» Inicio » Configuraciones de administrador (IU antigua) » Usuarios » Integraciones con productos de ME

Active Directory

La integración de Active Directory (AD) con la aplicación ServiceDesk Plus le permite importar información de usuarios desde el servidor de Active Directory a la aplicación ServiceDesk Plus. También le permite programar la importación de usuarios desde AD, sincronizar los usuarios eliminados desde AD y configurar la autenticación de AD.

 

Rol requerido: SDAdmin

 

Para configurar los ajustes relacionados con AD en configuraciones no ESM, vaya a Admin > Users > Active Directory.

Enlaces rápidos

Establecer contraseña de autenticación local para usuarios importados 

Puede establecer una contraseña predeterminada de autenticación local para los usuarios importados a través de AD. Los usuarios pueden cambiar esta contraseña después del primer inicio de sesión.

Puede obligar a los usuarios a actualizar la contraseña predeterminada después de su primer inicio de sesión desde Configuración de seguridad.

 

Para establecer una contraseña de autenticación local desde la página de configuración de Active Directory,

  1. Coloque el cursor sobre los campos de Local Authentication Password y haga clic en Edit.
  2. Puede elegir generar una contraseña aleatoria para cada usuario o establecer una contraseña predefinida para todos los usuarios.
  3. Haga clic en Save.
Asegúrese de que la contraseña predefinida cumpla con todos los requisitos de la política de contraseñas.

 

 

Los usuarios serán notificados sobre su contraseña en sus correos electrónicos de inicio de sesión. Puede configurar las notificaciones por correo electrónico para los usuarios desde Admin > Helpdesk Customizer > Notification Rules > Requests > Send Self-Service Login details.

La contraseña de autenticación local establecida para los usuarios importados desde AD también es aplicable a los usuarios importados desde archivos CSV. 

Importar usuarios desde Active Directory

Puede importar usuarios desde cualquiera de los dominios y sus unidades organizativas (OU) subsecuentes presentes en Active Directory. De forma predeterminada, los usuarios de AD se importan mediante el protocolo LDAP y el puerto 389.

 

Haga clic en Importar usuario(s) en la página de configuración de Active Directory. Use las siguientes indicaciones para configurar la ventana emergente Importar desde Active Directory.

Nombre del campo

Descripción

Nombre de dominio*

Seleccione el dominio desde el cual importar usuarios.

 

Si ya proporcionó el controlador de dominio y las credenciales de inicio de sesión para el dominio en Windows Domain Scan, los detalles de Controlador de dominio e Inicio de sesión se completarán automáticamente al seleccionar el dominio.

Controlador de dominio*

Especifique el controlador de dominio que proporciona acceso a los recursos de ese dominio seleccionado.

Nombre de inicio de sesión*

Ingrese el nombre de inicio de sesión de su cuenta de usuario en el dominio seleccionado.

Contraseña*

Ingrese la contraseña de la cuenta de usuario anterior.

SSL LDAP

Active la opción SSL LDAP para habilitar una comunicación segura entre ServiceDesk Plus y Active Directory a través del puerto 636. 

Asegúrese de que su Active Directory admita SSL antes de habilitar este campo.

Seleccionar campos para importar

Seleccione los campos de usuario predeterminados que se importarán desde Active Directory. Especifique el nombre del campo configurado en Active Directory junto al campo seleccionado para asignarlos con precisión.

Si el usuario ya existe en ServiceDesk Plus, sus valores de campos predeterminados se sobrescribirán con los valores presentes en AD. Para evitar la sobrescritura de valores, deseleccione los campos correspondientes durante la importación.
Si un valor de campo es nulo en AD, el campo correspondiente no se actualizará en ServiceDesk Plus.

Seleccionar UDF para importar

Si ha configurado campos adicionales de usuario en ServiceDesk Plus, puede seleccionar los campos UDF. Especifique el nombre del campo configurado en Active Directory junto al campo seleccionado para asignarlos.

