# Active Directory

La integración de Active Directory (AD) con la aplicación ServiceDesk Plus le permite importar información de usuarios desde el servidor de Active Directory a la aplicación ServiceDesk Plus. También le permite programar la importación de usuarios desde AD, sincronizar los usuarios eliminados desde AD y configurar la autenticación de AD.

**Rol requerido**: SDAdmin

Para configurar los ajustes relacionados con AD en configuraciones no ESM, vaya a **Admin > Users > Active Directory**.

## Enlaces rápidos

- [Establecer contraseña de autenticación local para usuarios importados](#set-local-authentication-password)
- [Importar usuarios](#import)
- [Programar la importación de usuarios](#schedule)
- [Sincronizar usuarios eliminados desde Active Directory](#sync)
- [Configurar la autenticación de AD](#authenticate)
- [Cómo configurar el permiso Deny-Read en AD para eliminar usuarios deshabilitados](#configure-deny-read-permission-in-ad)
- [Requisitos previos para configurar LDAP SSL](#prerequisites-for-ldap-ssl)

## Establecer contraseña de autenticación local para usuarios importados

Puede establecer una contraseña predeterminada de autenticación local para los usuarios importados a través de AD. Los usuarios pueden cambiar esta contraseña después del primer inicio de sesión.

> Puede obligar a los usuarios a actualizar la contraseña predeterminada después de su primer inicio de sesión desde [Configuración de seguridad](https://www.manageengine.com/latam/service-desk/help/adminguide/esm-security-settings).

Para establecer una contraseña de autenticación local desde la página de configuración de Active Directory:

1. Coloque el cursor sobre los campos de **Local Authentication Password** y haga clic en **Edit**.
2. Puede elegir generar una contraseña aleatoria para cada usuario o establecer una contraseña predefinida para todos los usuarios.
3. Haga clic en **Save**.

> Asegúrese de que la contraseña predefinida cumpla con todos los requisitos de la política de contraseñas.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2021_10_26_09_29_001.png)

Los usuarios serán notificados sobre su contraseña en sus correos electrónicos de inicio de sesión. Puede configurar las notificaciones por correo electrónico para los usuarios desde **Admin > Helpdesk Customizer > Notification Rules > Requests > Send Self-Service Login details**.

> La contraseña de autenticación local establecida para los usuarios importados desde AD también es aplicable a los usuarios importados desde archivos CSV.

## Importar usuarios desde Active Directory

Puede importar usuarios desde cualquiera de los dominios y sus unidades organizativas (OU) subsecuentes presentes en Active Directory. De forma predeterminada, los usuarios de AD se importan mediante el protocolo LDAP y el puerto 389.

Haga clic en **Importar usuario(s)** en la página de configuración de Active Directory. Use las siguientes indicaciones para configurar la ventana emergente **Importar desde Active Directory**.

| Nombre del campo | Descripción |
|---|---|
| Nombre de dominio* | Seleccione el dominio desde el cual importar usuarios. Si ya proporcionó el controlador de dominio y las credenciales de inicio de sesión para el dominio en Windows Domain Scan, los detalles se completarán automáticamente. |
| Controlador de dominio* | Especifique el controlador de dominio que proporciona acceso a los recursos de ese dominio seleccionado. |
| Nombre de inicio de sesión* | Ingrese el nombre de inicio de sesión de su cuenta de usuario en el dominio seleccionado. |
| Contraseña* | Ingrese la contraseña de la cuenta de usuario anterior. |
| SSL LDAP | Active la opción **SSL LDAP** para habilitar una comunicación segura a través del puerto 636. Asegúrese de que su Active Directory admita SSL antes de habilitar este campo. |
| Seleccionar campos para importar | Seleccione los campos predeterminados que se importarán desde AD y asigne correctamente los nombres de campo. Si el usuario ya existe, los valores se sobrescribirán según los campos seleccionados. |
| Seleccionar UDF para importar | Seleccione los campos adicionales configurados en ServiceDesk Plus y asigne los nombres correspondientes de AD. |
| Mover activos asociados | Si el sitio asociado cambia en AD, los activos del usuario/departamento se moverán al nuevo sitio. |
| Actualizar valores vacíos | Habilite esta opción para importar y actualizar datos `<vacíos>` desde AD. |

\* Indica los campos obligatorios.

Haga clic en **Siguiente**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/1957/Screenshot%202023-04-27%20at%204_20_56%20PM.png)

En el asistente de importación:

- Para seleccionar UO, habilite la casilla **UO** y elija las UO correspondientes.
- Para seleccionar grupos de AD, habilite la casilla **Grupo** e ingrese el sAMAccountName del grupo como valores separados por comas.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/4480/2023_03_10_05_58_533.png)

> Si se seleccionan tanto las UO como los grupos, se importarán los usuarios presentes en ambas.
>
> Puede importar hasta 5000 grupos desde AD.

Haga clic en **Importar ahora** o **Guardar e importar según programación**.

Los usuarios importados se muestran en **Admin > Usuarios**.

### Resultados de la importación

Los SDAdmins recibirán notificaciones de campana con:

- Registros agregados, sobrescritos o fallidos.
- Resultados tras importaciones programadas.
- Nombres de grupo no válidos.
- Conteos separados para UO y grupos si ambos se seleccionan.

