Sincronizar Usuarios desde Active Directory o LDAP

Para sincronizar usuarios desde Active Directory o una base de datos de Lightweight Directory Access Protocol (LDAP), debes añadir una identidad externa de LDAP y crear una o más consultas.

En AuthPoint, las identidades externas de LDAP representan bases de datos de usuarios externas. Se conectan a las bases de datos de los usuarios para obtener información de las cuentas de usuarios y validar las contraseñas. Las consultas que añades a una identidad externa especifican qué usuarios se deben sincronizar desde tu base de datos de LDAP o Active Directory. Extraen información del usuario de la base de datos y crean cuentas de usuarios de AuthPoint para los usuarios.

Hay dos formas de consultar los usuarios:

• Sincronización de Grupo — Selecciona los grupos LDAP desde los que deseas sincronizar usuarios y AuthPoint creará la consulta por ti.
• Consultas Avanzadas — Crea tus propias consultas LDAP para especificar qué grupos o usuarios se deben sincronizar.

Cuando configuras una sincronización de grupo para sincronizar usuarios desde Active Directory, puedes habilitar el botón de alternancia Crear nuevos grupos sincronizados a fin de crear nuevos grupos en AuthPoint basados en los grupos de Active Directory desde los que sincronizas los usuarios.

La opción para crear nuevos grupos sincronizados solo está disponible cuando creas una sincronización de grupo. No puedes usar esta funcionalidad con consultas avanzadas.

Antes de comenzar, recomendamos que te familiarices con algunos objetos LDAP comunes:

Debes enlazar las identidades externas de LDAP a una Gateway, y la AuthPoint Gateway debe estar instalada en tu red corporativa en una ubicación que tenga acceso a Internet y que pueda conectarse a tu servidor LDAP. La Gateway permite la comunicación entre WatchGuard Cloud y tu base de datos de LDAP o Active Directory.

Para una alta disponibilidad, recomendamos que configures lo siguiente:

• Una identidad externa con una dirección redundante.
• Una Gateway primaria y hasta cinco Gateways secundarias (consulta Acerca de las Gateways).

No configures varias identidades externas para el mismo dominio.

Para borrar un usuario de LDAP en AuthPoint, la práctica recomendada es eliminar al usuario de su grupo AD o LDAP para darle el estado En Cuarentena en AuthPoint y, a continuación, borrar el usuario en AuthPoint. Para obtener más información, consulta Usuarios En Cuarentena.

Añadir una Identidad Externa

1. Selecciona Identidades Externas.
2. En la lista desplegable Elegir un Tipo de Identidad Externa, selecciona LDAP. Haz clic en Añadir Identidad Externa.

3. En el cuadro de texto Nombre, escribe un nombre descriptivo para la identidad externa.
4. En el cuadro de texto Base de Búsqueda de LDAP, escribe tu base de datos de LDAP. En este ejemplo, el dominio es example.com, por lo que escribimos dc=example,dc=com. ¡Consejo! El formato estándar para el ajuste de la base de búsqueda es: ou=<nombre de la unidad organizativa>,dc=<primera parte del nombre distintivo del servidor>,dc=<cualquier parte del nombre distintivo del servidor que aparezca después del punto>.

   Para obtener más información acerca de la sintaxis de LDAP y de cómo usar una base de búsqueda para limitar los directorios del servidor de autenticación en los que la identidad externa puede buscar usuarios, consulta .

5. En los cuadros de texto Cuenta del Sistema y Passphrase, escribe las credenciales de un usuario que tenga permisos para realizar búsquedas y vinculaciones de LDAP. Si este usuario no está en la carpeta Usuarios predeterminada, selecciona el botón de alternancia y escribe el nombre distintivo completo del usuario. ¡Consejo! El formato estándar para el nombre distintivo de un usuario es: cn=<nombre del usuario>,ou=<nombre de la unidad organizativa>,dc=<primera parte del nombre distintivo del servidor>,dc=<cualquier parte del nombre distintivo del servidor que aparezca después del punto>.

   En este ejemplo, tenemos un usuario llamado administrador que se encuentra en una UO llamada AuthPoint (no es la carpeta Usuarios predeterminada). Por lo tanto, debemos seleccionar el botón de alternancia y escribir el nombre distintivo de nuestro usuario como CN=administrator,UO=AuthPoint,DC=example,DC=com.

   Si el usuario está en la carpeta Usuarios y el nombre de usuario es diferente del nombre de cuenta (sAMAccountName), debes escribir el nombre de cuenta en el cuadro de texto Cuenta del Sistema.

