Configuração para acesso direto ao serviço de diretório
Veja como configurar e executar o processo de sincronização de usuários usando o modo de comunicação direta:
- Para incluir uma nova configuração de domínio, siga os passos abaixo:
- Acesse o componente Configuração > Autenticação (CM008) no SoftExpert Suite.
- Na tela que será aberta, vá para a seção Integração de diretório > Domínios e clique no botão Incluir.
- Na seção Geral > Conexão da tela que será aberta, configure os dados para conexão com o servidor LDAP. Certifique-se de preencher corretamente os seguintes campos:
- Identificador do domínio: Informe o identificador do domínio para conexão
com o servidor LDAP. Você pode encontrar o identificador do domínio nas
propriedades do computador, acessadas através do Painel de Controle.
- A imagem a seguir ilustra onde encontrar o identificador (A) e o endereço (B) do domínio nas propriedades do computador:
- String de conexão: Informe a string de conexão com o servidor
LDAP.
ldap://<hostname>:<port>
,, lembrando que o valor padrão para a porta de conexão com o Active Directory da Microsoft é 389. Por exemplo:
ldap://contoso.local:389
- Tipo de conexão: Selecione qual serviço de diretório LDAP será utilizado:
- Active Directory: O Active Directory é uma implementação de serviço de diretório no protocolo LDAP que armazena informações sobre objetos em uma rede de computadores. Ele disponibiliza essas informações a usuários e administradores da rede. O Active Directory é um software da Microsoft amplamente utilizado em ambientes Windows.
- OpenLDAP: O OpenLDAP é um software livre e de código aberto que implementa o protocolo LDAP. Ele é um serviço de diretório baseado no padrão X.500. O OpenLDAP é independente do sistema operacional e está disponível em várias distribuições Linux, bem como em sistemas operacionais como BSD, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (2000, XP, 2003, 2008, Vista, Windows 7 e Windows 8) e z/OS.
- Segurança SSL: Marque esta opção para utilizar o protocolo de segurança SSL ao acessar o sistema. O SSL (Secure Sockets Layer) fornece privacidade e integridade de dados entre duas aplicações que se comunicam pela internet. Ele autentica as partes envolvidas e criptografa os dados transmitidos, garantindo que intermediários não autorizados não tenham acesso ou falsifiquem os dados.
- Usuário: Informe o nome do usuário para conexão com o servidor LDAP, por exemplo, "Synchonization User". Esse nome de usuário será usado para estabelecer a conexão com o serviço de diretório durante os processos de sincronização e simulação.
- Senha: Informe a senha para autenticação do usuário ao estabelecer a conexão com o servidor LDAP.
⚠️ Atenção:
- Recomenda-se a criação de um usuário específico para esta conexão no serviço de diretório, com a devida permissão para efetuar as buscas usando o filtro e o diretório informados nos passos a seguir.
-
Na seção "Critérios de pesquisa (usuário/grupo/equipe)", é necessário informar os critérios para realizar a busca de informações específicas no servidor LDAP. Para isso, preencha os campos Filtro (para restringir o resultado da busca) e Diretório (de onde os dados serão importados).
- Para visualizar a estrutura de diretórios/usuários contida no serviço de diretório, é recomendada a utilização de ferramentas externas, como o Active Directory Users and Computer ou Apache Directory Studio. Consulte a seção Exemplos de filtros LDAP para conexão em um serviço de diretório, para obter mais exemplos de filtros e diretórios.
Neste momento, é possível validar as informações realizando um teste de conexão. Para isso, clique no botão indicado na imagem a seguir:
Para ver os possíveis erros que o teste de conexão pode mostrar, consulte a seção:
-
Feito isso, salve as configurações realizadas. Em seguida, acesse a seção Geral > Sincronização para realizar a configuração das informações que serão sincronizadas. Para sincronizar apenas os dados de usuário, não marque as opções "Área e função", "Grupo de acesso" e "Equipe". Porém, não será possível logar no sistema sem estas informações.
