La función del servicio Active Directory tal como se implementa en el sistema Metasys utiliza la infraestructura del servicio Active Directory existente en el sitio del cliente. A continuación se indican consideraciones importantes:
-
Se admiten usuarios del servicio Active Directory en los dominios del sistema operativo de clase servidor y en los dominios de solo lectura.
-
El uso de un controlador de dominio de solo lectura del sistema operativo de clase servidor viene determinado por el departamento de TI encargado de configurar cuentas para la autenticación con el controlador de dominio. Los inicios de sesión del servicio SSO y del servicio Active Directory funcionan con el controlador de dominio de solo lectura del sistema operativo de clase servidor, ya sea si el controlador principal de dominio de solo lectura está en línea, fuera de línea o no accesible (mientras las credenciales del usuario del servicio Active Directory se almacenan en caché en el controlador de solo lectura). Si existe una relación de confianza entre el controlador de dominio de solo lectura y otro dominio, el inicio de sesión del servicio Active Directory funciona correctamente siempre que sea accesible el dominio de confianza. En este caso, Kerberos gestiona el reenvío al dominio correcto. SSO no funciona para un usuario del servicio Active Directory en un dominio de confianza de un controlador de dominio de solo lectura porque SSO utiliza NTLM y el mensaje no se reenvía.
-
El esquema predeterminado de servicios Active Directory es compatible. Para obtener información detallada, consulte Información obtenida de los servicios de Active Directory.
-
NTLMv2 es necesario para lograr un estricto acceso SSO sin necesidad de registrarse en el sistema Metasys utilizando la autenticación integrada de Windows de IIS. Todos los demás autenticación se realizan utilizando Kerberos, que incluye el nombre de usuario del servicio Active Directory, la contraseña y la selección de dominio en la pantalla de inicio de sesión del sistema Metasys y autenticación en los servicios de Active Directory para consultas LDAP.
-
El sistema Metasys no almacena ni gestiona las contraseñas de los usuarios del servicio Active Directory. Los usuarios del servicio Active Directory que tengan acceso al sistema Metasys (identificados por el identificador de seguridad [SID]) no se crean ni gestiona el sistema Metasys. El sistema mantiene los permisos de autorización solo para el sistema Metasys.
-
Las credenciales del servicio Active Directory que se proporcionan en la pantalla de inicio de sesión del sistema Metasys se cifran en gran medida antes de enviarse a través de la Red desde la interfaz de usuario del Portal SMP al servidor Metasys y SCT.
-
Para garantizar que el sistema SSO de Metasys funcione correctamente, el Seguridad de Red: nivel de autenticación de LAN Manager La política de seguridad debe configurarse con ajustes compatibles en el servidor Metasys y en el equipo con SCT, cualquier máquina cliente de la IU del Portal SMP y el controlador de dominio del servicio Active Directory.
-
La estructura del servicio Active Directory puede incluir uno o varios bosques que consten de uno o varios dominios. El sistema Metasys requiere una estructura del servicio Active Directory que permita el uso de nombres con formato UPN de dominio completo o nombres con formato UPN exacto o alternativo. Los dominios de etiqueta única son un ejemplo de una estructura de directorio que no es compatible con el sistema Metasys. Los dominios de etiqueta única son dominios que no incluyen .com, .edu, etc. Los usuarios de cualquier dominio pueden recibir privilegios de acceso al sistema Metasys, siempre y cuando existan relaciones de confianza y privilegios apropiados dentro de los servicios de Active Directory.
-
El servidor Metasys y el equipo con SCT deben colocarse en una unidad organizativa del servicio Active Directory (OU) que no esté afectada por las directivas de grupo (como las que se aplican normalmente a un escritorio) que descargan el software a la máquina. Este software puede afectar negativamente al funcionamiento del dispositivo del sistema Metasys.
-
Se requiere una cuenta de servicio en el servicio Active Directory que consiste en un nombre de usuario, una contraseña y un dominio de Active Directory. Para obtener información detallada, consulte Cuenta de servicio.