Si no ha configurado ningún campo adicional de usuario, use el enlace Haga clic aquí para configurar. Será redirigido a la página Usuario - Campo adicional, donde podrá configurar los campos adicionales que se importarán desde Active Directory.
Los campos adicionales numéricos admiten hasta 19 dígitos. Si su valor numérico excede los 19 dígitos, configure el valor en un campo de texto.

Mover activos asociados

Si el sitio asociado con el usuario/departamento cambia en Active Directory, los activos que pertenecen al usuario/departamento también deben moverse al nuevo sitio. Para actualizar esta información en cada importación, seleccione Mover activos asociados.

Actualizar valores vacíosHabilite esta opción para importar y actualizar datos <vacíos> desde Active Directory. Por ejemplo, con esta opción habilitada, los datos del usuario con el Nombre: Admin cambiado a Nombre: <vacío> en Active Directory se actualizarán en la aplicación. Si esta opción está deshabilitada, entonces los datos Nombre: <vacío> no se actualizarán y se conservarán los valores anteriores.

* Indica los campos obligatorios

 

Haga clic en Siguiente.

 

 

En el asistente de importación, puede seleccionar las distintas UO o ingresar los nombres de grupo disponibles en ese dominio para importar usuarios. También puede agregar usuarios manualmente.

  • Para seleccionar UO, habilite la casilla de verificación UO. Elija las UO desde las que desea importar usuarios seleccionando la casilla junto a ellas.
  • Para seleccionar grupos de AD, habilite la casilla de verificación Grupo. Ingrese el sAMAccountName del grupo en el cuadro de texto como valores separados por comas.

 

 

Si se seleccionan tanto las UO como los grupos, se importarán los usuarios presentes en ambas UO y grupos.
Puede importar hasta 5000 grupos desde AD.

 

Haga clic en Importar ahora. Si la importación programada de AD está habilitada, puede importar los usuarios más tarde seleccionando Guardar e importar según programación.

 

Los usuarios importados se muestran en la vista de lista de usuarios en Admin > Usuarios. Puede realizar acciones adicionales en los usuarios importados, como editar los detalles o asociar estaciones de trabajo desde la vista de lista de usuarios. 

 

Resultados de la importación notificados a los SDAdmins mediante notificaciones de campana:

  • Si la información del usuario se importa de inmediato, se notificará cuántos registros se agregaron, sobrescribieron o no se pudieron importar.
  • Si la importación se programa para más tarde, la notificación se enviará una vez que se complete la programación.
  • Los nombres de grupo no válidos se notificarán junto con los resultados de la importación actual y también como un banner durante la importación posterior.
  • Si los usuarios se importan seleccionando tanto UO como grupos, el conteo de usuarios importados se rastreará por separado para UO y grupos. Para los usuarios presentes tanto en la UO como en el grupo, el conteo se agregará dos veces.
  • Se notificará el número total de usuarios tanto para la UO como para el grupo seleccionados.

 

Para la importación programada, la información del usuario importada depende del tipo de programación de importación configurada en Programación de importación.
La falla del dominio durante la importación se notificará a los SDAdmins mediante notificaciones de campana.

Programar importación de AD

Puede programar la importación de Active Directory a intervalos regulares para mantener su repositorio de usuarios sincronizado con Active Directory. Cuando programa una importación de AD, los datos de todos los dominios de la aplicación se importan una vez cada número especificado de días. Los usuarios y los detalles de usuario de todos los dominios de la aplicación se sincronizan con ServiceDesk Plus de dos maneras:

  • Sincronización completa - Sincroniza todos los datos del usuario.
  • Sincronización delta - Sincroniza los datos de los detalles de usuario actualizados y las cuentas de usuario recién agregadas una vez cada 30 minutos.
La sincronización delta se iniciará automáticamente cuando la sincronización completa esté habilitada. Asegúrese de realizar una sincronización completa una vez cada 30 días para mantener los detalles de usuario completamente actualizados.

