Integração - Active Directory AD/LDAP

Modificado em Ter, 13 Set, 2022 na (o) 9:44 AM

Caso seja adotada a modalidade de nuvem, como será o processo de integração com o nosso Active Directory?

A integração com o Active Directory está disponível para configuração diretamente no painel de controle do VivaIntra, totalmente dinâmica. Basicamente você irá informar o endereço do servidor AD além dos dados inerentes a conexão com o mesmo como porta, etc.

Para que a nuvem do VivaIntra consiga se conectar à sua rede, será necessário que NOSSO IP FIXO uma liberação à sua rede (rede do cliente) mediante liberação do firewall. Poderá, por exemplo, ser adotada um direcionamento de uma porta específica para tal comunicação.

A integração com o AD permitirá ao VivaIntra a possibilidade de usá-la para fins de 1) autenticação (validação de usuário e senha) e 2) autenticação e sincronização de dados (buscano na base AD informações como nome, departamento, cargo, unidade, ramal, etc).

Qual IP eu preciso liberar no meu firewall para que a conexão do VivaIntra com meu servidor AD/LDAP seja estabelecida?

Para ambiente de homologação:

Se você estiver precisando testar o VivaIntra ainda em ambiente de homologação (na rede da Vivaweb) com a sua rede, aí precisará liberar o IP  187.95.124.79

Para ambiente de produção (nuvem/cloud):

Se você já possui um endereço de produção acessível e em funcionamento poderá utilizá-lo para consultar qual o IP origem das requisições à sua rede. Para isso, indicamos sempre o uso da ferramenta MXToolbox - DNS Lookup e você poderá fazer seguindo o tutorial abaixo:

  1. Acesse a URL https://mxtoolbox.com/DNSLookup.aspx

  2. No campo que irá aparecer, adicione o endereço de sua intranet exemplo: intranet.minhaempresa.com.br

  3. Ao realizar a consulta, como resultado, irá aparecer uma coluna com um link para o Canonical Name que geralmente irá apontar para uma de nossas máquinas (cloud.vivaintra.com, cloud2.vivaintra.com, etc). Clique no link em Canonical Name.

  4. Clicando no Canonical Name uma nova consulta irá apresentar o IP que deverá ser liberado pela rede interna para a consulta.

  5. Configure este IP para o acesso ao seu servidor conforme regras de seu firewall para a porta configurada no servidor de AD/LDAP.

Para ambiente de produção In House:

Se você estiver instalando o VivaIntra dentro de sua rede, precisará apenas liberar a regra de firewall para a máquina em questão. Geralmente, dentro da rede não há tanta limitação quanto a conexão ao servidor AD/LDAP.


O teste com a configuração no painel de controle não retorna sucesso e já tentei configurar de várias maneiras o servidor AD/LDAP e ainda assim não obtive sucesso. Tenho certeza que as configurações estão corretas ou já testei todas as possibilidades. O que posso fazer?

Teoricamente, se estiver em um ambiente nuvem é fundamental que o servidor da aplicação tenha acesso liberado para realizar os testes no servidor AD/LDAP do cliente (localizado na rede interna do cliente). Muitas vezes, o firewall estará bloqueando.

É importante, no entanto, evidenciar se o problema está relacionado a conexão entre servidores ou a configuração de fato. Para isso, disponibilizamos um script PHP simples que o cliente pode baixar, alterar as variáveis de conexão e tentar executar de qualquer máquina dentro da rede.

  1. Fazer o download e extrair o script
    https://drive.google.com/open?id=12H8zUmJyAcJnjOwonwxGNui1nM9-PqS5

  2. Abrir o arquivo com qualquer editor de códigos que tiver instalado (notepad++, sublime, eclipse, etc)

  3. Alterar as configurações disponibilizadas no início do script

ldap_host

ip da máquina ou nome da máquina

ldap_port

porta do servidor (padrão 389)

ldap_dn

base DN de consulta do AD/LDAP

ldap_cn

username simples do usuário (samaccountname)

ldap_password

senha do usuário configurado para testes de login


  1. Executar o script via linha de comando php (preferencialmente) ou através do apache caso haja servidor web instalado.

VERIFICAR SE PHP ESTÁ INSTALADO NA LINHA DE COMANDO

php -v

EXECUTAR SCRIPT

php test_ldap.php


  1. Analisar a resposta e enquanto a resposta for diferente do padrão apresentado abaixo deverá alterar configurações ou verificar as conexões de rede.

SAÍDA ESPERADA EN TELA APÓS EXECUÇÃO

vivaweb@vivaintra:~$ php test_ldap.php

1: eduardo (eduardo@company.com)

2: contato (contato@company.com)

3: user3 (user3@company.com)

4: user4

5: user5

6: user6

7: projetos (projetos@company.com)


FORAM ENCONTRADOS 7 REGISTROS


  1. Estando esta saída anterior evidenciada, copiar o script com as devidas configurações e enviar para equipe Vivaweb.

Qual a diferença na integração AD entre a autenticação e a sincronização?

Quando você configura uma integração com seu servidor AD/LDAP você poderá optar por usá-lo apenas para autenticação dos usuários, ou seja, validação de usuário e senha bem como para a sincronização dos usuários.

Neste segundo caso, é fundamental que as colunas que você possua no seu servidor AD sejam minimamente válidas e configuradas com o VivaIntra. Por exemplo, o campo de Unidade precisa estar presente em seu AD com dados válidos pois ela é uma das colunas que serão sincronizadas automaticamente. 

