Visão geral do serviço do Microsoft Active Directory - Metasys - LIT-12011279 - General System Information - Metasys System - 12.0

Diretrizes de rede e TI – Boletim técnico (LIT-12011279)

Product name
Metasys System
Document type
Technical Bulletin
Document number
LIT-12011279
Version
12.0
Revision date
2023-12-06
Product status
Active

Esta seção fornece uma visão geral dos serviços do Active Directory conforme implementados no sistema Metasys. Para obter mais detalhes, consulte Security Administrator System Technical Bulletin (LIT-1201528).

O recurso de serviço do Active Directory usado pelo sistema Metasys fornece uma integração padrão de TI do sistema Metasys na infraestrutura de serviço do Active Directory existente de um cliente para fins de autenticação. Esse componente opcional fornece a conveniência de acesso de logon único (SSO, Single Sign-On), um recurso que permite aos usuários fazer login em várias interfaces de usuário de aplicações protegidas sem inserir novamente o nome de usuário e a senha.

O sistema Metasys funciona em conjunto com o serviço do Active Directory. Isso permite que o serviço do Active Directory forneça autenticação para acesso a várias aplicações de software Metasys, incluindo o servidor Metasys, Metasys UI, Johnson Controls System Configuration Tool (JCT) e a System Configuration Tool (SCT) (mas não os gerenciadores). Usando a opção de menu Security Administrator System, é possível adicionar usuários do Active Directory e atribuir a esses usuários vários níveis de acesso e permissões, desde privilégios de administrador até somente leitura. Usando a opção Security Administrator System, também é possível conceder acesso de logon único ou SSO a todos os usuários do Active Directory para um processo de autenticação mais conveniente. A Metasys UI e a ferramenta de configuração do sistema Johnson Controls não são compatíveis com SSO.
Nota: Você pode usar uma conta de usuário local do Metasys ou uma conta de usuário do Active Directory para fazer login no Metasys. Para usuários do Active Directory, a autenticação pode ser AD/LDAP ou ADFS. O SMP aceita apenas AD/LDAP (não aceita ADFS). A Metasys UI é compatível com AD/LDAP e ADFS, mas comporta apenas SSO com ADFS.

A arquitetura do Metasys usa o serviço do Active Directory para autenticação. O usuário fornece credenciais de serviço do Active Directory em uma das duas formas:

  • Credenciais de serviço do Active Directory que são armazenadas em cache pelo Windows quando o usuário faz login no computador e, em seguida, recuperadas automaticamente pelo sistema Metasys durante o processo de Autenticação Integrada do Windows com IIS no servidor Metasys ou na SCT.

  • Credenciais de serviço do Active Directory (nome de usuário, senha e domínio) que são especificadas diretamente na tela de login do Site Management Portal UI.

Um nome de usuário do serviço do Active Directory inclui a especificação de um nome de domínio com o nome de usuário. Por exemplo, em vez de um nome de usuário chamado John, o nome do usuário no serviço do Active Directory e no sistema Metasys poderia ser John@my.corp.com, que inclui o especificador de domínio exigido pelo serviço do Active Directory.

Para versões anteriores ao Metasys Versão 8.1 e System Configuration Tool Versão 11.1, a implementação do Active Directory com o sistema Metasys permite um formato híbrido de Nome Principal do Usuário (UPN, User Principal Name) para nomes de usuário e o formato de Gerenciador de Contas de Segurança (SAM, Security Account Manager), que usa o nome de usuário, a senha e a seleção de domínio. O formato UPN híbrido usa o nome de usuário no qual o nome de domínio completo é fornecido. O sistema Metasys não suporta uma correspondência exata ou alternativa do nome UPN e, em vez disso, valida a parte do prefixo e a parte do sufixo do nome de usuário do Active Directory. O prefixo é o nome de usuário (myUser) e o sufixo é o nome do domínio (my.corp.com). O prefixo e o sufixo são separados pelo símbolo @ . Por exemplo, myUser@my.corp.com é especificado em vez de myUser@corp.com, onde myUser@corp.com é o nome UPN de e-mail.

Figura 1. Exemplos de formatos de login

O Metasys Versão 8.1 ou posterior e o SCT Versão 11.1 ou posterior permitem suportar a autenticação UPN exata ou alternativa para o sistema Metasys, em conformidade com a autenticação do Microsoft Office 365®. Por exemplo, myUser@corp.com é especificado, onde myUser@corp.com é o nome UPN exato ou alternativo. Para habilitar o login de usuário em formato UPN exato ou alternativo no sistema Metasys, consulte Ativar a autenticação UPN exata ou alternativa para um servidor Metasys e Ativar a autenticação UPN exata ou alternativa para SCT.

O SSO permite que os usuários acessem o sistema Metasys sem a necessidade de digitar as credenciais, usando a autenticação do Windows Active Directory em conjunto com o software Metasys. Este recurso depende do seguinte:

  • O usuário tem uma conta ativa do Windows Active Directory.
  • O usuário está conectado a um computador de domínio usando as credenciais do Active Directory.
  • O usuário é adicionado à lista de usuários do Active Directory na opção de menu Security Administrator System.
  • O recurso SSO é habilitado na opção de menu Security Administrator System.
  • A aplicação Metasys suporta SSO.
Nota: O sistema Metasys não requer nenhuma estrutura particular de serviço do Active Directory.