6. En la lista desplegable Intervalo de Sincronización, especifica la frecuencia con la que deseas sincronizar la base de datos de LDAP. Si seleccionas Cada 24 horas, también debes especificar a qué hora se inicia la sincronización cada día.
7. En Tipo, selecciona si se trata de un servidor de Active Directory o de un tipo diferente de base de datos de LDAP. Para otras bases de datos, debes especificar cada valor de atributo. No tienes que hacer esto para Active Directory porque los valores de atributo son conocidos.
8. En el cuadro de texto Dominio, escribe tu nombre de dominio de LDAP.
9. Si no se trata de un servidor de Active Directory, escribe un valor para cada atributo.

   Si tus usuarios de Active Directory usan ADFS, debes mantener el valor sAMAccountName predeterminado para el atributo relacionado con el inicio de sesión del usuario.

10. En el cuadro de texto Dirección del Servidor, escribe la dirección IP de tu servidor de LDAP.
11. En el cuadro de texto Puerto del Servidor, escribe el puerto de tu servidor.

12. (Opcional) Para añadir una dirección redundante para tu identidad externa, haz clic en Añadir Dirección Redundante y escribe una dirección y un puerto diferentes para la misma base de datos de LDAP.
13. Haz clic en Guardar.

Añadir la Identidad Externa a la Configuración de la Gateway

Debes añadir la identidad externa a la configuración de una Gateway que esté instalada en tu red corporativa y tenga acceso al servidor LDAP. Después de hacerlo, puedes probar la conexión a tu base de datos de LDAP.

Si no tienes una Gateway existente, debes añadir una. Para obtener más información, consulta Acerca de las Gateways.

Para añadir una identidad externa a la configuración de una Gateway:

1. En el menú de navegación, selecciona Gateway.
2. Haz clic en el Nombre de tu Gateway.

3. En la sección LDAP, en la lista Seleccionar una identidad externa de LDAP, selecciona la identidad externa para tu servidor de LDAP o Active Directory.

4. Haz clic en Guardar.

Tu identidad externa ahora está conectada a tu Gateway. Esto permite la comunicación entre WatchGuard Cloud y tu base de datos de LDAP o Active Directory.

Para probar la conexión con tu identidad externa:

1. En el menú de navegación, selecciona Identidades Externas.
2. Junto a la identidad externa que has añadido para tu base de datos de LDAP, haz clic en y selecciona Comprobar Conexión.

   Si tu prueba de conexión falla y NPS se está ejecutando en el servidor de la Gateway, cambia el puerto RADIUS que usa la AuthPoint Gateway.

Sincronizar Tus Usuarios

Después de crear una identidad externa para tu base de datos de LDAP y conectar la identidad externa a tu configuración de Gateway, debes especificar qué usuarios sincronizarás desde tu base de datos de LDAP.

Hay dos formas de consultar los usuarios:

• Usar la funcionalidad de sincronización de grupo (recomendado)
• Añadir una consulta avanzada

Después de añadir una consulta para buscar a tus usuarios (manualmente o con sincronización de grupo), AuthPoint se sincroniza con tu base de datos de LDAP o Active Directory en el siguiente intervalo de sincronización Esto se define en la lista desplegable Intervalo de Sincronización en la página Configuración LDAP para tu identidad externa. y crea una cuenta de usuarios de AuthPoint para cada usuario identificado por la consulta. Si tu consulta devuelve más usuarios que licencias de AuthPoint disponibles tienes tú para ellos, la sincronización solo crea los usuarios que admite tu licencia.

Las cuentas de usuarios creadas aparecen en la página Usuarios con un icono verde de estado Activado junto al nombre de usuario. El icono de estado Activado indica que el usuario se ha creado y está actualmente activo (no bloqueado). Puedes identificar a los usuarios sincronizados desde una identidad externa mediante la etiqueta LDAP en la columna Tipo de la lista de usuarios.

Cada usuario recibe un correo electrónico que usa para activar su token en la aplicación móvil AuthPoint. Cuando un usuario activa su token, la información de su token se muestra en la columna Token con un icono verde de estado Activado junto al token.

Si un usuario recibe el correo electrónico de activación del token, puedes enviar al usuario un nuevo correo electrónico de activación para que pueda activar su token. A fin de ver los pasos detallados para reenviar el correo electrónico de activación, consulta Reenviar el Correo Electrónico de Activación.

Antes de sincronizar usuarios, asegúrate de que cada cuenta de usuarios tenga una dirección de correo electrónico válida. Si la dirección de correo electrónico de una cuenta de usuarios no es correcta, el usuario no puede recibir el mensaje de correo electrónico para activar un token.