Na falta dos campos obrigatórios, a sincronização AD não funcionará pois é obrigatório que você forneça algumas informações em seu servidor AD e você pode conferir a lista completa destes campos usando a ferramenta de TESTAR CONFIGURAÇÃO no painel de controle que indicará o que foi encontrado e se está válido ou não.

Usuários que tenham sido sincronizados via integração AD serão automaticamente criados ou inativados em virtude do resultado desta consulta à sua base que obrigatoriamente é feita em todo login e diariamente.

A funcionalidade de SSO tem relação com Integração AD? Como funciona?

A integração SSO é baseada em uma implementação interna que deve ser realizada em seus servidores dentro da rede da própria empresa.

Alterei uma informação de um usuário (ou de uma unidade) e no dia seguinte voltou tudo como era no dia anterior, por quê?

Se há integração com AD e sincronização, os campos que estão vinculados a este processo serão automaticamente atualizados diariamente para todos ou a cada login do usuário em questão.

Alguns usuários cadastrados mesmo estando com todas as informações corretas, não conseguem se logar no AD?

Se o problema envolve apenas alguns usuários, e não TODOS, verifique se um dos cenários abaixo atende:

  • Se o usuário já teve acesso ao VivaIntra anteriormente por meio dos dados e senha do AD: o problema pode estar relacionado ao cadastro dele no AD. Verificar, por exemplo, se a data de expiração da senha dele já não venceu ou se no cadastro dele está sendo solicitado o cadastramento de uma nova senha.

  • Se o usuário nunca acessou o VivaIntra ainda com os dados do AD: confirmar se a coluna coExterno1 está devidamente preenchida com o username (samaccount) do usuário cadastrado no AD.

Uma alternativa também para auxiliar no entendimento do problema será obter os dados de acesso de um destes usuários, acessar o módulo de Integração > Active Directory e clicar em Testar digitando o usuário e a senha. Neste ambiente, diferentemente da tela de login, a falha é apontada em tela.

Configurei o AD mas recebo a mensagem de usuário ou senha inválida mesmo assim ou isto começou a acontecer agora. O que fazer?

Se o problema for específico, apenas um determinado usuário, é importante confirmar se os dados de autenticação dele estão em conformidade e se ele faz acesso através destes dados à rede normalmente. Existem casos, por exemplo, de vencimento de senha, de necessidade de alteração de senha e assim sendo a intranet não tem esta camada sendo necessário verificar no computador conectado à rede primeira. Se tudo estiver em conformidade e o problema persistir em usuários específicos é bom ficar atento às informações obrigatórias dele como Nome, Email, Unidade, Departamento e Cargo pois a falta desta informação pode impedir que novos usuários realizem seu primeiro acesso.

Se o problema persistir é importante entrar em contato com nossa equipe de suporte informando um usuário e senha para teste e verificação.

Se a autenticação por meio do AD que por ventura funcionava até momentos antes e de repente deixou de funcionar é importante também colocar em contato com nossa equipe de suporte a equipe do cliente responsável pelo AD e pela rede pois em certos casos algumas manutenções na rede ou no firewall do cliente impactam diretamente em nosso acesso.

Como faço a sincronização de AD com as colunas obrigatórias?

Para que o AD realize a integração de sincronização de forma mínima é preciso que os campos obrigatórios estejam vinculados. Estes campos são:

  • email

  • unidade

  • departamento

  • cargo

Você pode usar os campos que estão disponíveis no AD para isso:

Na aba Geral, use a coluna:

  • Nome para Exibição (displayname) para o nome completo.

  • Email (mail) para o email.

Na aba Organização, use a coluna:

  • Cargo (title) para o cargo

  • Departamento (department) para o cargo

  • Empresa (company) para a unidade

Existem colunas que possuem no cadastro do VivaIntra que eu não consigo encontrar no AD, como fazer?

A grande parte dos clientes usam as colunas já existentes para atender às informações necessárias ainda que o nome do campo não seja exatamente o desejado. Isso evita o trabalho de ser preciso criar um dicionário para novos campos do Active Directory o que é uma tarefa complexa e demanda mão de obra capacitada em Servidores Windows com Active Directory.

Exemplos de utilização:

  • Telefones > Pager => Ramal

  • Telefones > Residência => Data de Nascimento

  • Telefones > Fax => Data de Admissão

Desta maneira, qualquer coluna pode servir à sua necessidade. Basta documentar e garantir que não esteja comprometendo nenhuma outra informação já cadastrada.


Como posso aumentar a segurança dos dados durante o fluxo de informações, com criptografia?

Para um nível de segurança mais elevado, a criptografia dos dados pode ser ativada habilitando em seu AD uma porta específica para esta comunicação, também o protocolo TLS bem como SSL:

Será necessário informar a porta configurada em seu AD no vivaintra conforme imagem ilustrativa acima. 


Artigos Relacionados


Como configurar a AUTENTICAÇÃO de usuários por AD? 


Configurando SSO na Vivaintra


Este artigo foi útil?

Que bom!

Obrigado pelo seu feedback

Desculpe! Não conseguimos ajudar você

Obrigado pelo seu feedback

Deixe-nos saber como podemos melhorar este artigo!

Selecione pelo menos um dos motivos
A verificação do CAPTCHA é obrigatória.

Feedback enviado

Agradecemos seu esforço e tentaremos corrigir o artigo