Logotipo
Seguir

DataCycle Reporting - Integración con Directorio Activo de Windows

Desde la versión 8.0 existe la posibilidad de importar grupos de usuario y usuarios existentes en el Directorio Activo de Windows de la organización que esté usando DataCycle.

Existen dos modalidades diferenciadas de realizar este intercambio de datos entre Directorio Activo y DataCycle:

  • Método manual, se hace de forma puntual  y permite controlar los ítems que se van a actualizar en el sistema.
  • Método automático, se realiza diariamente por ejecución del DataCycle Server, no hay visibilidad on-line de los datos afectados y los resultados se conocen siempre a posteriori.

Por otro lado el criterio que se aplica en ambos métodos es el que la importación de usuarios sirve para sincronizar los datos particulares de usuario y que la importación de grupos es utilizada para establecer la pertenencia de usuarios  a grupos. Por lo cual el orden lógico de la sincronización deberá ser primero Usuarios y después Grupos.

MÉTODO MANUAL IMPORTACIÓN DE USUARIOS

Desde la configuración de usuarios, se accede a la opción de importación de Directorio Activo:

PASO 1 – LISTAR USUARIOS

                                ldap1.jpg

Es necesario informar un usuario con credenciales de un usuario válido para acceder al Directorio Activo de Windows de la organización.

Antes de listar los usuarios se pueden  aplicar algunas restricciones (Botón Opciones Avanzadas):

                                                       ldap2.jpg

 

Si se colocan diferentes restricciones en los valores  para los uno o varios campos de Windows, estas actuarán en la futura consulta. Un ejemplo sería:

                                                        jdap3.jpg

Por ejemplo esta combinación de restricciones nos devolvería todos  los usuarios que pertenecen a un departamento de Marketing y que tienen el mail informado. 

Otra forma de definir la consulta al AD es aplicar directamente una cadena de interrogación a AD (Marcar “Usar Cadena” y editar la cadena –botón “?”):

                                                        jdap4.jpg

 

La sintaxis para esta interrogación es:

<GC:// + UO=unidad_organizativa,DC=dominio,DC=subdominio  + >; (&(objectCategory=+categoria+)(Restriccion_i);userAccountControl +,campo_i,…,campo_n+;subtree

Es obligatorio poner el campo de control de cuenta en primer lugar para que DataCycle pueda interpretar el estado de los elementos a retornar, también se recomienda acabar la cadena con la opción subtree para obtener elementos de los diferentes niveles de organización que haya en el dominio.

Por otro lado se pueden usar operadores lógicos en el apartado de restricciones  como

& -> AND,|-> OR y  !-> NEGACIÓN  y el uso de comodines “*” o “?” en los filtros.

Cuando se haya determinado la forma de hacer la consulta, se pueden pedir los resultados pulsando el botón “Listar usuarios Directorio Activo” y se obtiene la información en cada lista:

 

                                                        ldap5.jpg

Los botones de flecha se usarán para escoger los usuarios que se desea sincronizar en DataCycle.

En el cuadro de Altas: todos los elementos susceptibles de incorporación a DataCycle, siempre que cumplan las restricciones definidas y el valor  del  atributo SamAccountName en AD de Windows sea igual al valor del atributo login de DataCycle. En la parte izquierda se muestran los candidatos a dar de alta o actualizar. Y es  el usuario quien debe decidir que usuarios se someterán a la sincronización traspasándolos a la lista de la derecha.

En el cuadro de Bajas: todos los elementos susceptibles de desvincular en DataCycle, ya que en Windows estén marcados como baja y en DataCycle aun estén como usuarios activos. Aparecerán siempre que cumplan las restricciones definidas y el valor  del  atributo SamAccountName en AD de Windows sea igual al valor del atributo login de DataCycle.


PASO 2 – SINCRONIZAR USUARIOS 

Después de visualizar los resultados de la consulta y validar visualmente que tanto en los usuarios activos e inactivos los resultados son coherentes, es el momento de revisar la forma en que los nuevos usuarios serán incorporados a DataCycle.

Asignación de valores de Windows  a  atributos DataCycle.

-Si se ha usado la opción asistida se ha de usar  el segundo apartado de las Opciones Avanzadas que hemos usado para lanzar la consulta. Allí hay una lista donde podemos indicar el mapping  o correspondencia entre atributos DataCycle y valores de atributos  de Windows.

                                                         ldap6.jpg

-Si se ha usado la cadena de interrogación libre, se ha de tener en cuenta que la correspondencia entre los campos de retorno y los atributos de DataCycle es la siguiente:

 

1 – [SIN CORRESPONDENCIA] Campo de control de cuenta

2- LOGIN y PASSWORD

3-CORREO ELECTRONICO

4-NOMBRE DE USUARIO

5-[SIN CORRESPONDENCIA ]

6-DNI y OBSERVACIONES

7-TELEFONO


Baja de usuarios en DataCycle

Los usuarios mostrados como  inactivos se darán de baja en DataCycle siempre y cuando  no sean usuarios con alguna de estas condiciones:

-Es un usuario propietario de algún objeto como consultas o procesos.

-No es el último usuario con perfil de administración técnica

-No es el último usuario con perfil para administrar usuarios.

Si los resultados propuestos tanto para el cuadro de ACTIVOS  como el de INACTIVOS es correcto, es el momento de realizar  el traspaso de información entre AD y DataCycle mediante el botón “Iniciar el proceso”. Tras hacerlo debe aparecer un mensaje de confirmación.

 

                                                                                   ldap7.jpg

   

METODO MANUAL IMPORTACIÓN DE GRUPOS DE USUARIOS

 

PASO 1 – LISTAR GRUPOS DE USUARIOS

Desde la configuración de grupos de usuarios, se accede a la opción de importación de Directorio Activo.

