Características de la integración LDAP
La integración de IBM® EMM con LDAP ofrece las características que se describen en esta sección.
Autenticación con integración LDAP
Las aplicaciones de IBM® EMM consultan la Marketing Platform para obtener información sobre la autorización del usuario. Cuando se implementa la integración LDAP, los usuarios escriben su nombre de usuario y contraseña válidos para LDAP para obtener la autenticación con las aplicaciones de IBM® EMM.
Solo se permiten tres caracteres especiales en los nombres de inicio de sesión: punto (.), subrayado (_) y guión (-). Si el nombre del inicio de sesión de un usuario que tiene previsto importar en Marketing Platform desde el servidor, contiene otros caracteres especiales (incluidos espacios), debe modificar el nombre de inicio de sesión de forma que el usuario no se encuentre problemas al finalizar la sesión o realizar tareas administrativas (si el usuario tiene privilegios de administración).
Gestión de usuarios internos y externos
Cuando la integración está configurada, puede añadir, modificar o suprimir las cuentas de usuario importadas en Marketing Platform. Debe realizar estas tareas de gestión en el lado de LDAP, y los cambios se importarán cuando se produzca la sincronización. Si modifica cuentas de usuario importados en Marketing Platform, es posible que los usuarios tengan problemas con la autenticación.
Las cuentas de usuario que se suprimen en el lado de LDAP no se suprimirán de Marketing Platform. Debe inhabilitar estas cuentas manualmente en Marketing Platform. Es más seguro inhabilitar estas cuentas de usuario suprimidas en lugar de suprimirlas, ya que los usuarios tienen privilegios de propiedad en Campaign y si se suprime una cuenta de usuario que es propietaria de una carpeta, los objetos de dicha carpeta dejarán de estar disponibles.
Importación de usuarios según grupos, atributos o el nombre distinguido base
Puede elegir uno de los tres tipos de filtrado para seleccionar las cuentas de usuario importadas desde el servidor LDAP en Marketing Platform.
Debe elegir entre importación basada en grupos, basada en atributos, o basada en el nombre distinguido; no se permiten varios métodos simultáneamente.
Importación basada en grupo
La Marketing Platform importa grupos y sus usuarios de la base de datos del servidor de directorios por medio de una tarea de sincronización periódica que automáticamente recupera información desde el servidor de directorios. Cuando Marketing Platform importa usuarios y grupos desde la base de datos del servidor, las pertenencias a los grupos se mantienen.
*
Los grupos LDAP deben tener un nombre exclusivo incluso si los grupos están configurados para particiones individuales.
Puede asignar privilegios de IBM® EMM correlacionando un grupo LDAP con un grupo de IBM® EMM. Esta correlación permite que los nuevos usuarios añadidos al grupo LDAP correlacionado asuman los privilegios establecidos para el grupo correspondiente de IBM® EMM.
Un subgrupo de Marketing Platform no hereda las correlaciones de LDAP o las pertenencias de usuario asignadas a sus padres.
Los detalles para la configuración de la importación basada en grupos se proporcionan en el resto de este capítulo.
Importación basada en atributos
Si no desea crear grupos en el servidor LDAP específicos para los productos de IBM® EMM, tiene la opción de controlar los usuarios que se importan especificando atributos. Para conseguirlo, debe hacer lo siguiente durante el proceso de configuración de LDAP.
1.
Determine la cadena utilizada en el servidor LDAP para los atributos en los que desea aplicar el filtro.
2.
Establezca la propiedad Platform | Seguridad | Sincronización de LDAP | Nombre de atributo de referencia de usuario de LDAP en DN.
Esto indica a Marketing Platform que la sincronización no se basa en un grupo con referencias de miembros sino que se basa en una Unidad organizativa o en una Organización.
3.
Al configurar la propiedad Correlación de referencia de LDAP, establezca la parte del valor Filtro en el atributo en el que desea buscar. Para Filtro, utilice la serie determinada en el paso 1.
Cuando se utiliza la sincronización basada en atributos, la sincronización periódica siempre es una sincronización completa, en lugar de una sincronización parcial, que es la que se realiza para una sincronización basada en grupos. Para la sincronización basada en atributos, debe establecer la propiedad Intervalo de sincronización de LDAP en un valor alto, o establecerlo en 0 para desactivar la sincronización automática y cambiar a la sincronización completa manual cuando se añaden usuarios al directorio.