 

Para configurar una programación de importación,

  1. Pase el cursor sobre los campos de Programación de importación y haga clic en Editar.
  2. Habilite la opción Programar importación de AD una vez cada y especifique el período de importación.
  3. Especifique la fecha y la hora para iniciar la programación.
  4. Haga clic en Guardar.

 

 

Los detalles de los usuarios de los dominios se importarán periódicamente según la cantidad de días especificada después de la fecha y hora de inicio. Las diferencias en los datos se actualizarán cada 30 minutos. Puede ver la última hora de importación y la próxima hora programada en la sección Programación de importación.

 

 

 

Durante la sincronización delta, solo se notificará a los SDAdmins mediante una notificación de campana sobre los detalles de usuario cuya importación haya fallado.
Para una importación de AD sin inconvenientes, asegúrese de que su cuenta de servicio tenga permiso de Read All Properties para todas las OU y los usuarios. El estado del permiso se puede verificar en OrganizationalUnits (o) Users > Properties > Security > Advanced > Effective Access.

El criterio para la sobrescritura de cuentas de usuario en las importaciones de usuarios de Active Directory:

Al realizar una importación de usuarios desde Active Directory,  

 

Criterio 1: ObjectGUID - Si el ObjectGUID de una cuenta de usuario en ServiceDesk Plus coincide con la cuenta de usuario en Active Directory, el registro en ServiceDesk Plus se sobrescribirá.

 

Criterio 2: Nombre de inicio de sesión y dominio - Si el nombre de inicio de sesión y el dominio de una cuenta de usuario en ServiceDesk Plus coinciden con la cuenta de usuario en Active Directory, el registro en ServiceDesk Plus se sobrescribirá.

 

Criterio 3: Dirección de correo electrónico - Si la opción 'Override based on EmailId' está habilitada en ESM Directory > Application Settings y si la dirección de correo electrónico de la cuenta de usuario en ServiceDesk Plus coincide con la cuenta de usuario de Active Directory, el registro en ServiceDesk Plus se sobrescribirá.

 

Criterio 4: El nombre de inicio de sesión y el dominio son '-' (no asociado) - Si una cuenta de usuario en ServiceDesk Plus contiene solo un nombre de inicio de sesión con una dirección de correo electrónico sin asociación de dominio y si el nombre de inicio de sesión coincide con la cuenta de usuario de Active Directory , el registro en ServiceDesk Plus se sobrescribirá.

 

Cuando se importa un usuario desde AD, el ObjectGUID del usuario se utiliza como identificador único para actualizar los detalles del usuario en ServiceDesk Plus. Si el 'ObjectGUID' no coincide para ningún usuario en ServiceDesk Plus,

  • se utiliza el 'loginname+domainname' del usuario como identificador único para actualizar los detalles del usuario en ServiceDesk Plus.
  • Si el 'loginname+domainname' no coincide para ningún usuario en ServiceDesk, se utilizará la 'dirección de correo electrónico' del usuario como identificador único.
  • Si la dirección de correo electrónico no coincide, entonces se utiliza 'loginname + domain=NULL'  (donde loginname es Howard (ejemplo) y el nombre de dominio es NULL) como identificador único para actualizar los detalles del usuario. 
 
 
En los casos en que ninguna de las condiciones especificadas como 'ObjectGUID', 'loginname+domainname', 'dirección de correo electrónico', 'loginname + domain=NULL' exista en ServiceDesk Plus, se agregará un usuario nuevo.

Sincronizar usuarios eliminados desde Active Directory

Esta opción le permite sincronizar los usuarios eliminados de Active Directory en ServiceDesk Plus. La sincronización de usuarios eliminados ocurre después de una importación manual.

 

Después de completar la sincronización, se muestra una lista de usuarios eliminados. Según el tipo de usuario, puede eliminar los usuarios eliminados de la lista como se menciona a continuación:

  • Solicitantes - Puede habilitar la eliminación automática para usuarios no técnicos de la lista de usuarios eliminados. Cuando se elimina un solicitante del Active Directory, el usuario también se eliminará de ServiceDesk Plus.
  • Técnicos - Puede revisar los técnicos eliminados de la lista de usuarios eliminados y eliminarlos manualmente. La eliminación automática no está disponible para los técnicos.

