Tempo aproximado para leitura: 00:25:00 min
Ambiente
Framework - Linha RM - Frame - A partir da versão 11.82
Dúvidas frequentes na integração LDAP
1 - Qual a diferença entre Integração LDAP e Logon LDAP?
Integração LDAP: as inserções, edições e remoções feitas no RM serão replicadas no Active Directory, porém o usuário não autenticará utilizando o LDAP.
Logon LDAP: o usuário deverá utilizar as informações de autenticação provenientes do AD (Active Directory) para autenticar no RM, porém as alterações realizadas no cadastro do usuário dentro do RM NÃO serão replicadas no LDAP.
2 - Posso utilizar somente uma das configurações LDAP? Ou devo utilizar ambas para correto funcionamento do LDAP?
As configurações podem ser utilizadas separadamente a depender da sua necessidade.
Caso deseje autenticar o login no RM utilize o Logon. Caso deseje cadastrar/atualizar/modificar os usuários do RM e refletir no AD, utilize a Integração. Caso necessite de ambos, utilize-os em conjunto.
3 - Como configurar a Integração e Logon LDAP?
Utilize as documentações a seguir como apoio:
- Framework - Linha RM - Frame - Integração do RM com LDAP
- Framework - Linha RM - Frame - Logon utilizando LDAP
4 - É possível utilizar o Logon unificado e LDAP juntos?
Não. Quando se marca o Logon LDAP, a opção de Logon Unificado fica automaticamente desabilitada e o mesmo ocorre quando se marca a opção de Logon Unificado.
Não há como trabalhar com as duas opções dentro do RM.
5 - Quando devo inserir a porta LDAP durante a configuração?
A inserção da porta é obrigatória somente se utilizada conexão segura (SSL). Neste caso deve-se inserir a porta 636. Ex: LDAP://localhost:636
6 - Qual a porta utilizada para conexão LDAP?
As portas padrões utilizadas são: 389 (protocolo padrão) ou 636(protocolo seguro - SSL)
7 - É possível configurar no RM mais de um servidor de LDAP (Floresta)? Por exemplo: 2 redes distintas, uma para alunos/professores, outra rede para funcionários, cada rede com o seu respectivo AD configurado?
É possível inserir múltiplos domínios na integração com o AD (conceito de Floresta)?
Atualmente (versão 12.1.2506) não é possível configurar mais de um servidor de LDAP no RM, o cadastro permite somente um servidor de LDAP.
8 - Ao marcar a flag Ativar logon LDAP, somente a opção Utilizar usuário do RM é habilitada, como liberar a opção Utilizar usuário de rede?
Para alterar as opções é necessário que ao menos um usuário possua um e-mail cadastrado.
9 - Tenho AD parametrizado e vou começar a utilizar o RM, como devo proceder?
Caso utilize o Logon LDAP: insira o usuário de REDE correspondente através da aba REDE no cadastro do usuário:
Caso utilize a Integração LDAP, deverá criar um usuário no RM com mesmo nome que o cadastrado no AD. Dessa forma, o RM irá vincular o usuário RM > ao usuário AD.
10 - Utilizando somente a Integração LDAP, por onde devo começar a realizar os cadastros de usuários, no RM ou no AD?
O processo de integração funcionará sempre RM > LDAP, ou seja, inicia-se com a criação do usuário no RM e posteriormente no AD.
11 -Após ativar o LDAP, posso usar minha senha do RM para logar?
Não, após ativar Logon e/ou Integração deve-se usar sempre a senha de rede para logar.
12 - Caso a coligada não tenha domínio configurado, é possível autenticar com o usuário do RM?
Não é possível configurar a integração com o AD sem domínio. A configuração do logon LDAP é global, será aplicado para todas as coligadas.
13 - Após a integração com AD, o RM terá permissão de inclusão, edição ou exclusão no AD. É possível que o RM só tenha permissão de consulta no AD para verificação das credenciais?
Neste caso, deve-se utilizar a configuração do Logon LDAP: Framework - Linha RM - Frame - Logon utilizando LDAP
14 - Em um cenário onde o usuário foi excluído do AD e ainda existe no RM. Ao resetar a senha do usuário no RM é criado o usuário no AD?
Não. Resetar a senha do usuário no RM, quando o usuário não existe no AD não cria o usuário no AD. O usuário no AD é criado apenas ao criar novo usuário no RM.
15 - Alterar a senha do usuário no AD altera a senha no RM?
Utilizando a versão 12.1.2502 e superiores, com Logon e/ou Integração habilitados ao trocar a senha no AD a senha também é alterada no RM.
Em versões anteriores, ao alterar a senha do usuário no AD não altera a senha do usuário RM. Entretanto, ao realizar o login no Sistema a senha autenticada será a senha de rede.
16 - Alterar a senha do usuário no RM altera a senha no AD?
Utilizando a Integração LDAP, a partir do release 12.1.25, ao alterar a senha no RM a senha é alterada no AD.
17 - Ao criar o usuário no AD é automaticamente criado um usuário no RM?
Não, somente ao criar usuário no RM, com a Integração LDAP ativa, este é criado automaticamente no AD.
18 - Ao desativar o usuário no RM, é desativado o usuário no AD?
Não. Ao desativar o usuário no RM o usuário no AD não é desativado.
19 - O excluir o usuário no RM, é excluído o usuário no AD?
Sim, desde que a flag Permite remoção de usuários, nos parâmetros globais, esteja marcada conforme exemplo abaixo:
20 - É possível alterar o nome do usuário cadastrado no AD?
