Hablando de Active Directory...
Identity es compatible con el enlace de Active Directory para importar cuentas y autenticarlas a través de credenciales de AD.
La sincronización de usuarios entre la empresa de Identity y Active Directory se realiza a través de una aplicación llamada SmartSync. Los procedimientos de instalación y configuración están disponibles en la documentación de SmartSync.
Los usuarios y grupos importados desde la integración con Active Directory debe aceptarse para que se le permita el acceso a la empresa en Identity.
Ver todos los directorios
01. Haga clic en el ícono Configuración en la esquina superior derecha.
02. Seleccione la opción Active Directory.
Así se mostrarán los directorios existentes.
La columna Estado muestra si el directorio está Activo o Inactivo.
La columna SmartSync muestra el estado de sincronización con SmartSync, de la siguiente manera:
- No configurado: indica que la configuración del directorio en SmartSync aún no está completa.
- Configurado: indica que Identity se está conectando correctamente con SmartSync.
- No disponible: indica que la configuración de Identity con SmartSync está completa, sin embargo el servidor SmartSync no se está sincronizando en ese momento.
Agregar directorio local
01. Haga clic en el ícono Configuración en la esquina superior derecha y seleccione la opción Active Directory.
02. Active Agregar y seleccione la opción Active Directory local.
03. En Información, complete la información relacionada con el directorio que se creará.
Nombre
Nombre para identificar el directorio.
¿Migrar desde SmartSync?
- Sí: Al activar esta opción, se realizará la migración de todos los usuarios y grupos del directorio indicado en el campo Active Directory una vez que la configuración de SmartSync esté completa.
- No: Al mantener la opción desactivada, el nuevo Active Directory se creará sin importar usuarios y grupos del antiguo SmartSync.
¿Desea activar la aceptación automática de usuarios?
- Sí: Al activar esta opción, todos los usuarios importados desde este Active Directory por SmartSync serán automáticamente aceptados y aprovisionados en este contexto de Identity.
- No: Al mantener la opción desactivada, todos los usuarios importados desde este Active Directory por SmartSync se incluirán en la lista de Pendientes hasta que se acepten de forma manual.
NOTA:
Si está agregando el primer AD, se presentarán algunos campos de configuración general. Para conocer más detalles sobre cada opción, consulte el ítem Cambiar la configuración general de esta documentación.
Filtro de usuarios
Utilice las variables de Active Directory para filtrar los usuarios que se sincronizarán. Si el valor se ha cambiado incorrectamente, haga clic en el botón Restablecer predeterminado para volver a los valores originales.
Filtro de grupos
Utilice las variables de Active Directory para filtrar los grupos que se sincronizarán. Si el valor se ha cambiado incorrectamente, haga clic en el botón Restablecer predeterminado para volver a los valores originales.
NOTA:
Los campos correspondientes al Filtro de usuarios y al Filtro de grupos se deben completar en el formato LDAP. Cuando se define un filtro para usuarios y/o grupos, SmartSync reconocerá este parámetro y realizará la importación de los usuarios y grupos a Identity, de acuerdo con el filtro informado en estos campos.
Los campos de filtro se completan con un valor predeterminado, donde no se pasa ninguna condición de importación, lo que permite importar todos los usuarios y grupos.
Valor pedeterminado:
- Filtro usuarios: (&(objectClass=user)(objectCategory=person))
- Filtro grupos: (objectCategory=group)
Para conocer más detalles sobre la creación de filtros, lea la documentación Filtros de importación de usuarios LDAP.
04. Haga clic en Agregar.
Se muestra un mensaje de confirmación y el directorio creado aparece en la lista de directorios. En la columna SmartSync, se muestra el estado No configurado, indicando que se debe realizar la configuración de la aplicación que se sincroniza con el servidor de Active Directory. Para instalar la aplicación, descargue el instalador de SmartSync como se muestra a continuación.
Descargue el instalador de SmartSync
Esta opción solo es necesaria para configurar Active Directory local.
01. Haga clic en el ícono Configuración en la esquina superior derecha y seleccione la opción Active Directory.
02. En la sección Administrar directorios, haga clic en el botónDescargar SmartSync y guarde el archivo con la extensión .msi.