 

Para configurar la sincronización de usuarios eliminados,

  1. Pase el cursor sobre la casilla Sync Deleted User(s) from Active Directory y haga clic en Edit.
  2. Elija su método de eliminación: automático o manual. Tenga en cuenta que incluso si selecciona la eliminación automática, los técnicos eliminados no se eliminarán automáticamente.
  3. Puede programar la sincronización de usuarios eliminados periódicamente habilitando la opción Schedule delete sync once in every .
  4. Especifique la periodicidad de la sincronización.
  5. Ingrese la fecha y hora para comenzar la sincronización de usuarios eliminados
  6. Haga clic en Save.

 

 

Después de programar la sincronización de usuarios eliminados, puede ver la última hora de importación y la próxima hora programada en la sección Sincronizar usuarios eliminados.

 

 

Si la eliminación manual está habilitada, el enlace a la lista de usuarios eliminados se mostrará como una nota en la parte superior de la página de configuración de Active Directory. Use los enlaces de la nota para acceder y verificar los usuarios eliminados antes de eliminar los usuarios eliminados de ServiceDesk Plus.

Si la sincronización está deshabilitada para los usuarios eliminados, los detalles de los usuarios eliminados de AD no se sincronizarán con ServiceDesk Plus durante la importación manual o programada.
Los detalles de los usuarios eliminados se notificarán a los SDAdmins mediante una notificación de campana.

Autenticación de Active Directory

Puede autenticar el inicio de sesión de los usuarios en ServiceDesk Plus a través de Active Directory. La autenticación basada en AD se puede configurar de dos maneras:

 

Iniciar sesión usando credenciales de AD:

Facilite el inicio de sesión de los usuarios en ServiceDesk Plus usando el nombre de usuario y la contraseña de su sistema.

  1. Pase el cursor sobre los campos de Autenticación de Active Directory y haga clic en Editar.
  2. Seleccione la casilla Habilitar autenticación de Active Directory.
  3. Haga clic en Guardar.

En la pantalla de inicio de sesión, los usuarios pueden especificar sus credenciales de inicio de sesión del sistema/AD y seleccionar el Dominio para iniciar sesión en ServiceDesk Plus. También pueden omitir la autenticación de AD durante el inicio de sesión seleccionando Autenticación local en la lista desplegable de Dominio y especificando sus credenciales de autenticación local.

 

Si una cuenta de usuario no se importa antes de configurar la autenticación de AD, el usuario se agregará a ServiceDesk Plus mediante la adición dinámica de usuarios si se ingresan los detalles de inicio de sesión correctos durante la autenticación. Haga clic aquí para saber cómo habilitar la adición dinámica de usuarios.
Si LDAP SSL está habilitado para un dominio en la página de importación de AD, la autenticación de AD también se realizará a través de LDAP SSL.

 

Permitir inicio de sesión único (SSO) usando credenciales de AD:

SSO permite a los usuarios acceder instantáneamente a ServiceDesk Plus sin proporcionar ninguna credencial de inicio de sesión. Durante el inicio de sesión, los usuarios se autentican automáticamente a través de un proveedor de identidad (IdP). Puede habilitar SSO para usuarios de AD desde SAML configurando ADFS como IdP. Para obtener más información, haga clic aquí.

También puede configurar otros proveedores de identidad como Okta o OneLogin para habilitar SSO.
Asegúrese de que los usuarios de AD se importen al IdP antes de configurar SSO.

 

 

ServiceDesk Plus usa Kerberos en el puerto 88 para autenticar grupos de usuarios protegidos en AD. Siga una de las siguientes indicaciones para autenticar AD para grupos de usuarios protegidos:
  • Cree un registro en su DNS para asignar el nombre de dominio completamente calificado (FQDN) de su servidor AD

[o]

  • Asigne la dirección IP al FQDN correspondiente en el archivo etc\hosts de su configuración. 