Não, uma vez criado o nome do usuário no AD o mesmo será perpétuo.
21 - Quero trocar a senha de um usuário somente no RM, sem alterar no AD. Como proceder?
Caso queira que usuários específicos não tenham a senha do AD modificada, deverá habilitar a flag 'Ignora Integração LDAP', disponível na aba Rede no cadastro do usuário.
Dessa forma, para este usuário passa a valer, somente, as regras do RM
Atenção: o parâmetro Ignorar Integração LDAP, na aba Rede, está disponível a partir da versão 12.1.18
22 - É possível aplicar as diretivas de segurança do AD no RM? Por exemplo, não repetir as 3 últimas senhas?
Com o LDAP ativo, a complexidade da senha do RM terá os mesmos critérios disponíveis no AD.
23 - Com a Integração LDAP ativa, ao cadastrar novo usuário no RM é criado usuário no AD mesmo se a flag ignorar autenticação LDAP estiver marcada?
Não, ao cadastrar novos usuários no RM com a flag Ignorar autenticação LDAP não é criado usuário no AD. As credenciais deste usuário levarão as regras do RM em consideração.
24 - Ao utilizar o Logon LDAP, é possível definir o número de tentativas de login e o tempo de bloqueio do usuário, pelo sistema RM nos parâmetros Globais?
Não, com o Login LDAP ativo, o número de tentativas de login e o tempo de bloqueio do usuário será administrado pelo AD, ignorando a parametrização nos Parâmetros Globais.
25 - Quando o usuário de AD é bloqueado por tentativas invalidas, é possível o desbloquear pelo sistema RM?
Não, como toda administração passa a ser feita pelo AD, o usuário deve ser desbloqueado no AD, para ficar acessível novamente.
26 - Ao criar um novo usuário através do cadastro de aluno ou funcionário é criado automaticamente o usuário no AD?
Sim, ao realizar o cadastro de um novo usuário através da tela de cadastro de aluno ou funcionário, o usuário é criado automaticamente no AD.
27 - Quero trocar a senha de um usuário somente no RM, sem alterar no AD. Como proceder?
Caso queira que usuários específicos não tenham a senha do AD modificada, deverá habilitar a flag 'Ignora Integração LDAP', disponível na aba Rede no cadastro do usuário. Dessa forma, para este usuário passa a valer, somente, as regras do RM.
28 - É possível incluir novos campos na integração com AD e atualizar essa informação quando os campos forem alterados no RM?
É possível mediante rotinas nativas incluir as novas informações na integração com o AD, tais como: seção, função, centro de custo?
Não. Por padrão o RM envia para o AD somente as informações necessárias para o acesso do usuário, essas informações são CODUSUARIO, NOME e SENHA. As demais informações não são enviadas.
Caso tenha necessidade de envio de demais informações, estas podem ser extraídas do RM, por meio de: consulta sql, conceito ou webservice,
29 - A Integração com LDAP poderia levar a informação de Horário e situação de Funcionários para poder impedir o uso dos computadores fora de horário de trabalho (jornada de trabalho) e em situação de Férias e Afastamentos, por exemplo?
Atualmente o produto RM não permite esse tipo de configuração. Caso o cliente deseje, poderá solicitar uma customização da equipe de Fábrica de SW.
30 - A Integração com LDAP poderia levar a informação de Horário e situação de Funcionários para poder impedir o uso dos computadores fora de horário de trabalho (jornada de trabalho) e em situação de Férias e Afastamentos, por exemplo?
Atualmente o produto RM não permite esse tipo de configuração. Caso o cliente deseje, poderá solicitar uma customização da equipe de Fábrica de SW.
31 - Existe uma forma de cadastrar o usuário de rede na aba rede em lote (para vários usuários por vez)?
Possível por meio de Conceito e Fórmula Visual. Para isso, é necessário montar a FV utilizando as seguintes atividades: ForEach, ReadRecord, Expression e SaveRecord.
Para dúvidas referente a utilização de Fórmulas Visuais e Conceito necessário entrar em contato com a equipe de suporte RM Integrações.
32 - Atualizei meu RM para a versão 12.1.2406.214 e/ou 12.1.2410.141 e meu campo de senha está desabilitado, como proceder?
A partir das versões 12.1.2406.214 e 12.1.2410.141 houve uma mudança de comportamento no Logon LDAP.
Utilizando somente o Logon LDAP no seu ambiente, não é possível realizar a troca de senha através do RM, somente via AD.
O usuário deverá utilizar a senha do usuário de rede, cadastrado no AD, informado na aba Rede:
As regras de troca de senha do RM não serão validadas neste caso.
As regras e complexidades de senha utilizadas serão as parametrizadas no AD.
Usuários com Logon LDAP e sem integração LDAP, não poderão trocar a senha via RM.
Caso seja marcada a flag Ignorar Integração/Logon LDAP, para este usuário passa a valer as regras do RM, sem autenticar no AD.
33 - Quais campos do RM são utilizados na validação com o Active Directory (AD) para essa integração entre os serviços?
Ao realizar a integração com o AD, são enviados os campos: código de usuário / usuário da aba rede (conforme parametrização) e senha.
34 - Qual informação será validada no campo Usuário de rede? Common Name, SAMAccountName ou userPrincipalName?
O RM irá validar o campo SAMAccountName registrado no Active Directory, limitado a 20 caracteres.
0 Comentários