Las versiones de Windows compatibles con SmartSync se pueden consultar en la Matriz de portabilidad de TOTVS Identity. Para saber más sobre la instalación, acceda a la documentación técnica de SmartSync.
Copiar token del directorio
Esta acción solo está permitida para directorios que aún no se han configurado en SmartSync.
01. Haga clic en el ícono Configuración en la esquina superior derecha y seleccione la opción Active Directory.
02. Ubique el directorio deseado y haga clic en el botón Generar token, disponible en la columna Token.
El token generado se muestra en la columna Token del directorio correspondiente. Para poder copiarlo, haga clic en el token generado.
Este token se debe proporcionar al momento de incluir Active Directory en SmartSync. Para conocer más detalles, consulte Agregar Active Directory en la documentación de SmartSync.
NOTA:
One time token fue desarrollado para que el usuario de SmartSync pueda tener más seguridad en relación a sus credenciales. La configuración en Active Directory a través del uso del token se hará una sola vez para realizar la sincronización entre la empresa de Identity y Active Directory, es decir, si se genera un nuevo token, se invalidará el antiguo, y así se aumentará la seguridad de las credenciales del usuario.
Al generar el token, también se transmitirá la clave de cifrado, que SmartSync utilizará para leer la información en el momento en que el usuario inicie sesión en Identity.
Agregar directorio de Azure
¡IMPORTANTE!
Cuando se realiza esta configuración, está sujeta a cargos por parte del proveedor. Conozca más en: Detalles de precios.
01. Haga clic en el ícono Configuración en la esquina superior derecha y seleccione la opción Nuevas cuentas, y luego cambie a la pestaña Active Directory (que se encuentra justo al lado).
02. Active Agregar y seleccione la opción Azure Active Directory.
03. En Name, complete el nombre del directorio.
04. Haga clic en Siguiente.
05. En la siguiente etapa, copie el valor del campo URL de Inicio de sesión. Vea la imagen
06. Abra una nueva guía para ejecutar la configuración en Microsoft Azure.
NOTA:
Las pantallas anteriores pueden presentar diferencias con relación a lo que se muestra, debido a las actualizaciones de Microsoft Azure.
1. Inicie sesión con una cuenta de administrador en el portal de Microsoft Azure.
2. Abra el menú (tres rayas en la esquina superior izquierda) y haga clic en el servicio Active Directory de Azure. Vea la imagen
3. En las opciones del lado izquierdo, haga clic en Aplicaciones empresariales. Vea la imagen
4. Haga clic en + Nueva Aplicación. Vea la imagen
5.Elija la opción Aplicación inexistente en la galería. Vea la imagen
6. Elija un nombre y cree la aplicación.
7. Seleccione Configurar inicio de sesión único (obligatorio). Vea la imagen
8. Seleccione SAML.
9. En la sección Configuración básica de SAMLhaga clic en el ícono del lápiz para editar. Vea la imagen
10. En el campo Identificador (ID de entidad) escriba exactamente TotvsLabs. Vea la imagen
11. En el campo URL de respuesta (URL del servicio al consumidor de declaración) ingrese el valor copiado que se había copiado en Identity. Vea la imagen
¡SUGERENCIA!
Es la dirección https://[EMPRESA].fluigidentity.com/cloudpass/SAML/acs reemplazando el texto“[EMPRESA]” por el subdominio de su empresa de Identity.
12. En la sección Certificado de autenticación SAML , descargue el archivo XML de metadatos de federación y guarde el archivo. Vea la imagen
13. En el menú del lado izquierdo, acceda a Usuarios y Grupos y asigne esta aplicación a los usuarios/grupos que desee. Vea la imagen
07. Después de finalizar la configuración del paso en Azure, vuelva a Identity, en la configuración de Azure Active Directory haga clic en Siguiente. Vea la imagen
08. Arrastre el archivo XML de metadatos de federación, descargado en Microsoft Azure anteriormente, al espacio indicado y active Enviar. Vea la imagen
09. Complete el campo Identificador Azure AD con el ID del certificado enviado y haga clic en Siguiente.
Con ello, Identity está listo para recibir solicitudes de inicio de sesión de SSO provenientes de la aplicación SAML de Microsoft Azure creada anteriormente.