Cómo configurar el permiso Deny-Read en AD para eliminar usuarios deshabilitados

Por razones de seguridad, los clientes quieren eliminar de ServiceDesk Plus a los usuarios que han sido deshabilitados en AD. Estos usuarios, a pesar de no tener acceso al dominio, continúan teniendo acceso mediante mecanismos de autenticación que no son de AD. Actualmente, no contamos con un proceso para eliminar a estos usuarios de una sola vez, pero podemos sugerir una solución alternativa, de la siguiente manera:

 

Paso 1: Mueva a los usuarios deshabilitados a una OU separada.

Paso 2: Asegúrese de que esta OU no esté seleccionada para importación en ServiceDesk Plus/Asset Explorer

Paso 3: Configure los permisos Deny-read en la OU.

Paso 4: Importe usuarios para verificar la configuración

 

Ahora veamos el paso 3 en detalle.

 

Las unidades organizativas (OU) en AD le permiten agrupar lógicamente objetos como cuentas de usuario, cuentas de servicio o cuentas de equipo. A estas cuentas se les asignan permisos de acceso para administrar los objetos en las OUs.

 

En este documento, veremos cómo puede configurar un permiso de denegación total para una OU, después de haber movido a los usuarios deshabilitados a esa OU.

 

Los permisos configurados para una OU son heredados por sus objetos secundarios. Sin embargo, si a los objetos secundarios se les asignan permisos explícitos, los permisos heredados serán anulados. Por lo tanto, el permiso de denegación total, si se aplica a la OU principal, puede no funcionar para los objetos secundarios. En tales casos, puede que necesitemos eliminar los permisos explícitos.

 

En AD, el orden de prioridad es el siguiente:

 

 

Ahora veamos cómo configurar el permiso Deny-Read para una OU, de modo que los usuarios deshabilitados en la OU puedan eliminarse durante la Sincronización de usuarios eliminados o no importarse durante la importación de usuarios de AD.

 

Considere la siguiente estructura de OU para este ejemplo:

 

Primero, para restringir que la cuenta de servicio acceda a la OU Disabled Users, haga clic derecho en la OU y seleccione Properties. Luego, vaya a la pestaña Security, como se muestra:

Haga clic derecho en la OU > Properties > Security. Luego, seleccione la casilla Full control > Deny.

La cuenta de servicio se refiere a la cuenta configurada en ServiceDesk Plus para importar usuarios desde Active Directory.

 

 

Si la cuenta de servicio no aparece en la lista, haga clic en Add para incluir la cuenta en la lista de cuentas, como se muestra a continuación:

 

 

Ahora, el permiso será heredado por los usuarios bajo la OU Disabled Users, pero no por sus OUs secundarias, Departments o Finance.

 

Para que los permisos establecidos para la OU Disabled Users sean heredados automáticamente por Design y Finance y sus objetos de usuario, haga clic en el botón Advanced.

 

Luego, vaya a Permissions y verifique los permisos de la cuenta de servicio de Disabled Users.

 

En la ventana que se muestra, puede cambiar el tipo de permiso y su alcance.

 

De forma predeterminada, el alcance del permiso está restringido solo al objeto. Haga clic en el menú desplegable Applies to y seleccione This Object and All Descendant Objects para que los permisos sean heredados también por las OUs secundarias y sus objetos de usuario.

 

 

 

Puede verificar esta configuración en la configuración de seguridad de las OUs secundarias específicas. La siguiente captura de pantalla muestra que la configuración se ha establecido para la OU Design:

 

 

El tiempo necesario para heredar los permisos puede variar según la cantidad de OUs secundarias bajo una OU principal.

Ahora veamos si el permiso deny-read eliminará a los usuarios deshabilitados.

Primero importemos a los usuarios de las OUs Finance y Design. Al ingresar el nombre de inicio de sesión para la importación manual de usuarios, ingrese el nombre de inicio de sesión correcto y NO presione Enter al final del nombre de inicio de sesión.