O campo Atributo para a primeira sincronização é usado para vincular um usuário existente a um domínio. Quando um registro é retornado com um valor igual ao do serviço de diretório, o usuário interno será automaticamente vinculado ao domínio, passando a autenticar com as credenciais mantidas pelo serviço. É recomendado utilizar o campo "Matrícula" como atributo para a primeira sincronização, pois é um campo que possui um valor único para cada usuário. No entanto, outros campos como "Login", "E-mail" ou "Nome" também podem ser configurados como atributo para a primeira sincronização.
-
Na etapa seguinte, é necessário preencher os campos da seção **"Notificação
Frequência"**. Essa configuração permitirá que o administrador seja notificado por e-mail caso ocorra algum erro de comunicação durante o processo de sincronização, o que poderia resultar na interrupção do processo após o tempo de inatividade especificado.
- Utilize a seção Sincronização Usuários para fazer a sincronização de usuários:
Usuário
- Identificador no controlador de domínio: Indique o atributo do servidor LDAP que será usado como identificador do usuário. Ao importar os dados, o atributo selecionado neste campo será registrado na base como o identificador do usuário.
- Nome: Indique o atributo do servidor LDAP que será usado como nome do usuário. Ao importar os dados, o atributo selecionado neste campo será registrado na base como o nome do usuário.
- Login: Indique o atributo do servidor LDAP que será usado como login do usuário. Ao importar os dados, o atributo selecionado neste campo será registrado na base como o login do usuário.
- E-mail: Indique o atributo do servidor LDAP que será usado como e-mail do usuário. Ao importar os dados, o atributo selecionado neste campo será registrado na base como o e-mail do usuário.
- Matrícula: Indique o atributo do servidor LDAP que será usado como matrícula do usuário. Ao importar os dados, o atributo selecionado neste campo será registrado na base como a matrícula do usuário.
Líder
- Sincronizar líder: Marque esta opção para ativar a sincronização do vínculo de líder dos usuários do sistema com as informações configuradas no LDAP. Por padrão, o sistema utiliza o campo "manager" vindo do serviço de diretório, para identificar o líder e montar a hierarquia organizacional, comparando com o campo "distinguishedName" de cada registro retornado na consulta (estes dois atributos podem ser personalizados). Para que o vínculo ocorra, é necessário que tanto o usuário como seu líder sejam listados na consulta feita utilizando o filtro e diretório informados. Portanto, deve-se ajustar a busca para atender a este requisito ou habilitar a opção "Ignorar erros de líder não encontrado", caso queira habilitar esta função.
- Não sincronizar líderes de usuários com referência circular: Considere três usuários: A, B e C. Os usuários A e B são líderes um do outro e C tem como líder B. Neste exemplo, A e B não seriam importados devido a uma referência circular, e C também não seria, pois o seu líder B não pôde ser importado. Ao marcar esta opção, a referência circular seria ignorada, importando apenas A e B sem líder definido, mas mantendo o B como líder do usuário C, pois este está fora da referência circular.
- Ignorar erros de líder não encontrado: Ao utilizar esta opção, caso a sincronização de líder esteja habilitada e o líder do usuário não está contido na lista de usuários para sincronização, não ocorrerá erro e o usuário será importado normalmente.
- Atributo identificador do líder (opcional): Usado para pegar o identificador de um usuário líder. Por padrão, o sistema usa o atributo "distinguishedName", ou "entryDN" caso esteja usando o tipo de conexão OpenLDAP.
Parâmetros iniciais
- Parâmetros iniciais: Os parâmetros iniciais só serão utilizados quando o usuário for criado no SoftExpert Suite. Estes parâmetros serão utilizados como os padrões para todos os usuários importados do servidor LDAP. Ou seja, as opções Idioma, Usuário ativo, Usuário bloqueado, Receber notícias por e-mail interno, Permitir login simultâneo e Número máximo de conexões serão usados apenas no primeiro acesso de novos usuários, sendo assim, não interferem em usuários já cadastrados no SoftExpert Suite.
⚠️ Atenção:
- Todos os atributos que estão disponíveis para seleção são obtidos diretamente do serviço de diretório, usando a busca configurada no filtro e diretório. Caso algum atributo que era esperado não esteja disponível para seleção, é possível que não foi retornado nenhum usuário com este atributo preenchido. Por exemplo, no campo de e-mail, era esperado o atributo "mail", porém, não existe este atributo para seleção. Neste caso, deve ser verificado no serviço de diretório se existe algum usuário com este campo preenchido, dentro do diretório informado e seguindo as regras definidas no filtro.