10. Acceda a Microsoft Azure, como se detalla a continuación.
Inicie sesión con cualquiera de los usuarios agregados a la aplicación SAML y acceda a la página de aplicación del usuario. La aplicación creada anteriormente aparecerá en la lista de aplicaciones, que está configurada para iniciar sesión en SSO en Identity. Vea la imagen
Haga clic en la aplicación creada anteriormente e iniciará sesión en Identity. En el primer inicio de sesión, este usuario de Microsoft Azure se creará en Identity.
¡IMPORTANTE!
Este usuario se creará en TOTVS Identity en base a la información del usuario que ya existe en Microsoft Azure. A partir de ese momento, se podrá iniciar sesión en la empresa de Identity utilizando este usuario de Microsoft Azure (ingresando a Microsoft Azure y haciendo clic en la aplicación TOTVS Identity configurada). Este inicio de sesión desde Microsoft Azure a Identity no implica la autenticación con Active Directory local a través de SmartSync. El inicio de sesión implica solo Microsoft Azure e Identity.
Editar directorio
01. Haga clic en el ícono Configuración en la esquina superior derecha y seleccione la opción Active Directory.
02.Ubique el directorio que se va a cambiar.
03. Active Editar ubicado a la derecha de la columna Token.
04. Ajuste la información deseada de acuerdo al tipo de AD.
AD LOCAL
Nombre
Nombre del directorio.
¿Desea activar la aceptación automática de usuarios?
Sí: Al activar esta opción, todos los usuarios importados desde este Active Directory por SmartSync serán automáticamente aceptados y aprovisionados en este contexto de Identity.
No: Al mantener la opción desactivada, todos los usuarios importados desde este Active Directory por SmartSync se incluirán en la lista de Pendientes hasta que la administración de la empresa los acepte manualmente para el contexto.
Filtro de usuarios
Utilice las variables de Active Directory para filtrar los usuarios que se sincronizarán. Si el valor se ha cambiado incorrectamente, haga clic en el botón Restablecer predeterminado para volver a los valores originales.
Filtro de grupos
Utilice las variables de Active Directory para filtrar los grupos que se sincronizarán. Si el valor se ha cambiado incorrectamente, haga clic en el botón Restablecer predeterminado para volver a los valores originales.
NOTA:
Los campos correspondientes al Filtro de usuarios y al Filtro de grupos se deben completar en el formato LDAP. Cuando se define un filtro para usuarios y/o grupos, SmartSync reconocerá este parámetro y realizará la importación de los usuarios y grupos a Identity, de acuerdo con el filtro informado en estos campos.
Los campos de filtro se completan con un valor predeterminado, donde no se pasa ninguna condición de importación, lo que permite importar todos los usuarios y grupos.
Valor pedeterminado:
- Filtro usuarios: (&(objectClass=user)(objectCategory=person))
- Filtro grupos: (objectCategory=group)
Para conocer más detalles sobre la creación de filtros, lea la documentación Filtros de importación de usuarios LDAP.
AD AZURE
Nombre
Nombre del directorio.
Identificador Azure AD
ID del certificado de autenticación SAML enviado.
05. Haga clic en Guardar.
Cambiar la configuración general
Esta configuración es válida para todos los AD registrados.
01. Haga clic en el ícono Configuración en la esquina superior derecha y seleccione la opción Active Directory.
02. En la sección Configuración general, haga clic en Configurar parámetros generales para abrir la configuración.
03. En la sección Opciones de cuenta, configure los parámetros necesarios.
Las configuraciones disponibles son:
Permitir credenciales de Active Directory
Defina si los usuarios podrán acceder a la empresa en TOTVS Identity usando las credenciales de Active Directory (correo electrónico y contraseña de red).
Guardar credenciales de Active Directory en TOTVS Identity
Al marcar esta opción, las aplicaciones de tipo Plugin se pueden configurar para acceder utilizando las credenciales de Active Directory.
04. En la sección Opciones de sincronización, configure los parámetros necesarios.
Las configuraciones disponibles son:
Sincronizar cambios de estado de usuario desde Active Directory
Al marcar esta opción, los usuarios desactivados en Active Directory también serán automáticamente desactivados de la empresa en Identity. La sincronización de estados se realiza mediante SmartSync.
