Configurar ClearID LDAP Synchronization Agent

2023-07-26Última actualización

Antes de poder sincronizar un Active Directory (AD, por sus siglas en inglés) con Genetec ClearID™, primero debe configurar Genetec ClearID™ LDAP Synchronization Agent.

Antes de empezar

  • Descargar una clave de autenticación de servicio.
  • Instale el ClearID LDAP Synchronization Agent en su propio servidor dedicado. No requiere un servidor de Security Center.
    NOTA: El ClearID LDAP Synchronization Agent generalmente no está disponible como descarga pública. La descarga del sincronizador la proporciona su contacto de implementación cuando sea necesario.
  • Número de pieza: Se requiere CD-IDSYNC-SERVICE-1Y para la importación de LDAP.

Lo que debería saber

Este procedimiento es para el personal de TI o de seguridad responsable de la administración del Active Directory (AD).
La sincronización de los atributos LDAP con los atributos de identidad de ClearID es solo ENTRANTE.
PRECAUCIÓN: Cualquier cambio realizado únicamente en las identidades en ClearID se puede sobrescribir en la siguiente sincronización desde Active Directory.

Procedimiento

  1. Abra el ClearID LDAP Synchronization Agent (Genetec.ClearID.LdapSyncAgentConfiguration.exe) y configure sus ajustes.
    ClearID LDAP Synchronization Agent que muestra los ajustes de configuración.
  2. En la sección de Configuración del directorio de usuarios, introduzca los detalles de su directorio de usuarios:
    La sección de Configuración del directorio de usuarios se usa para conectarse al directorio LDAP que contiene los atributos del usuario.
    Ruta de búsqueda de LDAP
    Ingrese su unidad organizativa. Por ejemplo, OU = Genetec. Esta ruta de búsqueda especifica la ubicación, carpeta raíz o grupo que contiene los atributos de usuario de Active Directory.
    NOTA: Se requiere el nombre distinguido del grupo AD para el campo de ruta de búsqueda LDAP.
    Intervalo de actualización (min.)
    Ingrese un intervalo de actualización en minutos. Por ejemplo, 60 para sincronizar atributos cada hora.
    NOTA: Según el tamaño de su organización y la cantidad de atributos, podrían ser más apropiadas sincronizaciones de 12 h. o 24 h. (720 o 1440 minutos)
  3. En la sección de Configuración de conexión, configure los ajustes de conexión del host:
    La sección de Configuración de conexión se usa para conectarse al servidor donde se almacena la configuración del Directorio de Usuarios.
    Anfitrión
    Ingrese la dirección de su Active Directory. Por ejemplo, Genetec.com.
    Puerto
    Ingrese el puerto predeterminado para su Active Directory. Por ejemplo, 389.
    Tipo de autenticación de LDAP
    Seleccione un tipo de autenticación entre los siguientes:
    Credenciales predeterminadas de Windows
    Para una aplicación del lado del cliente, esta opción usa las credenciales de Windows (nombre de usuario y contraseña) del usuario que ejecuta la aplicación.
    Enlace simple
    Con la opción de Enlace simple, las credenciales (nombre de usuario y contraseña) utilizadas para vincular el cliente LDAP al servidor LDAP se pasan por la red sin encriptar.
    PRECAUCIÓN: No se recomienda el tipo de autenticación de enlace simple en servidores LDAP de producción.
    Enlace simple sobre SSL
    MEJOR PRÁCTICA: Con la opción de Enlace simple sobre SSL, las credenciales (nombre de usuario y contraseña) utilizadas para vincular el cliente LDAP al servidor LDAP se pasan por la red encriptadas.
    Nombre de usuario
    Si se seleccionó Enlace simple o Enlace simple sobre SSL, introduzca el nombre de usuario proporcionado por su organización.
    Contraseña
    Si se seleccionó Enlace simple o Enlace simple sobre SSL, haga clic en Configurar contraseña, introduzca una contraseña y luego haga clic en Aceptar.
    NOTA: Use las mejores prácticas de la industria para crear contraseñas seguras. Todas las contraseñas almacenadas en el archivo de configuración están encriptadas.
  4. (Opcional) En la sección de Configuración de red, configure los ajustes del proxy web:
    La sección de Configuración de red se usa para configurar los ajustes del proxy.
    Usar Proxy Web
    Selecciona la casilla de verificación Usar proxy web para especificar que se requiere un servidor proxy para tener acceso a Internet.

    Esta opción suele ser utilizada por clientes detrás de un firewall o donde el acceso a la red de Internet está restringido.

    Un servidor proxy es un servidor que verifica y reenvía las solicitudes de clientes entrantes a otros servidores para brindar mayor comunicación. Por ejemplo, cuando un cliente no puede reunir los requisitos de autenticación de seguridad del servidor, pero se le debería permitir el acceso a algunos servicios.

    URL de proxy
    Si la opción Usar Proxy Web está habilitada, introduzca la URL del proxy suministrada por su organización.

    Por ejemplo, https://proxy:8080/outgoing. Por lo general, esta información la brinda el equipo de administración de redes.