La OU Design contiene al usuario Lisa Arm y la OU Finance contiene al usuario Howard Stern, como se muestra a continuación:

 

                       

 

 

Después de la importación, recibimos los siguientes resultados:

 

 

Es decir, de los dos usuarios, alisa y howard, uno de ellos ha sido importado. La configuración para eliminar usuarios deshabilitados funcionó correctamente para el usuario de la OU Design, Lisa Arm, pero falló con el usuario de la OU Finance, Howard Stern. La razón por la que Howard Stern fue importado fue debido a los permisos explícitos en la OU Finance.

 

Ahora, para eliminar los permisos explícitos, vaya a Finance > Properties > Security.

 

Luego, busque los permisos explícitos (authenticated users, en este caso) y elimínelos, como se muestra a continuación:

 

 

Tenga en cuenta que los usuarios se eliminarán solo durante la próxima Deleted Users Sync programada.  

Requisitos previos para configurar LDAP SSL

De forma predeterminada, las comunicaciones LDAP entre las aplicaciones cliente y servidor no están cifradas. Esto deja la comunicación entre el cliente LDAP y las computadoras servidor vulnerable a dispositivos/software de monitoreo de red. ServiceDesk Plus emplea LDAP SSL para proteger la comunicación entre el servidor AD y el servidor ServiceDesk Plus.

Siga los requisitos previos que se mencionan a continuación para configurar LDAP SSL para su servidor AD:

  • Asegúrese de que el FQDN (Fully Qualified Domain Name) del servidor sea accesible desde el cliente. De lo contrario, agregue la entrada del host en el archivo host de la máquina cliente.
  • Los Active Directory Certificate Services deben estar instalados para usar el certificado LDAP SSL como se explica en esta documentación.
  • Habilite su servidor AD para que admita LDAP sobre SSL. Haga clic aquí para saber cómo.
  • El certificado LDAPS importado al servidor AD en el paso anterior debe recuperarse e importarse a la máquina cliente (servidor ServiceDesk Plus) en la carpeta Personal, como se explica a continuación:
    • Haga clic en Start, escriba mmc, y luego haga clic en OK.
    • Haga clic en File y luego haga clic en Add/Remove Snap-in.
    • Haga clic en Certificates y luego haga clic en Add.
    • En el complemento Certificates, seleccione la cuenta Computer y luego haga clic en Next.
    • En la página Certificate Store, haga clic con el botón derecho en Personal > Import certificate, importe el certificado LDAP desde la carpeta copiada y proporcione la contraseña establecida al crear el certificado.
  • Importe el certificado Root CA en Trusted Root Certificate Authority para permitir que su máquina cliente confíe en el certificado LDAP importado. Esto es vital, ya que los certificados LDAP importados no serán confiables debido a los dominios cruzados de forma predeterminada.
    • Acceda a la consola web de la CA: https://<CA Server>/certsrv y proporcione credenciales de administrador. Si la URL no es accesible, instale Certificate Enrollment Web Service como se explica en esta guía.
    • En la consola, haga clic en Download a CA certificate, certificate chain, or CRL.
    • En la siguiente página, haga clic en Download CA certificate y guarde el certificado.
    • Importe el certificado CA descargado en Trusted Root Certificate Authority como se explica en los siguientes pasos,
      • Haga clic en Start, escriba mmc, y luego haga clic en OK.
      • Haga clic en File y luego en Add/Remove Snap-in.
      • Haga clic en Certificates y luego en Add.
      • En el complemento Certificates, seleccione la cuenta Computer y luego haga clic en Next.
      • En la página Certificate Store, haga clic con el botón derecho en Trusted Root Certificate Authority e importe el certificado anterior
 
 

Con la confianza de las mejores organizaciones del mundo

Brindemos un mejor soporte juntos, más rápido y más fácil
Registrese(Cloud) Descargar(On-Premise)Request a free demo
ITSM Software de help deskIntegraciónMSP