O recurso de serviço do Active Directory conforme implementado no sistema Metasys usa a infraestrutura de serviço do Active Directory existente no local do cliente. A seguir, são apresentadas as considerações importantes:
-
Os usuários do serviço do Active Directory em domínios de sistema operacional de classe de servidor e domínios somente leitura são suportados.
-
O uso de um controlador de domínio somente leitura de sistema operacional de classe de servidor é determinado pelo departamento de TI responsável por configurar as contas para autenticação no controlador de domínio. Os logins de serviço do Active Directory e SSO funcionam com o controlador de domínio somente leitura do sistema operacional de classe de servidor, independentemente do controlador de domínio somente leitura primário estar online, offline ou não acessível (desde que as credenciais de usuário do serviço do Active Directory sejam armazenadas em cache no controlador somente leitura). Se houver uma relação de confiança entre o controlador de domínio somente leitura e outro domínio, o login de serviço do Active Directory funcionará corretamente, desde que o domínio confiável esteja acessível. Nesse caso, o Kerberos gerencia o encaminhamento para o domínio correto. O recurso de SSO não funciona para um usuário de serviço do Active Directory em um domínio confiável de um controlador de domínio somente leitura porque o SSO usa NTLM e a mensagem não é encaminhada.
-
O esquema de serviços padrão do Active Directory é suportado. Para obter detalhes, consulte Informações obtidas dos Serviços do Active Directory.
-
O NTLMv2 é necessário para realizar o acesso de SSO sem login estrito ao sistema Metasys usando a autenticação integrada do Windows IIS. Todas as outras autenticações são realizadas usando Kerberos, que inclui o nome de usuário do serviço do Active Directory, a senha e a seleção de domínio na tela de login do sistema Metasys e autenticação para serviços do Active Directory para consultas LDAP.
-
O sistema Metasys não armazena ou gerencia as senhas dos usuários do serviço do Active Directory. Usuários do serviço do Active Directory com acesso ao sistema Metasys (identificados pelo identificador de segurança [SID]) não são criados ou gerenciados pelo sistema Metasys. O sistema mantém permissões de autorização apenas para o sistema Metasys.
-
As credenciais de serviço do Active Directory fornecidas na tela de login do sistema Metasys são fortemente criptografadas antes de serem enviadas pela rede do Site Management Portal UI para o servidor Metasys e a SCT.
-
Para garantir que o SSO do sistema Metasys funcione corretamente, a política de segurança Segurança de rede: nível de autenticação LAN Manager deve ser configurada para configurações compatíveis no servidor Metasys e computador de SCT, qualquer computador cliente do Site Management Portal UI e o controlador de domínio do serviço do Active Directory.
-
A estrutura de serviço do Active Directory pode compreender uma ou mais florestas que consistem em um ou mais domínios. O sistema Metasys exige uma estrutura de serviço do Active Directory que permite o uso de nomes formatados UPN de domínio completo ou nomes formatados UPN alternativos ou exatos. Os Domínios de Rótulo Único são um exemplo de uma estrutura de diretório que não é compatível com o sistema Metasys. Domínios de Rótulo Único são domínios que não incluem .com, .edu e assim por diante. Os usuários de qualquer domínio podem receber privilégios de acesso ao sistema Metasys, contanto que relações de confiança e privilégios adequados existam nos serviços do Active Directory.
-
O servidor Metasys e o computador de SCT devem ser colocados em uma unidade organizacional (OU) de serviço do Active Directory que não seja afetada pelas Políticas de Grupo (como as normalmente aplicadas a um desktop) que baixam software para o computador. Esse software pode afetar de maneira adversa a operação do dispositivo do sistema Metasys.
-
É necessária uma conta de serviço no serviço do Active Directory composta por nome de usuário, senha e domínio do Active Directory. Para obter detalhes, consulte Conta de serviço.