1. Acesse o módulo Administração.
2. Na seção Integrações, selecione a opção Tarefas de Integração.
3. Na seção Tarefas de Integração, clique em Criar Tarefa.
4. Escolha a opção Importar Objetos de um Diretório (LDAP) na lista suspensa exibida (veja abaixo).
O sistema exibe um formulário que deve ser preenchido para criar a nova tarefa (veja abaixo).
5. No campo Nome cadastre um nome para identificar a nova tarefa de integração.
6. No campo Situação, determine a situação da nova tarefa. Se você selecionar a opção Ativo, a rotina vai ser ativada imediatamente após a sua criação. Se você selecionar Inativo, a rotina será criada, mas não entrará em operação até que seja habilitada.
7. Você pode criar um agendamento para a rotina de integração na seção Agendamento. Na seção Iniciar em defina uma data de início para a rotina de integração. Em seguida, selecione a frequência com a qual a tarefa será executada selecionando uma das opções disponíveis (Diariamente, Semanalmente, Mensalmente, Anualmente, A cada minuto, A cada hora). Você ainda pode determinar de quantos em quantos dias a tarefa será executada ou se a sua execução será a cada dia da semana. A tarefa pode ser também configurada para não ter uma data de término, clicando na opção Sem data de término. Você ainda poderá optar por programar o seu término em determinado dia, ao definir o campo Terminar em. Observe que algumas tarefas de integração podem levar mais tempo para serem executadas que a opção selecionada, podendo causar problemas de performance.
8. Na seção Critério de Importação, uma informação válida de uma conta deve ser inserida para acessar o servidor LDAP. Especifique o tipo de servidor do qual os dados serão importados no campo Tipo de Servidor, que pode ser o Active Directory, Apache DS ou Novell eDirectory.
9. No campo Endereço do Servidor, digite o nome do domínio ou o endereço IP para o servidor LDAP onde as informações serão coletadas. O endereço não precisa ser precedido pelo prefixo "LDAP://". Por exemplo, ad.exemplo.com.br ou 10.22.1.1.
10. No campo Porta, digite um número para indicar a porta do host. Por padrão, ela é configurada para 389.
11. Marque o checkbox Usar conexão SSL para solicitar uma conexão segura.
12. No campo Base DN, digite a base DN para a sub-árvore ser sincronizada. Não inclua espaços entre as vírgulas. Por exemplo:
ou=teste,ou=vendas,ou=riodejaneiro,dc=ad,dc=exemplo,dc=com,dc=br.
13. No campo Tipo de Autenticação, selecione o tipo de autenticação a ser usado para conectar com o servidor LDAP. Selecione Simple para enviar as credenciais para acessar o servidor LDAP utilizando texto sem criptografia. Selecione Negotiate se for necessário que o Microsoft Negotiate Security Support Provider seja usado durante a conexão. Selecione Anonymous se for necessário que a conexão seja feita sem enviar credenciais.
14. No campo Conta de Acesso, digite o login da conta no domínio que o sistema irá utilizar para a rotina de importação do banco de dados LDAP. O usuário deve ter permissão para executar consultas LDAP no servidor.
15. No campo Senha de Acesso, digite a senha do usuário do domínio que o sistema irá utilizar para a rotina de importação do banco de dados LDAP.
16. No campo Confirmação de Senha, digite novamente a senha inserida no campo anterior. Observe que as credenciais serão armazenadas de forma segura.
17. Marque o checkbox Importar a Estrutura Organizacional como Perímetros se desejar que a tarefa inclua essa informação. Se esta estiver desmarcada, todos os objetos do servidor LDAP serão importados diretamente para um perímetro genérico no sistema (nome: Importados [dd/mm/aaaa hh:mm:ss]). Se estiver marcada, todos os elementos importados serão organizados no sistema também sob esse mesmo perímetro genérico, mas com subperímetros criados com base no nome da OU (unidade organizacional). Nem os usuários nem os grupos de usuários de um domínio podem ser importados como ativos.
18. Selecione a pessoa responsável pela informação importada no combo box Responsável pelos objetos importados.
19. Marque os checkboxes ao lado dos objetos que você deseja importar, que podem ser usuários, ativos e grupos.
Nota 1: apenas ativos do tipo tecnologia poderão ser importados e criados. Você poderá movê-los para outros perímetros conforme necessário sem que eles sejam importados novamente para seu perímetro original. No entanto, se você excluir um, ele será importado novamente na próxima integração, exceto no caso de ele também ser excluído do diretório.
Também é possível importar ativos tecnológicos de um inventário do Qualys ou Nexpose através de outras tarefas de integração. Se os ativos cadastrados no scanner forem os mesmos ativos cadastrados no diretório externo que está sendo integrado ao sistema, é aconselhável que você importe apenas os ativos do scanner para a estrutura organizacional. Se você também criar uma tarefa de integração para importar ativos do Qualys ou Nexpose, eles serão duplicados no sistema.
