Características de integración de Active Directory
La integración de Marketing Platform con Windows Active Directory ofrece las características que se describen en esta sección.
Autenticación con la integración de Active Directory
Las aplicaciones de IBM® EMM consultan la Marketing Platform para obtener información sobre la autorización del usuario. Cuando la integración del servidor de Active Directory está implementada y está habilitado el inicio de sesión integrado de Windows, los usuarios se autentican en todas las aplicaciones de IBM® EMM cuando inicia la sesión en la red corporativa y no se necesita contraseña para iniciar la sesión en las aplicaciones de IBM® EMM. La autenticación de los usuarios se basa en su inicio de sesión en Windows y se omiten las pantallas de inicio de sesión de las aplicaciones.
Si no se ha habilitado el inicio de sesión integrado de Windows, los usuarios todavía deben iniciar sesión en la pantalla de inicio de sesión de IBM® EMM, utilizando sus credenciales de Windows.
Solo se permiten tres caracteres especiales en los nombres de inicio de sesión: punto (.), subrayado (_) y guión (-). Si el nombre del inicio de sesión de un usuario que tiene previsto importar en Marketing Platform desde el servidor de Active Directory contiene otros caracteres especiales (incluidos espacios), debe modificar el nombre de inicio de sesión de forma que el usuario no se encuentre problemas al finalizar la sesión o realizar tareas administrativas (si el usuario tiene privilegios de administración).
Gestión de usuarios internos y externos
Cuando el inicio de sesión integrado de Windows está habilitado, todos los usuarios se crean y mantienen en el servidor de Active Directory. (No tiene la opción de crear algunos usuarios en Marketing Platform, que se conocen como usuarios internos en esta guía). Si necesita poder crear usuarios internos, no habilite el inicio de sesión integrado de Windows.
Si prefiere no habilitar el inicio de sesión integrado de Windows, siga las instrucciones para la integración con un servidor LDAP. Consulte Lista de comprobación del proceso de configuración (integración LDAP) para obtener detalles.
Cuando la integración está configurada, puede añadir, modificar o suprimir las cuentas de usuario importadas en Marketing Platform. Debe realizar estas tareas de gestión en el lado de LDAP, y los cambios se importarán cuando se produzca la sincronización. Si modifica cuentas de usuario importados en Marketing Platform, es posible que los usuarios tengan problemas con la autenticación.
Las cuentas de usuario que se suprimen en el lado de LDAP no se suprimirán de Marketing Platform. Debe inhabilitar estas cuentas manualmente en Marketing Platform. Es más seguro inhabilitar estas cuentas de usuario suprimidas en lugar de suprimirlas, ya que los usuarios tienen privilegios de propiedad en Campaign y si se suprime una cuenta de usuario que es propietaria de una carpeta, los objetos de dicha carpeta dejarán de estar disponibles.
Importación de usuarios según grupos, atributos o el nombre distinguido base
Puede elegir uno de los tres tipos de filtrado para seleccionar las cuentas de usuario importadas desde el servidor LDAP en Marketing Platform.
Debe elegir entre importación basada en grupos, basada en atributos, o basada en el nombre distinguido; no se permiten varios métodos simultáneamente.
Importación basada en grupo
La Marketing Platform importa grupos y sus usuarios de la base de datos del servidor de directorios por medio de una tarea de sincronización periódica que automáticamente recupera información desde el servidor de directorios. Cuando Marketing Platform importa usuarios y grupos desde la base de datos del servidor, las pertenencias a los grupos se mantienen.
Puede asignar privilegios de IBM® EMM correlacionando un grupo de Active Directory con un grupo de IBM® EMM. Esta correlación permite que los nuevos usuarios añadidos al grupo de Active Directory correlacionado asuman los privilegios establecidos para el grupo correspondiente de IBM® EMM.
Un subgrupo en Marketing Platform no hereda las correlaciones de Active Directory o las pertenencias de usuario asignadas a sus padres.
Los detalles para la configuración de la importación basada en grupos se proporcionan en el resto de este capítulo.
Importación basada en atributos
Si no desea crear grupos en el servidor de Active Directory específicos para los productos de IBM® EMM, tiene la opción de controlar los usuarios que se importan mediante la especificación de atributos. Para conseguirlo, debe hacer lo siguiente durante el proceso de configuración.
1.
Determine la serie utilizada en el servidor de Active Directory para los atributos en los que desea aplicar el filtro.
2.
Establezca la propiedad Platform | Seguridad | Sincronización de LDAP | Nombre de atributo de referencia de usuario de LDAP en DN.