Sincronizar cambios de estado de usuario desde TOTVS Identity
Al marcar esta opción, los cambios de estado del usuario en Identity se deben sincronizar con Active Directory, con esto, los usuarios desactivados en Identity también se desactivarán automáticamente en Active Directory.
¡IMPORTANTE!
Si hay AD sin configurar en el contexto, las opciones Sincronizar cambios de estado de usuario desde Active Directory y Sincronizar cambios de estado de usuario desde TOTVS Identity quedan desactivadas y no se pueden marcar.
05. En la sección Opciones de contraseña, configure los parámetros necesarios.
Permitir cambio de contraseña
Cuando esta opción está activa, es posible cambiar la contraseña de Active Directory en la página Mi perfil del usuario.
Guarde el caché de contraseñas de Active Directory
Cuando esta opción está activa, se guardará un hash(que no se puede descifrar) de las contraseñas de los usuarios de TOTVS Identity, lo que ofrece una autenticación más rápida.
Deshabilitar directorio
Esta opción solo está disponible para Active Directory local.
01. Haga clic en el ícono Configuración en la esquina superior derecha y seleccione la opción Active Directory.
02.En el directorio que desee, haga clic en Más opciones – ubicado en el lado derecho.
03. Haga clic en Deshabilitar.
04. Como forma de confirmación, antes de deshabilitar el directorio, Identity solicita la confirmación de la contraseña personal. Ingrese su contraseña personal y active Deshabilitar.
Con la deshabilitación, la sincronización de usuarios se detiene y los usuarios importados no pueden utilizar sus credenciales de Active Directory para autenticarse en Identity.
Los directorios inactivos se identifican por el estado Inactivo. Es posible reactivar directorios inactivos en cualquier momento.
Eliminar directorio
Se recomienda desactivar el parámetro Sincronizar cambios de estado de usuario desde Active Directory que se encuentra en la configuración general, antes de realizar la eliminación de AD.
01. Haga clic en el ícono Configuración en la esquina superior derecha y seleccione la opción Active Directory.
02. En el directorio que desee, haga clic en Más opciones – ubicado en el lado derecho.
03. Haga clic en Eliminar.
04. Como forma de confirmación, antes de eliminar el directorio, Identity solicita la confirmación de la contraseña personal. Ingrese su contraseña personal y active Eliminar.
Con la eliminación, la sincronización de los usuarios se detiene de forma permanente y los usuarios importados no pueden utilizar sus credenciales de Active Directory para autenticarse en TOTVS Identity.
¡IMPORTANTE!
Después de eliminar Active Directory, asegúrese de activar el inicio de sesión con contraseña personal (a través de la pestaña Seguridad). Así los usuarios creados desde AD podrán seguir accediendo con normalidad. Como los usuarios ya no estarán vinculados al AD, deberán autenticarse con el correo electrónico y la contraseña de Identity. Pero como los usuarios aún no tienen una contraseña de Identity, todos deberán restablecer su contraseña a través de la pantalla de inicio de sesión, opción Olvidó su contraseña. Se enviará un correo electrónico con un enlace para restablecer la contraseña del usuario.
Ver información del directorio
Esta opción solo está disponible para Active Directory local.
01. Haga clic en el ícono Configuración en la esquina superior derecha y seleccione la opción Active Directory.
02. Haga clic en el directorio deseado para ver la información.
En la parte superior hay una sección de información sobre la sincronización entre TOTVS Identity y SmartSync:
Última sincronización con SmartSync
Muestra la fecha y la hora de la última comunicación que se llevó a cabo entre SmartSync e Identity. Identity identifica que SmartSync está disponible en base a la recepción de la comunicación hacia SmartSync → Active Directory.
Versión de SmartSync
Informa la versión de SmartSync que realiza la sincronización entre Identity y Active Directory.
Servidor de Active Directory
Dirección del servidor de Active Directory, según lo configurado por SmartSync.
DN raíz
Configuración de SmartSync que indica el directorio raíz utilizado para la sincronización de los datos entre Identity y Active Directory.
A continuación, se despliegan las pestañasUsuarios y Grupos, que permiten la visualización de usuarios y grupos importados en el directorio elegido.
