PDF (adobe.com)

Contribute con LDAP o Active Directory

LDAP (Protocolo ligero de acceso a dominios) es un protocolo para acceder a directorios de información. Microsoft Active Directory y LDAP son tipos de servicios de directorio. En el caso de los servicios de directorio, un directorio es como una libreta de teléfonos y no como una carpeta en el equipo.

Puede integrar el servicio Directorio de usuarios de CPS con el servicio de directorio. El Directorio de usuarios es un servicio de aplicación que permite administrar los usuarios de forma centralizada.

Al integrarlo con el directorio LDAP, controla el acceso de usuarios al sitio Web y su autenticación.

Ramas de LDAP
Con el servicio Directorio de usuarios, puede añadir todo el directorio de usuarios de LDAP para el sitio Web o indicar ramas específicas en las que se debe buscar.

Tiene las siguientes opciones:

  • Añadir el nodo raíz del árbol LDAP al directorio de usuarios y activar la búsqueda de usuarios o grupos en cualquiera de las ramas.

  • Añadir ramas específicas al directorio de usuarios y determinar el ámbito de la búsqueda (si desea buscar sólo en la rama o en la rama y en sus subramas). De esta manera, puede excluir determinadas ramas del árbol LDAP en las búsquedas.

    Para cada rama que añada, debe definir sólo una búsqueda de usuario o puede definir una búsqueda de usuario y de grupo.

    Por ejemplo, suponga que el directorio LDAP tiene tres ramas: East, Central y West. Desea integrar toda la empresa en el directorio LDAP, por lo que en el siguiente ejemplo añade una rama para una búsqueda de usuario al directorio de usuarios:

    User branch with baseDN:o=MyCompany, Search Scope:SUBTREE_LEVEL, filter:(objectClass=organizationalPerson)

    Ahora suponga que desea incluir únicamente las ramas Central y West, y desea definir búsquedas de usuario y grupo. Para ello debe añadir las cuatro ramas siguientes al directorio de usuarios:

    User branch with baseDN:ou=Central,o=MyCompany, Search Scope:SUBTREE_LEVEL, filter:(objectClass=organizationalPerson) 
User branch with baseDN:ou=West,o=MyCompany, Search Scope:SUBTREE_LEVEL, filter:(objectClass=organizationalPerson) 
Group branch with baseDN:ou=Central,o=MyCompany, Search Scope:SUBTREE_LEVEL, filter:(objectClass=groupOfNames) 
Group branch with baseDN:ou=West,o=MyCompany, Search Scope:SUBTREE_LEVEL, filter:(objectClass=groupOfNames)

Permisos de LDAP y permisos de Contribute
La integración del directorio LDAP de la empresa con CPS añade otra capa de permisos. Cuando se conecta con un servidor de LDAP o Active Directory, CPS respeta los permisos de archivo y carpeta establecidos por el servicio LDAP o Active Directory. Estos permisos de Contribute se sitúan en capas por encima del servicio de directorio, o de los permisos de red y servidor, y se aplican de forma global.

Los permisos de Contribute, que son opciones de configuración almacenadas en un archivo XML situado en la raíz del sitio Web, son controles específicos para el entorno de edición de Contribute. Estos permisos no se asignan a cada uno de los usuarios; son grupos de parámetros de configuración que lee Contribute en su primera conexión con un sitio Web. Durante el proceso de edición Contribute se ajusta a esta configuración. Los administradores de Contribute pueden especificar el acceso a determinadas carpetas para distintos roles de usuarios.

Tipos de autenticación de LDAP
CPS autentica usuarios en el directorio de LDAP. Para que CPS autentique un usuario, el servidor de LDAP debe comprobar el nombre visible del usuario. Suele ser un nombre único en el árbol LDAP que está asociado al usuario. CPS recibe un solo nombre de usuario, por lo que debe recuperar el nombre visible del usuario, basado en el nombre del usuario, para realizar la autenticación.

En la configuración del servicio Directorio de usuarios puede seleccionar uno de cuatro tipos de autenticación LDAP:

  1. Vínculo LDAP autentica los usuarios añadiendo al ID de usuario un prefijo y un sufijo especificados. Con este método puede especificar un solo prefijo y un solo sufijo.

    Utilice este método si todos los DN del directorio LDAP están almacenados como prefijo + <nombre_usuario> + sufijo

    Si no todos los DN están almacenados con este patrón, este método no permitirá crear una ruta a todos los usuarios del sistema.

  2. Vínculo LDAP (búsqueda automática de DN de usuario) autentica usuarios en un proceso de dos pasos: CPS busca el ID del usuario que intenta conectarse para determinar el DN del usuario y, a continuación, utiliza el DN para autenticar el usuario.

    Utilice este método si no todos los DN están almacenados con el mismo patrón prefijo + <nombre_usuario> + sufijo. Por ejemplo, si ha configurado CPS para buscar en varias ramas (OU) del árbol LDAP y dichas ramas almacenan DN de distintas formas, debe utilizar este método de autenticación.

    Aunque este método requiere una búsqueda LDAP adicional (en comparación con el método Vínculo LDAP), es más flexible.

  3. Contraseña en archivo autentica usuarios mediante contraseñas especificadas al añadir usuarios al Directorio de usuarios basado en archivo.

    Nota: Si utiliza la autenticación basada en archivos con un directorio LDAP, en dicho directorio debe haber una entrada de archivo para cada usuario.

  4. El dominio de Windows utiliza la solución de autenticación Microsoft Windows® de su organización.

    Si utiliza este método, los ID de usuario del directorio LDAP deben coincidir con los ID de usuario de Windows.

    Para obtener más información sobre los modelos de administración de usuarios de Contribute y la integración de Contribute con los servicios de directorio de la organización, consulte Aspectos básicos de los modelos de administración de usuarios de Contribute.