- Na seção Sincronização > Área e função deve-se fazer a sincronização de áreas e funções. Para isso, preencha os seguintes campos:
Área:
- Identificador da área: Informe o atributo do servidor LDAP que deve ser usado como identificador da área, ou seja, ao importar os dados, o atributo selecionado neste campo será gravado na base como identificador da área.
- Nome da área: Informe o atributo do servidor LDAP que deve ser usado como nome da área, ou seja, ao importar os dados, o atributo selecionado neste campo será gravado na base como o nome da área.
Parâmetros iniciais:
- Área inativa: Os parâmetros iniciais só serão utilizados quando a área for criada no SoftExpert Suite. Este parâmetro será utilizado como padrão para todas as áreas importadas do servidor LDAP.
- Função inativa: Os parâmetros iniciais só serão utilizados quando a função for criada no SoftExpert Suite. Este parâmetro será utilizado como padrão para todas as funções importadas do servidor LDAP.
Função:
- Identificador da função: Informe o atributo do servidor LDAP que deve ser usado como identificador da função, ou seja, ao importar os dados, o atributo selecionado neste campo será gravado na base como identificador da função.
- Nome da função: Informe o atributo do servidor LDAP que deve ser usado como nome da função, ou seja, ao importar os dados, o atributo selecionado neste campo será gravado na base como o nome da função.
Novas áreas sincronizadas:
- Grupo de acesso padrão: Este é o grupo de acesso atribuído por padrão para novas áreas sincronizadas. Recomenda-se que os identificadores de área ou função não ultrapassem 50 caracteres. Caso ultrapassem, eles serão truncados e incrementados com um valor sequencial para manter a compatibilidade e evitar problemas. Mantenha os identificadores dentro do limite de 50 caracteres para garantir a integridade dos dados.
- Na seção Sincronização > Grupo de acesso, é necessário definir o atributo dos grupos do servidor LDAP que será usado como identificador para criar o vínculo com os respectivos grupos de acesso no SoftExpert Suite. A sincronização de grupos não cria novos grupos de acesso no SoftExpert Suite, apenas estabelece a conexão entre os grupos existentes no sistema e os grupos do serviço de diretório que possuam o mesmo identificador. Além disso, os usuários que são membros desses grupos no serviço de diretório também se tornam membros dos grupos de acesso no SoftExpert Suite.
- Na seção Sincronização > Equipe, deve-se realizar a sincronização de equipes, finalizando a configuração. Para isso, preencha os seguintes campos:
Equipe:
- Identificador da equipe: Selecione o atributo do servidor LDAP que será usado como identificador da equipe. Esse atributo será gravado na base de dados como o identificador da equipe durante a importação dos dados.
- Nome da Equipe: Informe o atributo do servidor LDAP que será usado como nome da equipe. Esse atributo será gravado na base de dados como o nome da equipe durante a importação dos dados.
É recomendado que o identificador das equipes não ultrapasse 50 caracteres. Caso isso ocorra, ele será truncado e um valor sequencial será adicionado.
-
Salve as configurações realizadas até então e feche a tela
-
Na tela Autenticação (CM008), clique no botão Sincronizar para realizar uma simulação da sincronização, sem efetivar alterações no SoftExpert Suite. O sistema notificará quando o envio dos dados for concluído. Para visualizar a simulação da sincronização, clique na opção "Visualizar" na notificação ou utilize o botão Ver na barra de ferramentas.
Para liberar as conexões e permitir a sincronização efetiva, clique no botão Cadeado na barra de ferramentas e confirme a solicitação do sistema. Isso desbloqueará o domínio, habilitando o botão Sincronização para executar a sincronização no sistema.
A partir desse momento, você pode iniciar a sincronização e acompanhar o processo. Cada sincronização gera um registro no histórico de sincronizações de usuários e equipes (caso esteja habilitado), fornecendo informações sobre o status atual e o número de registros processados. Para monitorar a sincronização em tempo real, clique no botão Sincronização.