Usuarios importados
Los requisitos para la importación de usuarios son: 1. Contar con usuarios registrados en Active Directory, activos y con los siguientes campos completados: nombre, apellido y correo electrónico; 2. SmartSync instalado, configurado y funcionando; 3. Directorio en Active Directory configurado en la empresa de Identity.
Después de la información sobre la sincronización entre Identity y SmartSync, se muestra la pestaña Usuarios, donde se listan todos los usuarios importados en el directorio elegido. Las siguientes tablas indican la cantidad de usuarios pendientes, procesando, aceptados y rechazados. Puede hacer clic en cada estado para consultar los usuarios.
Los usuarios importados de Active Directory a través de SmartSync se presentan en una lista de usuarios pendientes y deben aceptarse antes de que se creen efectivamente en TOTVS Identity.
¡SUGERENCIA!
Puede automatizar el proceso de aceptación de usuarios importados. Para ello, active la opción Aceptación automática en el directorio.
No es posible revertir el procedimiento de aceptación, sin embargo, el usuario aceptado puede ser deshabilitado en la pantalla de Usuarios. Los usuarios eliminados del contexto que se vuelvan a importar desde Active Directory se incluirán automáticamente en la lista de Rechazados.
Buscar usuario
01. En la pantalla de vista de la información del directorio, asegúrese de estar en la pestaña Usuarios.
02. Ubique el campo Buscar e ingrese el nombre o el correo electrónico del usuario que desea buscar.
Aceptar usuario
Esta acción solo está disponible en la lista de usuarios pendientes y rechazados.
01. En la pantalla de vista de la información del directorio, asegúrese de estar en la pestaña Usuarios.
Hay tres formas de aceptar usuarios en Identity: uno por uno, usuarios seleccionados o todos los usuarios de la lista.
USUARIO ÚNICO
02. Ubique el usuario que desea aceptar.
03. Haga clic en Aceptar – ubicado en el lado derecho.
USUARIOS SELECCIONADOS
02. Ubique cada usuario que desea aceptar.
03. Haga clic en para seleccionar cada usuario.
04. Haga clic en el botón Aceptar seleccionados.
TODOS LOS USUARIOS
02. Haga clic en el botón Aceptar todos.
Por lo tanto, mientras no se completa la aceptación del usuario, los usuarios se muestran en la lista Procesando.
Después de completar la acción, si todo es correcto, el usuario aparecerá en la lista de usuarios aceptados con el indicador Aceptado. Desde el momento en que se acepta, el usuario importado se define como Activo y se encuentra disponible el acceso a la empresa en TOTVS Identity. Los usuarios ahora están listados en la página Administración de Usuarios. En el perfil de usuario, los campos de nombre, apellido, correo electrónico, puesto y departamento se completan automáticamente con datos importados de Active Directory.
Al aceptar el usuario, Identity comprueba si el correo electrónico importado ya está registrado. Si el correo electrónico ya existe en Identity, este usuario será enviado a la lista de usuarios rechazados con el indicador de Error, donde se puede cambiar el correo electrónico del usuario. Para conocer más detalles, consulte el ítem Corregir usuario de esta documentación.
Rechazar usuario
Esta acción solo está disponible en la lista de usuarios pendientes.
01. En la pantalla de vista de la información del directorio, asegúrese de estar en la pestaña Usuarios.
Hay dos formas de rechazar usuarios en Identity: uno por uno o usuarios seleccionados.
USUARIO ÚNICO
02. Ubique el usuario que desea rechazar.
03. Haga clic en Rechazar – ubicado en el lado derecho.
USUARIOS SELECCIONADOS
02. Ubique cada usuario que desea rechazar.
03. Haga clic en para seleccionar cada usuario.
04. Haga clic en el botón Rechazar seleccionados.
Una vez que se completa la acción, el usuario se mostrará en la lista de usuarios rechazados con el indicador Rechazado.
Eliminar usuario
Esta acción solo está disponible en la lista de usuarios rechazados.
01. En la pantalla de vista de la información del directorio, asegúrese de estar en la pestaña Usuarios.
Hay dos formas de eliminar el usuario importado: uno por uno o usuarios seleccionados.