> La falla del dominio durante la importación se notificará a los SDAdmins.

## Programar importación de AD

Puede programar la importación de AD a intervalos regulares.

- **Sincronización completa**: sincroniza todos los datos del usuario.
- **Sincronización delta**: sincroniza datos actualizados y nuevas cuentas cada 30 minutos.

> La sincronización delta se iniciará automáticamente cuando la sincronización completa esté habilitada.

Para configurar:

1. Pase el cursor sobre **Programación de importación** y haga clic en **Editar**.
2. Habilite **Programar importación de AD una vez cada** y especifique el período.
3. Indique fecha y hora de inicio.
4. Haga clic en **Guardar**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2021_10_26_09_38_033.png)

Puede ver la última hora de importación y la próxima programación en la sección correspondiente.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2021_10_26_09_38_034.png)

### Criterios de sobrescritura de cuentas

1. **ObjectGUID** coincide → se sobrescribe.
2. **Loginname + dominio** coincide → se sobrescribe.
3. **Email** coincide (si está habilitado Override based on EmailId).
4. **Loginname + domain=NULL** coincide → se sobrescribe.

Si ninguno coincide, se agrega un usuario nuevo.

## Sincronizar usuarios eliminados desde Active Directory

Permite sincronizar usuarios eliminados en AD con ServiceDesk Plus tras una importación manual.

- **Solicitantes**: pueden eliminarse automáticamente.
- **Técnicos**: eliminación manual únicamente.

Para configurar:

1. Pase el cursor sobre **Sync Deleted User(s) from Active Directory** y haga clic en **Edit**.
2. Seleccione método automático o manual.
3. Puede programar la sincronización periódica.
4. Especifique fecha y hora.
5. Haga clic en **Save**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2021_10_26_09_47_015.png)

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2021_10_26_09_47_016.png)

> Si la sincronización está deshabilitada, los usuarios eliminados no se sincronizarán.

## Autenticación de Active Directory

Puede autenticar el inicio de sesión en ServiceDesk Plus a través de AD.

### Iniciar sesión usando credenciales de AD

1. Pase el cursor sobre **Autenticación de Active Directory** y haga clic en **Editar**.
2. Seleccione **Habilitar autenticación de Active Directory**.
3. Haga clic en **Guardar**.

En la pantalla de inicio de sesión, los usuarios pueden seleccionar el **Dominio** o usar **Autenticación local**.

> Si una cuenta no se importa previamente, puede agregarse mediante adición dinámica de usuarios. [Más información](https://www.manageengine.com/latam/service-desk/help/adminguide/application-settings%24dynamic-user)

> Si LDAP SSL está habilitado, la autenticación también se realizará mediante LDAP SSL.

### Permitir inicio de sesión único (SSO)

Puede habilitar SSO mediante SAML configurando ADFS como IdP:

- [SAML](https://www.manageengine.com/latam/service-desk/help/adminguide/saml-authentication)
- [Configurar ADFS como IdP](https://www.manageengine.com/latam/service-desk/help/adminguide/configure-adfs-as-identity-provider)

También puede usar:

- [Okta](https://www.manageengine.com/latam/service-desk/help/adminguide/configuring-okta-as-identity-provider)
- [OneLogin](https://www.manageengine.com/latam/service-desk/help/adminguide/configure-onelogin-as-identity-provider)

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2021_10_26_09_50_107.png)

> ServiceDesk Plus usa Kerberos en el puerto 88 para autenticar grupos protegidos en AD.

## Cómo configurar el permiso Deny-Read en AD para eliminar usuarios deshabilitados

Para eliminar usuarios deshabilitados:

1. Muévalos a una OU separada.
2. No seleccione esa OU para importación.
3. Configure permisos **Deny-Read** en la OU.
4. Importe usuarios para verificar.

Ejemplo de estructura:

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/1613/2024_01_29_04_03_542.png)

Configurar:

**Haga clic derecho en la OU > Properties > Security** → seleccione **Full control > Deny**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/4366/2024_01_29_04_03_543.png)

En **Advanced**, establezca **Applies to: This Object and All Descendant Objects**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/6964/Allow_Deny_9.gif)

Elimine permisos explícitos en OUs secundarias si es necesario.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/4379/2024_01_29_04_13_0913.png)

> Los usuarios se eliminarán en la próxima **Deleted Users Sync** programada.

## Requisitos previos para configurar LDAP SSL

LDAP no está cifrado por defecto. ServiceDesk Plus emplea LDAP SSL para proteger la comunicación.

Requisitos:

- El FQDN del servidor debe ser accesible.
- Instalar Active Directory Certificate Services. Consulte [documentación de Microsoft](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj717285(v=ws.11)).
- Habilitar LDAP sobre SSL. [Más información](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx).
- Importar el certificado LDAPS en el servidor ServiceDesk Plus.
- Importar el certificado Root CA en **Trusted Root Certificate Authority**.
- Acceder a la consola CA: `https://<CA Server>/certsrv`. Si no está disponible, consulte [esta guía](https://www.petri.com/deploy-windows-server-2012-r2-certificate-authority).

Siga los pasos indicados en la documentación enlazada para completar la configuración correctamente.