de autenticación para su integración de API. Esta clave se utiliza para autenticar las comunicaciones del agente de sincronización al realizar solicitudes a su cuenta ClearID.
- Indica que el agente de sincronización no está conectado a ClearID y se necesita una clave privada.
- Indica que el agente de sincronización está conectado a ClearID y se ha proporcionado la clave privada.
- URL de la API de Token (solo lectura)
- El servicio de Token proporciona el token de autenticación para contactar con el servicio de identidad y principal.
- URL de la API de Identidad (solo lectura)
- El servicio de Identidad se utiliza para tener acceso a toda la información de identidad de ClearID.
- URL de API principal (solo lectura)
- El servicio Principal se utiliza para dar acceso al portal web a los usuarios.
- País predeterminado (ISO 3166 3 letras)
- Ingrese su código de país de tres letras. Por ejemplo, los EE.UU o CAN.NOTA: Los códigos de país de tres letras se basan en los códigos Alpha-3 de la norma de códigos de país ISO 3166-1.
- Principal tiene acceso al portal
- Seleccione la casilla de verificación para habilitar el acceso al portal web ClearID para usuarios sincronizados.
-
(Opcional) En la sección de Configuración avanzada, deje estos campos en blanco.
La sección de Configuración avanzada se usa para personalizar el comportamiento del agente de sincronización.
- Crear identidades inactivas
- Seleccione la casilla de verificación para crear identidades ClearID inactivas para cualquier usuario inactivo encontrado en Active Directory durante la sincronización. MEJOR PRÁCTICA: Esta casilla de verificación normalmente está desactivada para evitar la creación de usuarios inactivos.
- Filtros de consulta de usuarios
- (Opcional) Ingrese filtros de consulta de usuario personalizados según lo especificado por su contacto de implementación. IMPORTANTE: Utilice esta opción únicamente cuando su contacto de implementación se lo indique.
-
Haga clic en Guardar.
SUGERENCIA: Puede eliminar este archivo si desea eliminar todos los ajustes y volver a configurar el agente de sincronización.
-
Abra el Administrador de Tareas de Windows y haga clic derecho en el servicio de Windows del LDAP Synchronizer de Genetec ClearID (Genetec.ClearID.LdapSyncAgent.Service.exe).
- Si es la primera vez que configura el agente, haga clic en Comenzar para iniciar su servicio para que sus ajustes de configuración estén activados.
- Si el agente ya se está ejecutando, haga clic en Reiniciar para reiniciar su servicio y activar los cambios de configuración.
Resultados
Después de que concluya
- Consulte el portal web de ClearID para verificar que las nuevas identidades para los usuarios de Active Directory se hayan sincronizado y contengan los atributos correctos.
- (Opcional) Puede hacer clic en Abrir la carpeta de Registro de Servicio para visualizar los archivos de registro ErrorLog.txt o Eventlog.txt. NOTA: La información que contiene la carpeta de Registro de Servicio se usa, por lo general, cuando eleva una llamada de soporte técnico, o si su contacto de implementación le aconseja enviar Registros de servicio a Genetec Inc.