Caso seja adotada a modalidade de nuvem, como será o processo de integração com o nosso Active Directory?
A integração com o Active Directory está disponível para configuração diretamente no painel de controle do VivaIntra, totalmente dinâmica. Basicamente você irá informar o endereço do servidor AD além dos dados inerentes a conexão com o mesmo como porta, etc.
Para que a nuvem do VivaIntra consiga se conectar à sua rede, será necessário que NOSSO IP FIXO uma liberação à sua rede (rede do cliente) mediante liberação do firewall. Poderá, por exemplo, ser adotada um direcionamento de uma porta específica para tal comunicação.
A integração com o AD permitirá ao VivaIntra a possibilidade de usá-la para fins de 1) autenticação (validação de usuário e senha) e 2) autenticação e sincronização de dados (buscano na base AD informações como nome, departamento, cargo, unidade, ramal, etc).
Qual IP eu preciso liberar no meu firewall para que a conexão do VivaIntra com meu servidor AD/LDAP seja estabelecida?
Para ambiente de homologação:
Se você estiver precisando testar o VivaIntra ainda em ambiente de homologação (na rede da Vivaweb) com a sua rede, aí precisará liberar o IP 187.95.124.79
Para ambiente de produção (nuvem/cloud):
Se você já possui um endereço de produção acessível e em funcionamento poderá utilizá-lo para consultar qual o IP origem das requisições à sua rede. Para isso, indicamos sempre o uso da ferramenta MXToolbox - DNS Lookup e você poderá fazer seguindo o tutorial abaixo:
Acesse a URL https://mxtoolbox.com/DNSLookup.aspx
No campo que irá aparecer, adicione o endereço de sua intranet exemplo: intranet.minhaempresa.com.br
Ao realizar a consulta, como resultado, irá aparecer uma coluna com um link para o Canonical Name que geralmente irá apontar para uma de nossas máquinas (cloud.vivaintra.com, cloud2.vivaintra.com, etc). Clique no link em Canonical Name.
Clicando no Canonical Name uma nova consulta irá apresentar o IP que deverá ser liberado pela rede interna para a consulta.
Configure este IP para o acesso ao seu servidor conforme regras de seu firewall para a porta configurada no servidor de AD/LDAP.
Para ambiente de produção In House:
Se você estiver instalando o VivaIntra dentro de sua rede, precisará apenas liberar a regra de firewall para a máquina em questão. Geralmente, dentro da rede não há tanta limitação quanto a conexão ao servidor AD/LDAP.
O teste com a configuração no painel de controle não retorna sucesso e já tentei configurar de várias maneiras o servidor AD/LDAP e ainda assim não obtive sucesso. Tenho certeza que as configurações estão corretas ou já testei todas as possibilidades. O que posso fazer?
Teoricamente, se estiver em um ambiente nuvem é fundamental que o servidor da aplicação tenha acesso liberado para realizar os testes no servidor AD/LDAP do cliente (localizado na rede interna do cliente). Muitas vezes, o firewall estará bloqueando.
É importante, no entanto, evidenciar se o problema está relacionado a conexão entre servidores ou a configuração de fato. Para isso, disponibilizamos um script PHP simples que o cliente pode baixar, alterar as variáveis de conexão e tentar executar de qualquer máquina dentro da rede.
Fazer o download e extrair o script
https://drive.google.com/open?id=12H8zUmJyAcJnjOwonwxGNui1nM9-PqS5Abrir o arquivo com qualquer editor de códigos que tiver instalado (notepad++, sublime, eclipse, etc)
Alterar as configurações disponibilizadas no início do script
Executar o script via linha de comando php (preferencialmente) ou através do apache caso haja servidor web instalado.
Analisar a resposta e enquanto a resposta for diferente do padrão apresentado abaixo deverá alterar configurações ou verificar as conexões de rede.
Estando esta saída anterior evidenciada, copiar o script com as devidas configurações e enviar para equipe Vivaweb.
Qual a diferença na integração AD entre a autenticação e a sincronização?
Quando você configura uma integração com seu servidor AD/LDAP você poderá optar por usá-lo apenas para autenticação dos usuários, ou seja, validação de usuário e senha bem como para a sincronização dos usuários.
Neste segundo caso, é fundamental que as colunas que você possua no seu servidor AD sejam minimamente válidas e configuradas com o VivaIntra. Por exemplo, o campo de Unidade precisa estar presente em seu AD com dados válidos pois ela é uma das colunas que serão sincronizadas automaticamente.