    Autenticación de Proxy
    La autenticación de proxy es el proceso de validar las credenciales de un usuario para tener acceso a un servidor proxy. En general, esta autenticación incluye un nombre de usuario y también puede incluir una contraseña.

    Haga clic para seleccionar Credenciales Predeterminadas o Credenciales Específicas:

    Credenciales Predeterminadas
    Especifica que no se requiere la autenticación de proxy.
    Credenciales Específicas
    Especifica que se requiere la autenticación de proxy.
    Nombre de Usuario del Proxy
    Si la opción de autenticación de proxy Specific Credentials está activada, introduzca el nombre de usuario del proxy suministrado por su organización.
    Contraseña de Proxy
    Haga clic en Establecer contraseña e ingrese una contraseña, luego haga clic en Aceptar.
    NOTA: Use las mejores prácticas de la industria para crear contraseñas seguras.
    Dominio Proxy
    Introduzca el nombre de dominio proporcionado por su organización.
    Estado de la conexión de proxy
    Los íconos de estado indican una conexión proxy válida () o no válida (). El estado solo se muestra después de hacer clic en el botón Verificar.
    Verificar
    Haga clic en Verificar para probar que la configuración de conexión para su servidor proxy es válida.
  5. En la sección de Configuración de ClearID, configure los ajustes:
    La sección de Configuración de ClearID se usa para conectarse a los servicios de ClearID y sincronizar datos.
    Clave de autenticación del servicio ClearID
    Haga clic en más () para navegar y seleccionar la clave de autenticación para su integración de API. Esta clave se utiliza para autenticar las comunicaciones del agente de sincronización al realizar solicitudes a su cuenta ClearID.
    • Indica que el agente de sincronización no está conectado a ClearID y se necesita una clave privada.
    • Indica que el agente de sincronización está conectado a ClearID y se ha proporcionado la clave privada.
    La siguiente configuración de la URL de la API se completa de manera automática después de seleccionar la clave de autenticación del servicio ClearID:
    URL de la API de Token (solo lectura)
    El servicio de Token proporciona el token de autenticación para contactar con el servicio de identidad y principal.
    URL de la API de Identidad (solo lectura)
    El servicio de Identidad se utiliza para tener acceso a toda la información de identidad de ClearID.
    URL de API principal (solo lectura)
    El servicio Principal se utiliza para dar acceso al portal web a los usuarios.
    País predeterminado (ISO 3166 3 letras)
    Ingrese su código de país de tres letras. Por ejemplo, los EE.UU o CAN.
    NOTA: Los códigos de país de tres letras se basan en los códigos Alpha-3 de la norma de códigos de país ISO 3166-1.
    Principal tiene acceso al portal
    Seleccione la casilla de verificación para habilitar el acceso al portal web ClearID para usuarios sincronizados.
  6. (Opcional) En la sección de Configuración avanzada, deje estos campos en blanco.
    La sección de Configuración avanzada se usa para personalizar el comportamiento del agente de sincronización.
    Crear identidades inactivas
    Seleccione la casilla de verificación para crear identidades ClearID inactivas para cualquier usuario inactivo encontrado en Active Directory durante la sincronización.
    MEJOR PRÁCTICA: Esta casilla de verificación normalmente está desactivada para evitar la creación de usuarios inactivos.
    Filtros de consulta de usuarios
    (Opcional) Ingrese filtros de consulta de usuario personalizados según lo especificado por su contacto de implementación.
    IMPORTANTE: Utilice esta opción únicamente cuando su contacto de implementación se lo indique.
  7. Haga clic en Guardar.
    Agente de sincronización LDAP ClearID que muestra los ajustes de configuración completos.
    El archivo de configuración del Synchronization Agent se guarda en C:\ProgramData\Genetec ClearID LDAP Synchronizer\config.json
    SUGERENCIA: Puede eliminar este archivo si desea eliminar todos los ajustes y volver a configurar el agente de sincronización.
  8. Abra el Administrador de Tareas de Windows y haga clic derecho en el servicio de Windows del LDAP Synchronizer de Genetec ClearID (Genetec.ClearID.LdapSyncAgent.Service.exe).
    Pestaña Servicios en el Administrador de tareas de Windows con el Servicio Genetec ClearID LDAP Synchronizer resaltado.
    1. Si es la primera vez que configura el agente, haga clic en Comenzar para iniciar su servicio para que sus ajustes de configuración estén activados.
    2. Si el agente ya se está ejecutando, haga clic en Reiniciar para reiniciar su servicio y activar los cambios de configuración.
Su ClearID Synchronization Agent ahora está configurado para sincronizar los atributos LDAP del Active Directory de manera automática con los atributos de identidad de ClearID.

Después de que concluya

  1. Consulte el portal web de ClearID para verificar que las nuevas identidades para los usuarios de Active Directory se hayan sincronizado y contengan los atributos correctos.
  2. (Opcional) Puede hacer clic en Abrir la carpeta de Registro de Servicio para visualizar los archivos de registro ErrorLog.txt o Eventlog.txt.
    NOTA: La información que contiene la carpeta de Registro de Servicio se usa, por lo general, cuando eleva una llamada de soporte técnico, o si su contacto de implementación le aconseja enviar Registros de servicio a Genetec Inc.