USUARIO ÚNICO
02. Ubique cada usuario que desea eliminar.
03. Haga clic en Eliminar – ubicado en el lado derecho.
USUARIOS SELECCIONADOS
02. Ubique cada usuario que desea eliminar.
03. Haga clic en para seleccionar cada usuario.
04. Haga clic en el botón Eliminar seleccionados.
Una vez que se completa la acción, el usuario eliminado ya no se mostrará en la lista de usuarios rechazados y no se volverá a importar.
Corregir usuario
Esta acción solo está disponible en la lista de usuarios rechazados. El usuario que se corregirá se muestra en la lista de usuarios con el estado Error.
01. En la pantalla de vista de la información del directorio, asegúrese de estar en la pestaña Usuarios.
02. Ubique el usuario que desea corregir.
03. Haga clic en Corregir – ubicado en el lado derecho.
04. En el campo indicado, ingrese el correo electrónico correcto del usuario.
05. Active Corregir.
Después de la corrección, el usuario ahora se muestra en la lista de usuarios pendientes con el correo electrónico modificado y puede aceptarse para que se cree el usuario en Identity.
Grupos importados
Los requisitos para la importación de grupos son: 1. Tener grupos registrados en Active Directory; 2. SmartSync instalado, configurado y funcionando; 3. Directorio en Active Directory configurado en la empresa de Identity.
Después de la información sobre la sincronización entre Identity y SmartSync, se muestra la pestaña Grupos, donde se listan todos los grupos de permisos importados en el directorio elegido. Las siguientes tablas indican la cantidad de grupos pendientes, procesando, aceptados y rechazados. Puede hacer clic en cada estado para consultar los grupos.
Al igual que con los usuarios importados de Active Directory a través de SmartSync, los grupos también se muestran en una lista de grupos pendientes y se deben aceptar para que se puedan asociar con aplicaciones de Identity.
Buscar grupo
01. En la pantalla de vista de información del directorio, asegúrese de estar en la pestaña Grupos.
02. Ubique el campo Buscar e ingrese el nombre del grupo que desea buscar.
Aceptar grupo
Esta acción solo está disponible en la lista de grupos pendientes.
01. En la pantalla de vista de información del directorio, asegúrese de estar en la pestaña Grupos.
Hay dos formas de aceptar grupos en Identity: uno por uno o grupos seleccionados.
GRUPO ÚNICO
02. Ubique el grupo que desea aceptar.
03. Haga clic en Aceptar – ubicado en el lado derecho.
GRUPOS SELECCIONADOS
02. Ubique cada grupo que desea aceptar.
03. Haga clic en para seleccionar cada grupo.
04. Haga clic en el botón Aceptar seleccionados.
Como resultado, mientras no se completa la aceptación del grupo, los grupos se muestran en la lista Procesando.
Después de completar la acción, si todo es correcto, el grupo aparecerá en la lista de grupos aceptados con el indicador Aceptado. Los grupos importados de Active Directory y aceptados se enumeran junto con los demás grupos de propiedad de Identity en la página Administración de Grupos.
Rechazar grupo
Esta acción solo está disponible en la lista de grupos pendientes.
01. En la pantalla de vista de información del directorio, asegúrese de estar en la pestaña Grupos.
Hay dos formas de rechazar grupos en Identity: uno por uno o grupos seleccionados.
GRUPO ÚNICO
02. Ubique el grupo que desea rechazar.
03. Haga clic en Rechazar – ubicado en el lado derecho.
GRUPOS SELECCIONADOS
02. Ubique cada grupo que desea rechazar.
03. Haga clic en para seleccionar cada grupo.
04. Haga clic en el botón Rechazar seleccionados.
Una vez que se completa la acción, el grupo se mostrará en la lista de grupos rechazados con el indicador Rechazado.
Editar grupo
Esta acción solo está disponible en la lista de grupos pendientes.
01. En la pantalla de vista de información del directorio, asegúrese de estar en la pestaña Grupos.
02. Ubique el grupo que desea editar.
03. Haga clic en Editar – ubicado en el lado derecho.
04. Ingrese el nuevo nombre en el campo indicado y active Guardar.
El nombre de un grupo importado de Active Directory se puede cambiar en Identity para que, cuando se acepte este grupo, se cree con este nuevo nombre de visualización.
¡Esté atento!
Esta documentación es válida a partir de la actualización 5.0.0. Si utiliza una actualización anterior, puede contener información diferente de la que ve en SmartSync.