Para añadir usuarios de LDAP a varios grupos de AuthPoint, debes crear una consulta avanzada o una sincronización de grupo independiente para cada grupo de AuthPoint al que desees añadir los usuarios de LDAP sincronizados.

Cuando creas una sincronización de grupo para los usuarios de Active Directory, puedes habilitar el botón de alternancia Crear nuevos grupos sincronizados a fin de crear nuevos grupos en AuthPoint basados en los grupos de Active Directory desde los que sincronizas los usuarios. Los usuarios se sincronizan con los nuevos grupos en función de la pertenencia a grupo en Active Directory y, además, del grupo de AuthPoint seleccionado. Recomendamos esta opción porque facilita la gestión de grupos y solo requiere una sincronización de grupo.

Sincronización de Grupo

Con la sincronización de grupo, debes seleccionar los grupos LDAP desde los que deseas sincronizar los usuarios y el grupo de AuthPoint al que se añaden los usuarios. Recomendamos que uses la sincronización de grupo para sincronizar a tus usuarios porque crea una consulta por ti.

Antes de continuar, ten en cuenta estos requisitos:

• Si los grupos LDAP seleccionados tienen más usuarios que licencias de AuthPoint disponibles tienes tú para ellos, la sincronización solo crea los usuarios que admite tu licencia
• Los usuarios de LDAP que no tienen un nombre, un nombre de usuario o una dirección de correo electrónico no se incluyen en la sincronización

Para sincronizar grupos LDAP:

1. Selecciona Identidades Externas.
2. Junto a tu identidad externa, haz clic en y selecciona Sincronización de Grupo.

3. En la página Sincronización de Grupo, haz clic en Añadir Nuevo Grupo para Sincronizar.

4. En la ventana Añadir Sincronización de Grupo, en la lista desplegable Seleccionar Grupos LDAP Desde Los Que Sincronizar Usuarios, selecciona los grupos LDAP desde los que deseas sincronizar usuarios. Puedes seleccionar varios grupos.

5. En la lista desplegable Seleccionar un Grupo de AuthPoint al que Añadir Usuarios, selecciona el grupo de AuthPoint al que añadirás los usuarios. Los usuarios sincronizados deben añadirse a al menos un grupo de AuthPoint.

   Para cada sincronización de grupo, todos los usuarios se añaden al mismo grupo de AuthPoint. Para añadir usuarios a varios grupos de AuthPoint, debes crear una sincronización de grupo para cada grupo de AuthPoint al que desees añadir usuarios. Para añadir usuarios de cada grupo LDAP a grupos de AuthPoint independientes, debes crear una sincronización de grupo independiente para cada grupo LDAP.

6. Para crear nuevos grupos en AuthPoint basados en los grupos de Active Directory desde los que sincronizas usuarios, habilita el botón de alternancia Crear nuevos grupos sincronizados. Si habilitas esta opción, los usuarios se sincronizan con los nuevos grupos en función de la pertenencia a grupo en la base de datos de LDAP y, además, del grupo de AuthPoint seleccionado.

   Esta opción solo está disponible para bases de datos de LDAP de Active Directory y Azure Active Directory.

   Para usar esta funcionalidad, debes instalar la versión 6.1 o superior de la AuthPoint Gateway.

7. Haz clic en Guardar.
   Se cierra la ventana Añadir Sincronización de Grupo.

AuthPoint se sincroniza con tu base de datos de LDAP o Active Directory en el siguiente intervalo de sincronización Esto se define en la lista desplegable Intervalo de Sincronización en la página Configuración LDAP para tu identidad externa. y crea una cuenta de usuarios de AuthPoint para cada usuario identificado por la consulta.

Para iniciar una sincronización inmediatamente, en la página Identidades Externas, junto a la identidad externa, haz clic en y selecciona Iniciar Sincronización.

Si un usuario se borra en tu base de datos de LDAP o Active Directory, la cuenta de usuarios de AuthPoint relacionada no se borra. En cambio, el usuario recibe el estado En Cuarentena. Para obtener más información, consulta Usuarios En Cuarentena.

Si has habilitado el botón de alternancia Crear nuevos grupos sincronizados, los grupos sincronizados se crean en AuthPoint. Los grupos recién creados aparecen en la página Grupos. Puedes identificar los grupos sincronizados en la lista Grupos mediante la etiqueta LDAP en la columna Tipo.

Si cambias el nombre de un grupo sincronizado en Active Directory, el grupo sincronizado en AuthPoint se actualizará automáticamente para coincidir. No puedes editar los grupos sincronizados en AuthPoint.

