/
¿Cómo delegar la autenticación de la plataforma en un directorio LDAP?

Features | Open Source | Releases | Docs | Try us free | Blog | Product

¿Cómo delegar la autenticación de la plataforma en un directorio LDAP?

12/09/22

ES | EN

Autenticación contra LDAP

Para autenticar contra una LDAP basta con configurar las siguientes propiedades en el application.yml del ControlPanel de Plataforma.

Con esta configuración delegaremos la autenticación en un LDAP.

El usuario definido con username debe tener permiso de consulta sobre el LDAP.

Autorización contra LDAP: Mapeo de roles

Opcionalmente, las propiedades ldap.platformRolesGroup permiten gestionar los roles de los usuarios de la plataforma desde el LDAP.

Para ello cada Rol de plataforma debe asociarse un grupo de usuarios en el LDAP, y el DN de cada grupo se indica en estas propiedades para cada uno de los roles.

Supongamos que se dispone en el LDAP de la siguiente estructura de grupos de usuarios con los roles Administrator, Analytics, Developer, Sys_Admin y User, bajo el DN: OU=AppSofia2,OU=AppSmart,DC=aytologd

Se mapearía a los Roles de plataforma con la siguiente configuración:

Importación de usuarios 

Para importar los usuarios de un LDAP a la base de datos de configuración de la plataforma, existen dos alternativas:

  • Inicio de sesión satisfactorio: Cada vez que se autentique un usuario, si no existe, será insertado en base de datos con el rol del grupo al que pertenece el usuario, o ROLE_DEVELOPER por defecto si no pertenece a ningún grupo o no se han configurado.
  • Importación a través de un Realm: La segunda alternativa, consiste en la creación de un Realm, y luego importar usuarios o grupos completos, mapeando roles del LDAP con roles del Realm. Del mismo modo si no existe, será insertado en base de datos con el rol del grupo al que pertenece el usuario, o ROLE_DEVELOPER por defecto si no pertenece a ningún grupo o no se han configurado.

NOTA

Con esta importación lo que se hace es crear el concepto de Usuario en Plataforma (para poder asignar conceptos y demás). En este escenario nunca se almacena la password en plataforma y la autenticación siempre se delega en plataforma

Uso de usuarios LDAP en Realms

Si en el despliegue de la plataforma se utiliza autenticación contra un LDAP, aparecerá una checkbox en el tab de Asignación de usuarios. Se podrá buscar e importar usuarios del LDAP así como grupos existentes.

Al pulsar dicha checkbox, se podrá buscar por usuarios DN y grupos.

Si se desea importar usuarios del LDAP, ha que completar el campo USER DN BASE con el DN. Esta operación realizará una búsqueda de todos los usuarios que pertenezcan a ese DN.


Lo mismo puede realizarse con los grupos.

Cuando se mapea un grupo de LDAP con un ROLE, todos los usuarios se crearán en la plataforma asociados con ese role.



(c) 2020 Indra Soluciones Tecnologías de la Información, S.L.U.