Esta pantalla nos permite consultar al AD de Windows y obtenemos (opción Listar):

Aplicar restricciones (Botón Opciones Avanzadas):

                                                                                   ldap8.jpg

 

Aplicar una cadena de interrogación a AD directamente (Marcar “Usar Cadena” y editar la cadena –botón “?”)

                                                                                   ldap9.jpg 

 

Si se usa esta opción en la configuración de grupos lo normal será restringir por ObjectCategory=Group, y habrá que describir al menos 6 campos de retorno.

Cuando se hayan determinado la forma de hacer la consulta, se pueden pedir los resultados mediante el botón “Listar grupos de usuarios” y se obtiene:

                                            ldap10.jpg

En el cuadro de Altas: todos los elementos susceptibles de incorporación a DataCycle, siempre que cumplan las restricciones definidas y el valor  del  atributo DistinguisedName en AD de Windows sea igual al valor del atributo Nombre de grupo en DataCycle. En la parte izquierda se muestran los candidatos a dar de alta o actualizar. Y es  el usuario quien debe decidir que grupos de usuarios se someterán a la sincronización traspasándolos a la lista de la derecha.

PASO 2 – SINCRONIZAR GRUPOS DE USUARIOS

Después de visualizar los resultados de la consulta y validar visualmente que  los grupos de usuarios de alta  son coherentes es el momento de realizar  el traspaso de información entre AD y DataCycle mediante el botón “Iniciar el proceso”.  Esta acción comportará recomponer los grupos ya existentes en DataCycle y dar de alta o baja a los usuarios miembros de los grupos afectados. Si bien hay que tener en cuenta dos cosas:

  • Los usuarios no existentes aun en DC se darán de alta con los datos básicos de login y Nombre de usuario.
  • Los grupos hijos contenidos en los grupos implicados no se tendrán en cuenta. Por lo que se puede considerar que solo sincroniza una jerarquía de dos niveles: Grupo-Usuarios.

 Tras hacerlo debe aparecer un mensaje de confirmación. “Importación finalizada correctamente”

 

METODO DE SINCRONIZACIÓN  DE GRUPOS Y USUARIOS DE FORMA AUTOMATICA

 Este método se basa en una ejecución programada diariamente del proceso conjunto de consulta y actualización de elementos. Para que se ejecute dicho proceso es imprescindible que este arrancado  DataCycle Server.

A la configuración se accede por el Menú Herramientas >Configuración Avanzada > Pestaña Directorio Activo. Para activar la ejecución diaria se  debe marcar la casilla de importación automática y definir la hora deseada para que se inicie el proceso.

                                                     ldap11.jpg

 

 Este proceso actúa con las mismas reglas y criterios de interrogación, búsqueda y actualización que los métodos manuales.  Y por tanto actúa también bajo las credenciales del usuario que se haya informado con el comando “Credenciales”

Después se deben indicar las definiciones para importar usuarios/grupos. En las dos definiciones con asistente se puede marcar la opción de “Alias” para importar los usuarios con el prefijo de Alias + \SamAccountName como valor de Login en DCR.

 A continuación se han de definir las restricciones y la correspondencia de información para las consultas de usuarios o grupos, tal y como se hace en los métodos manuales. 

El orden de ejecución siempre será el siguiente:

  1. Definiciones para importar usuarios, de manera asistida.
  2. Definiciones para importar grupos de usuarios, de manera asistida.
  3. Definiciones para importar usuarios usando cadena concreta de interrogación a LDAP.

Opciónes:

-Vincular las restricciones para usuarios (1) a la definición de importación de grupos. De forma que solo se importarán los usuarios que cumplan con la especificación de grupos(2) si esos usuarios también cumplen las restricciones exigidas en la definición para usuarios.

-También es posible definir un directorio donde se guardará un log de actividad de cada ejecución de este proceso y es posible indicar que se renueve o se acumule la información. El fichero es nombrado como LogImportLDAP.txt

Ejemplo:

 ldap12.jpg

 

 

Anexo 1. Atributos de LDAP más significativos

 

LDAP Attribute

Example

CN - Common Name

CN=Juan Taso.  Actually, this LDAP attribute is made up from givenName joined to SN.

description

What you see in Active Directory Users and Computers.  Not to be confused with displayName on the Users property sheet.

displayName

displayName = Juan Taso.  If you script this property, be sure you understand which field you are configuring.  DisplayName can be confused with CN or description.

DN - also distinguishedName

DN is simply the most important LDAP attribute.
CN=Jay Jamieson, OU=Newport,DC=cp,DC=com

givenName

Firstname also called Christian name

homeDrive

Home Folder : connect.  Tricky to configure

name

name = Juan Taso.  Exactly the same as CN.

objectCategory

Defines the Active Directory Schema category. For example, objectCategory = Person

objectClass

objectClass = User.  Also used for Computer, organizationalUnit, even container.  Important top level container.

physicalDeliveryOfficeName

Office! on the user's General property sheet

profilePath

Roaming profile path: connect.  Trick to set up

sAMAccountName

sAMAccountName = juant.  Old NT 4.0 logon name, must be unique in the domain.  Can be confused with CN.

SN

SN = Thomas. This would be referred to as last name or surname.

userAccountControl

Used to disable an account.  A value of 514 disables the account, while 512 makes the account ready for logon.

userPrincipalName

userPrincipalName = juant@CP.com    Often abbreviated to UPN, and looks like an email address.  Very useful for logging on especially in a largeForest.   Note UPN must be unique in the forest.

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 1 de 1
¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

Inicie sesión para dejar un comentario.
Tecnología de Zendesk