Esto indica a Marketing Platform que la sincronización no se basa en un grupo con referencias de miembros sino que se basa en una Unidad organizativa o en una Organización.
3.
Al configurar la propiedad Correlación de referencia de LDAP, establezca la parte del valor Filtro en el atributo en el que desea buscar. Para Filtro, utilice la serie determinada en el paso 1.
Cuando se utiliza la sincronización basada en atributos, la sincronización periódica siempre es una sincronización completa, en lugar de una sincronización parcial, que es la que se realiza para una sincronización basada en grupos. Para la sincronización basada en atributos, debe establecer la propiedad Intervalo de sincronización de LDAP en un valor alto, o establecerlo en 0 para desactivar la sincronización automática y cambiar a la sincronización completa manual cuando se añaden usuarios al directorio.
Siga las instrucciones que se proporcionan a continuación en este capítulo para configurar la integración, utilizando las instrucciones anteriores en los pasos donde establece las propiedades de configuración.
Importación basada en el nombre distinguido
Si tiene un gran número de usuarios, es posible que desee importar los usuarios en función del nombre distinguido base. Para conseguirlo, debe hacer lo siguiente durante el proceso de configuración de LDAP.
1.
Determine la cadena utilizada en el servidor de Active Directory para el nombre distinguido base.
2.
Establezca la propiedad Platform | Seguridad | Sincronización de LDAP | Búsqueda periódica DN base de LDAP habilitada en true.
Cuando esta propiedad está establecida en True,Marketing Platform realiza la búsqueda de sincronización de LDAP utilizando el nombre distinguido establecido en la propiedad DN base en la categoría IBM EMM | Platform | Seguridad | LDAP.
3.
Establezca la propiedad Platform | Seguridad | Sincronización de LDAP | Nombre de atributo de referencia de usuario de LDAP en DN.
Esto indica a Marketing Platform que la sincronización no se basa en un grupo con referencias de miembros sino que se basa en una Unidad organizativa o en una Organización.
4.
Cuando configure la propiedad Platform | Seguridad | Detalles del método de inicio de sesión | Sincronización LDAP | Correlación de referencia LDAP a grupo de IBM Marketing Platform | Correlación de referencia de LDAP, establezca la parte Filtro del valor en el atributo en el que desea buscar. Para Filtro, utilice la serie determinada en el paso 1.
Siga las instrucciones que se proporcionan a continuación en este capítulo para configurar la integración, utilizando las instrucciones anteriores en los pasos donde establece las propiedades de configuración.
Acerca de Active Directory y las particiones
En entornos con varias particiones, la pertenencia a una partición de un usuario se determina según el grupo al que pertenece el usuario, cuando ese grupo se asigna a una partición. Un usuario puede pertenecer sólo a una partición. Por lo tanto, si un usuario es miembro de más de un grupo de Active Directory, y estos grupos están correlacionados a los grupos de IBM® EMM que están asignados a diferentes particiones, el sistema debe escoger una partición individual para ese usuario.
Se recomienda evitar esta situación. Sin embargo, si esto ocurre, la partición del grupo IBM® EMM correlacionado más recientemente a un grupo de Active Directory será el grupo al que pertenecerá el usuario. Para determinar qué grupo de Active Directory se ha correlacionado más recientemente, consulte las correlaciones de grupos LDAP que se muestran en el área Configuración. Aparecen en orden cronológico; la última de la lista es la más reciente.
Sincronización
Cuando IBM® EMM se ha configurado para integrarse con el servidor de Windows Active Directory, los usuarios y los grupos se sincronizan automáticamente en intervalos predefinidos. Durante estas sincronizaciones automáticas, únicamente aquellos usuarios y grupos que se crearon o cambiaron desde la última sincronización se llevan a IBM® EMM. Puede forzar una sincronización para todos los usuarios y grupos al utilizar la función Synchronize (Sincronizar) en el área Users (Usuarios) de IBM® EMM.
También puede forzar una sincronización completa, tal como se describe en Sincronización forzada de usuarios externos.
Caracteres especiales en los nombres de inicio de sesión
Es posible que los usuarios de LDAP que tengan caracteres especiales en sus nombres de inicio de sesión tengan problemas con la autenticación. Consulte Referencia de la ventana Usuarios para ver una lista de los caracteres especiales permitidos. Para las cuentas de LDAP que tenga previsto importar en IBM® EMM, modifique los nombres de inicio de sesión que contengan caracteres especiales que no estén permitidos.
Copyright IBM Corporation 2014. All Rights Reserved.