- Na seção Histórico de sincronização de usuários, você pode consultar os últimos 10 registros de sincronização.
A sincronização pode apresentar os seguintes status: "Executando", "Executando com erros", "Carregando informações do AD", "Carregando usuários do SoftExpert Suite", "Comparando usuários do SoftExpert Suite com usuários do AD", "Calculando permissões dos usuários", "Finalizado" e "Finalizada com erros". O status "Calculando permissões dos usuários" indica que novos usuários estão sendo adicionados e o sistema está criando a estrutura de permissões de acesso para eles. Essa etapa pode levar algum tempo, dependendo do número de novos usuários. O progresso do processamento das permissões dos usuários pode ser acompanhado na coluna "Com permissão". Os status que indicam erros estão relacionados a usuários com informações ausentes, formatos inválidos ou informações conflitantes, e o motivo do erro pode ser visualizado nos detalhes da importação. Para visualizar os detalhes da importação, incluindo usuários com erro, atualizados, importados e desabilitados, selecione o registro desejado e clique no botão Visualizar .
⚠️ Atenção:
- Para obter mais detalhes sobre os possíveis erros que podem ocorrer durante o processo de sincronização de usuários e aprender como resolvê-los, consulte a seção Erros e avisos do teste de conexão/configuração de domínio. Lá você encontrará informações úteis para solucionar qualquer problema que possa surgir durante a sincronização.
-
A seção Histórico de sincronização de equipe é semelhante à seção Histórico de sincronização de usuário, mas com detalhes específicos para equipes. Aqui você poderá visualizar as equipes com erro, as equipes atualizadas, as equipes importadas e as equipes desabilitadas durante o processo de sincronização. Essas informações ajudarão a monitorar e acompanhar o status das equipes ao longo do tempo.
-
Ao habilitar o agendamento da sincronização, o processo será executado diariamente à meia-noite de forma intermitente. Caso seja necessário alterar a recorrência, você pode acessar o menu Monitoramento > Agendamento (CM019) e procurar pelo nome "LDAPSynchronizerJob". Lá você poderá fazer os ajustes necessários para personalizar a frequência e o horário da sincronização conforme suas preferências.
- No SoftExpert Suite, existe uma configuração que permite a autenticação via SAML para usuários que não estão vinculados a um domínio. Essa configuração chamada Habilitar autenticação integrada para usuários não sincronizados está localizada na tela de Configuração > Autenticação (CM008), no menu lateral esquerdo, em Integração de diretório Opções gerais.
Essa configuração foi desenvolvida para cenários em que não há sincronização de usuários via LDAP ou SCIM com o SoftExpert Suite, mas é necessário autenticar os usuários cadastrados manualmente no SoftExpert Suite usando uma plataforma que utiliza SAML, como Azure, Okta e outras.
Para utilizar essa configuração, é necessário habilitar a opção Habilitar autenticação integrada para usuários não sincronizados e configurar o SAML no SoftExpert Suite por meio da tela de Configuração > Autenticação (CM008).
⚠️ Atenção:
Quando a configuração Habilitar autenticação integrada para usuários não sincronizados estiver ativada, as seguintes condições se aplicam:
- Os usuários cadastrados manualmente no SoftExpert Suite, sem provisionamento via LDAP ou SCIM, podem ser alterados manualmente, incluindo a senha de acesso.
- Os usuários têm a opção de autenticação integrada via SAML, caso o SAML esteja configurado na tela de Configuração > Autenticação (CM008), e o usuário esteja cadastrado na plataforma que utiliza o SAML. Eles também podem optar por fazer login usando a senha registrada em seu cadastro do SoftExpert Suite.
- O login por autenticação integrada usará a senha registrada para o usuário na plataforma SAML (como Azure, Okta, entre outras), enquanto o login com usuário e senha (sem autenticação integrada) usará a senha e o login do usuário cadastrado no SoftExpert Suite.
- A opção de Autenticação Integrada na tela de login do SoftExpert Suite tem prioridade. Isso significa que, se os campos Usuário e Senha forem preenchidos na tela de login do SoftExpert Suite e o botão Autenticação Integrada for acionado, os valores inseridos nos campos serão ignorados.