Si borras el grupo en Active Directory, o si borras la sincronización de grupo, el grupo sincronizado no se borra en AuthPoint. Debes borrar manualmente el grupo sincronizado en AuthPoint.

Añadir una Consulta Avanzada

Con las consultas avanzadas, puedes crear tu propia consulta LDAP para especificar qué grupos o usuarios se deben sincronizar. Cuando añades y valida una consulta avanzada, se crean cuentas de usuarios de AuthPoint para cada usuario identificado por la consulta.

Antes de continuar, ten en cuenta estos requisitos:

• Si tu consulta devuelve más usuarios que licencias disponibles tienes tú para ellos, AuthPoint solo crea los usuarios que admite tu licencia
• Los usuarios de LDAP que no tienen un nombre, un nombre de usuario o una dirección de correo electrónico no se incluyen en la sincronización

Para añadir una consulta avanzada:

1. Selecciona Identidades Externas.
2. Junto a la identidad externa de LDAP que has añadido, haz clic en y selecciona Consulta Avanzada.

3. En la página Consulta Avanzada, haz clic en Añadir Consulta Avanzada.

4. En el cuadro de texto Nombre, escribe un nombre descriptivo para la consulta.
5. En la lista desplegable Grupo, selecciona el grupo de AuthPoint al que añadirás los usuarios de esta consulta. Los usuarios sincronizados deben añadirse a al menos un grupo de AuthPoint.

   Para cada consulta avanzada, todos los usuarios se añaden al mismo grupo de AuthPoint. Para añadir usuarios a varios grupos de AuthPoint, debes crear una consulta avanzada para cada grupo de AuthPoint al que desees añadir usuarios. Para añadir usuarios de cada grupo LDAP a grupos de AuthPoint independientes, debes crear una consulta avanzada independiente para cada grupo LDAP.

6. En el cuadro de texto Consulta Avanzada, escribe tu consulta. En la mayoría de los casos, tu consulta será memberOf=, seguido del nombre distintivo del grupo que deseas sincronizar con la consulta. Por ejemplo, si el nombre distintivo de tu grupo es CN=MyAuthGroup,CN=Users,DC=myorg,DC=local, tu consulta es memberOf=CN=MyAuthGroup,CN=Users,DC=myorg,DC=local.
   Para buscar el nombre distintivo de un grupo de Active Directory:

   1. Abre Active Directory.
   2. Selecciona Ver > Funcionalidades Avanzadas.
   3. Haz clic con el botón derecho en el grupo que deseas sincronizar y selecciona Propiedades.
      Se abre la ventana Propiedades.
   4. En la ventana Propiedades, selecciona el Editor de Atributos.
   5. Selecciona el valor de distinguishedName y haz clic en Ver.
   6. Copia el Valor. Si añades "memberOf=" al principio de este valor, esa es tu consulta avanzada.

7. Para obtener una vista previa de los resultados de tu consulta, haz clic en Validar Consulta Avanzada. Puedes ver el número de usuarios que devuelve tu consulta y una vista previa de los 10 primeros usuarios.

   No se sincronizan usuarios cuando validas una consulta. Los usuarios solo se sincronizan después de que añades tu consulta a la identidad externa y guardas los cambios.

8. Para añadir tu consulta a la identidad externa, haz clic en Añadir.

AuthPoint se sincroniza con tu base de datos de LDAP o Active Directory en el siguiente intervalo de sincronización Esto se define en la lista desplegable Intervalo de Sincronización en la página Configuración LDAP para tu identidad externa. y crea una cuenta de usuarios de AuthPoint para cada usuario identificado por la consulta avanzada.

Para iniciar una sincronización inmediatamente, en la página Identidades Externas, junto a la identidad externa, haz clic en y selecciona Iniciar Sincronización.

Si un usuario se borra en tu base de datos de LDAP o Active Directory, la cuenta de usuarios de AuthPoint relacionada no se borra. En cambio, el usuario recibe el estado En Cuarentena. Para obtener más información, consulta Usuarios En Cuarentena.

Editar una Consulta Avanzada

1. Selecciona Identidades Externas.
2. Junto a la identidad externa de LDAP que has añadido, haz clic en y selecciona Consulta Avanzada.

3. En la página Consulta Avanzada, en la lista de consultas, haz clic en el Nombre de la consulta que deseas editar.

4. En la ventana Añadir Consulta Avanzada, realiza tus cambios.
5. Haz clic en Actualizar.

Ver También

Probar la Conexión a una Identidad Externa

Sincronizar Usuarios desde Azure Active Directory

Añadir Usuarios de AuthPoint Locales

Acerca de las Gateways

Usuarios En Cuarentena