Na falta dos campos obrigatórios, a sincronização AD não funcionará pois é obrigatório que você forneça algumas informações em seu servidor AD e você pode conferir a lista completa destes campos usando a ferramenta de TESTAR CONFIGURAÇÃO no painel de controle que indicará o que foi encontrado e se está válido ou não.
Usuários que tenham sido sincronizados via integração AD serão automaticamente criados ou inativados em virtude do resultado desta consulta à sua base que obrigatoriamente é feita em todo login e diariamente.
A funcionalidade de SSO tem relação com Integração AD? Como funciona?
A integração SSO é baseada em uma implementação interna que deve ser realizada em seus servidores dentro da rede da própria empresa.
Alterei uma informação de um usuário (ou de uma unidade) e no dia seguinte voltou tudo como era no dia anterior, por quê?
Se há integração com AD e sincronização, os campos que estão vinculados a este processo serão automaticamente atualizados diariamente para todos ou a cada login do usuário em questão.
Alguns usuários cadastrados mesmo estando com todas as informações corretas, não conseguem se logar no AD?
Se o problema envolve apenas alguns usuários, e não TODOS, verifique se um dos cenários abaixo atende:
Se o usuário já teve acesso ao VivaIntra anteriormente por meio dos dados e senha do AD: o problema pode estar relacionado ao cadastro dele no AD. Verificar, por exemplo, se a data de expiração da senha dele já não venceu ou se no cadastro dele está sendo solicitado o cadastramento de uma nova senha.
Se o usuário nunca acessou o VivaIntra ainda com os dados do AD: confirmar se a coluna coExterno1 está devidamente preenchida com o username (samaccount) do usuário cadastrado no AD.
Uma alternativa também para auxiliar no entendimento do problema será obter os dados de acesso de um destes usuários, acessar o módulo de Integração > Active Directory e clicar em Testar digitando o usuário e a senha. Neste ambiente, diferentemente da tela de login, a falha é apontada em tela.
Configurei o AD mas recebo a mensagem de usuário ou senha inválida mesmo assim ou isto começou a acontecer agora. O que fazer?
Se o problema for específico, apenas um determinado usuário, é importante confirmar se os dados de autenticação dele estão em conformidade e se ele faz acesso através destes dados à rede normalmente. Existem casos, por exemplo, de vencimento de senha, de necessidade de alteração de senha e assim sendo a intranet não tem esta camada sendo necessário verificar no computador conectado à rede primeira. Se tudo estiver em conformidade e o problema persistir em usuários específicos é bom ficar atento às informações obrigatórias dele como Nome, Email, Unidade, Departamento e Cargo pois a falta desta informação pode impedir que novos usuários realizem seu primeiro acesso.
Se o problema persistir é importante entrar em contato com nossa equipe de suporte informando um usuário e senha para teste e verificação.
Se a autenticação por meio do AD que por ventura funcionava até momentos antes e de repente deixou de funcionar é importante também colocar em contato com nossa equipe de suporte a equipe do cliente responsável pelo AD e pela rede pois em certos casos algumas manutenções na rede ou no firewall do cliente impactam diretamente em nosso acesso.
Como faço a sincronização de AD com as colunas obrigatórias?
Para que o AD realize a integração de sincronização de forma mínima é preciso que os campos obrigatórios estejam vinculados. Estes campos são:
email
unidade
departamento
cargo
Você pode usar os campos que estão disponíveis no AD para isso:
Na aba Geral, use a coluna:
Nome para Exibição (displayname) para o nome completo.
Email (mail) para o email.
Na aba Organização, use a coluna:
Cargo (title) para o cargo
Departamento (department) para o cargo
Empresa (company) para a unidade
Existem colunas que possuem no cadastro do VivaIntra que eu não consigo encontrar no AD, como fazer?
A grande parte dos clientes usam as colunas já existentes para atender às informações necessárias ainda que o nome do campo não seja exatamente o desejado. Isso evita o trabalho de ser preciso criar um dicionário para novos campos do Active Directory o que é uma tarefa complexa e demanda mão de obra capacitada em Servidores Windows com Active Directory.
Exemplos de utilização:
Telefones > Pager => Ramal
Telefones > Residência => Data de Nascimento
Telefones > Fax => Data de Admissão
Desta maneira, qualquer coluna pode servir à sua necessidade. Basta documentar e garantir que não esteja comprometendo nenhuma outra informação já cadastrada.
Como posso aumentar a segurança dos dados durante o fluxo de informações, com criptografia?
Para um nível de segurança mais elevado, a criptografia dos dados pode ser ativada habilitando em seu AD uma porta específica para esta comunicação, também o protocolo TLS bem como SSL:
Será necessário informar a porta configurada em seu AD no vivaintra conforme imagem ilustrativa acima.
Artigos Relacionados