Cenários
Nesta seção, serão descritos alguns cenários que podem exigir variações nas configurações propostas no passo a passo apresentado anteriormente. É importante ressaltar que não existe uma configuração única que se aplique a todos os ambientes, sendo necessário um planejamento prévio antes da implantação da integração com um serviço de diretório.
Cenário 1: Tenho mais de um serviço de diretório em execução em diferentes servidores e desejo importar/autenticar os usuários de todos eles.
O SoftExpert Suite suporta múltiplas configurações de domínio. Para isso, você pode realizar as configurações dos domínios desejados no componente SoftExpert Configuração > Autenticação (CM008), na seção Integração de diretório > Domínios. A sincronização será realizada para todos os domínios cadastrados, gerando um registro único no histórico de sincronizações.
Além disso, o sistema permite logins iguais, porém, de domínios diferentes. Para isso, é necessário realizar uma configuração específica nas regras adicionadas no serviço de federação, caso esteja sendo utilizada a autenticação integrada via SAML 2.0. A seguir, veja como configurar a autenticação via SAML 2.0 com múltiplos domínios no AD FS:
- Realize a configuração para autenticação integrada via SAML 2.0 normalmente, seguindo as etapas até chegar na configuração das "Regras de declaração". Nesta etapa, selecione a opção "Enviar declarações usando uma regra personalizada" e clique em "Avançar".
- Na próxima etapa, dê um nome para a regra e informe a seguinte regra personalizada:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",Issuer == "AD AUTHORITY"]=> issue(store = "Active Directory", types =
("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier"),
query = ";objectGUID;{0}", param = c.Value);
- Feito isso, clique em Concluir
⚠️ Atenção:
- Para este cenário, é obrigatório que o atributo mapeado para o campo "Identificador no controlador de domínio" na configuração do domínio no componente Configuração > Autenticação (CM008) seção Integração de diretório Domínios, seja o atributo "objectGUID"
Cenário 2: A empresa utiliza os serviços de diretório em uma arquitetura de floresta, com vários servidores independentes geridos por um centralizador que mantém uma cópia em modo leitura.
Para este cenário, existem duas soluções possíveis:
- A solução mais indicada é apontar para o endereço do centralizador na configuração do domínio, pois esse servidor deve ter os dados mais atualizados de todos os pontos da estrutura.
- Conectar-se diretamente a um dos servidores que possui melhor conexão com o SoftExpert Suite. Essa alternativa deve ser considerada em situações em que o servidor do sistema não tem acesso direto ao centralizador ou a conexão com ele é limitada.
Cenário 3: Quero importar apenas usuários específicos dos diretórios mapeados, não todos os que estão contidos neles.
Recomenda-se criar um grupo para os usuários que devem ser importados para o SoftExpert Suite. Dessa forma, é possível incluir um filtro específico que restrinja a sincronização apenas para os usuários desse grupo, independentemente do diretório em que eles estão localizados. Veja um exemplo de como fazer isso:
- Crie um grupo chamado "SESuiteUsers" no serviço de diretório e inclua nele todos os usuários que serão importados para o SoftExpert Suite. O campo que identifica o grupo é o "distinguishedName".
- Feito isso, inclua o filtro na configuração do domínio no componente **SoftExpert Configuração > Autenticação (CM008) > **seção Integração de diretório > Domínios, como no exemplo a seguir:
(memberOf=CN=SESuiteUsers,OU=Groups,DC=contoso,dc=local)
Cenário 4: Tenho usuários que devem possuir um atributo para um determinado campo, e outros que devem ter outro, dentro de um mesmo domínio.
Por exemplo, para os usuários do grupo "Colaboradores", o atributo para o campo "matrícula" deve ser "description", mas para os que são do grupo "Estagiários", deve ser o "samAccountName". Nessa situação, será necessário criar duas configurações de domínio, mesmo que ambas se conectem ao mesmo domínio. O que será diferente nas duas configurações será o identificador e o atributo que varia de uma para outra.
Para realizar essa configuração:
- Crie duas configurações de domínio no componente SoftExpert Configuração > Autenticação (CM008), seção Integração de diretório > Domínios. Uma configuração será para o grupo "Colaboradores" e a outra para o grupo "Estagiários".
- Na configuração do domínio para os "Colaboradores", defina o filtro para o campo "matrícula" como "description". Exemplo: (description=_).
- Na configuração do domínio para os "Estagiários", defina o filtro para o campo "matrícula" como "samAccountName". Exemplo: (samAccountName=_).
Dessa forma, cada configuração de domínio importará os usuários correspondentes ao atributo específico desejado, de acordo com o grupo ao qual eles pertencem.