Importación basada en el nombre distinguido
Si tiene un gran número de usuarios, es posible que desee importar los usuarios en función del nombre distinguido base. Para conseguirlo, debe hacer lo siguiente durante el proceso de configuración de LDAP.
1.
Determine la cadena utilizada en el servidor LDAP para el nombre distinguido base.
2.
Establezca la propiedad Platform | Seguridad | | Sincronización de LDAP | Búsqueda periódica DN base de LDAP habilitada en true.
Cuando esta propiedad está establecida en True,Marketing Platform realiza la búsqueda de sincronización de LDAP utilizando el nombre distinguido establecido en la propiedad DN base en la categoría IBM EMM | Platform | Seguridad | LDAP.
3.
Establezca la propiedad Platform | Seguridad | Sincronización de LDAP | Nombre de atributo de referencia de usuario de LDAP en DN.
Esto indica a Marketing Platform que la sincronización no se basa en un grupo con referencias de miembros sino que se basa en una Unidad organizativa o en una Organización.
4.
Cuando configure la propiedad Platform | Seguridad | Sincronización de LDAP | Correlación de referencia de LDAP a grupo de IBM Marketing Platform | Correlación de referencia de LDAP, establezca la parte Filtro del valor en el atributo en el que desea buscar. Para Filtro, utilice la serie determinada en el paso 1.
Acerca de LDAP y las particiones
En entornos con varias particiones, la pertenencia a una partición de un usuario se determina según el grupo al que pertenece el usuario, cuando ese grupo se asigna a una partición. Un usuario puede pertenecer sólo a una partición. Por lo tanto, si un usuario es miembro de más de un grupo LDAP, y estos grupos están correlacionados a los grupos de IBM® EMM que están asignados a diferentes particiones, el sistema debe escoger una partición individual para ese usuario.
Se recomienda evitar esta situación. Sin embargo, si esto ocurre, la partición del grupo IBM® EMM correlacionado más recientemente a un grupo LDAP será el grupo al que pertenecerá el usuario. Para determinar qué grupo LDAP fue correlacionado más recientemente, consulte las correlaciones de grupos LDAP que se muestran en el área Configuración. Aparecen en orden cronológico; la última de la lista es la más reciente.
Soporte para usuarios internos y externos
IBM® EMM da soporte a dos tipos de cuentas de usuario y grupos.
*
Internas: las cuentas de usuario y los grupos que se crean dentro de IBM® EMM con la interfaz de usuario de seguridad de IBM® EMM. Estos usuarios se autentican a través de Marketing Platform.
*
Externas: las cuentas de usuario y los grupos que se importan en IBM® EMM a través de la sincronización con un servidor LDAP compatible. Esta sincronización ocurre únicamente si IBM® EMM se ha configurado para integrarse con el servidor LDAP. Estos usuarios son autenticados por el servidor LDAP.
Es posible que desee tener ambos tipos de usuarios y grupos si, por ejemplo, desea proporcionar a sus clientes acceso a las aplicaciones de IBM® EMM sin añadirlos al servidor LDAP como usuarios corporativos completos.
E luso de este modelo de autenticación híbrido necesita más mantenimiento que un modelo de autenticación LDAP puro.
Sincronización
Cuando IBM® EMM se ha configurado para integrarse con el servidor LDAP, los usuarios y los grupos se sincronizan automáticamente en intervalos predefinidos.
Durante estas sincronizaciones automáticas, únicamente aquellos usuarios y grupos que se crearon o cambiaron desde la última sincronización se llevan a IBM® EMM. Puede forzar una sincronización para todos los usuarios y grupos al utilizar la función Synchronize (Sincronizar) en el área Users (Usuarios) de IBM® EMM.
También puede forzar una sincronización completa, tal como se describe en Sincronización forzada de usuarios externos.
Caracteres especiales en los nombres de inicio de sesión
Es posible que los usuarios de LDAP que tengan caracteres especiales en sus nombres de inicio de sesión tengan problemas con la autenticación. Consulte Referencia de la ventana Usuarios para ver una lista de los caracteres especiales permitidos. Para las cuentas de LDAP que tenga previsto importar en IBM® EMM, modifique los nombres de inicio de sesión que contengan caracteres especiales que no estén permitidos.
Copyright IBM Corporation 2014. All Rights Reserved.