Essa integração adiciona novos usuários cadastrados no diretório, mas não atualiza os existentes no sistema. Por exemplo, ao editar os dados de um usuário cadastrado no diretório, importado anteriormente para o sistema, e executar uma nova tarefa de integração, as alterações realizadas não serão refletidas no sistema. Já no caso de grupos de usuários importados anteriormente para o sistema, ao executar uma nova tarefa de integração, os usuários adicionados ao grupo no diretório serão também adicionados no sistema. Observe que os usuários ou grupos importados podem não ter e-mails cadastrados. É importante cadastrar esses endereços de e-mail no sistema para que esses usuários recebam as notificações enviadas pelo sistema.
Ao criar uma pessoa no diretório e no sistema com o mesmo nome e login, após executar a tarefa de integração, não será adicionado um novo usuário no sistema. Já ao criar uma pessoa no diretório e no sistema com o mesmo nome e logins diferentes, após executar a tarefa de integração, o sistema passa a ter dois usuários de mesmo nome e logins diferentes. Ao criar um grupo no diretório e no sistema com o mesmo nome, após executar a tarefa de integração, o sistema passa a ter dois grupos de mesmo nome. O grupo criado no diretório é exibido na lista dos grupos de pessoas no módulo Organização como sendo sincronizada.
Nota 2: a seguinte chave pode ser adicionada à seção AppSettings do arquivo web.config para definir que um atributo específico será utilizado como login de usuário:
<add key="LdapUsernameAttribute" value="nome_atributo" />
Nessa chave, "nome_atributo" representa o nome do atributo que será utilizado como login de usuário. Se essa chave não for adicionada, o sistema irá utilizar o atributo especificado no diretório (ou UPN, no caso do Active Directory), conforme definido na tarefa de integração.
20. Na seção Tratamento para usuários excluídos do diretório, selecione uma opção para definir como os usuários excluídos do servidor LDAP serão tratados na base de dados do sistema. Existem três opções de comportamento:
•Ignorar: desconsidera as exclusões realizadas no servidor LDAP, ou seja, pessoas excluídas no diretório permanecerão cadastradas no sistema. Observe que ao selecionar esta opção, usuários excluídos pertencentes a grupos de pessoas no sistema permanecerão cadastrados, mas serão removidos dos respectivos grupos.
•Pedir confirmação: desconsidera exclusões realizadas no servidor LDAP, exibindo um alerta na seção Gerenciar Usuários. Neste caso, a pessoa responsável pelos objetos importados receberá uma notificação no módulo Meu Espaço e deverá excluir cada usuário manualmente. Para mais detalhes, veja o Capítulo 17: Administração -> Controle de acesso -> Gerência de usuários -> Como gerenciar pendências de usuários. Observe que ao selecionar esta opção, usuários excluídos pertencentes a grupos de pessoas no sistema permanecerão cadastrados até serem manualmente excluídos, mas serão removidos automaticamente dos respectivos grupos.
•Excluir automaticamente: aplica automaticamente as exclusões realizadas no servidor LDAP e as replica na base de dados do sistema.
21. Na seção Tratamentos para grupos excluídos do diretório, selecione uma opção para definir como a base de dados interna do sistema deverá lidar com grupos excluídos no servidor LDAP. As duas opções disponíveis são:
•Ignorar: desconsidera as exclusões realizadas no servidor LDAP, ou seja, grupos de pessoas excluídos no diretório permanecerão cadastrados no sistema.
•Excluir automaticamente: aplica automaticamente todas as exclusões feitas no servidor LDAP e as reproduz na base de dados do sistema.
22. Para apenas importar usuários que pertencem a determinados grupos do diretório, insira o nome de cada um dos grupos que você deseja importar no campo Somente importar usuários membros dos grupos. Insira um nome de grupo por linha e não os separe por vírgulas ou ponto e vírgulas. Nesse caso, esses grupos também serão importados para o sistema.
Nota: antes da importação, o sistema valida o nome de cada grupo. Se o nome de um ou mais grupos especificados na tarefa estiver errado ou se um grupo não existir, os usuários não serão importados. Isso significa que todos os grupos devem estar válidos para que a tarefa seja executada.
23. Se o usuário selecionou o Active Directory como o tipo de servidor, a seção Identificação do Usuário será habilitada. Marque o checkbox Considerar o UPN (User Principal Name) como login para permitir que usuários de mais de um domínio acessem o sistema utilizando seu UPN (por exemplo login@dominio.com). Essa opção evita conflitos entre logins iguais de mais de um domínio. Se não for marcada, os usuários irão acessar o sistema utilizando seus logins. Observe que depois que a tarefa for salva, essa opção não poderá ser alterada.
24. No campo Mapeamento de Campos Customizados você pode inserir um arquivo JSON para mapear os atributos customizados de pessoas cadastradas no sistema aos campos correspondentes no servidor. Desse modo, o campo "Equipe" cadastrado para usuários no servidor poder ser mapeado ao campo "Time" cadastrado como atributo do tipo pessoa na seção Objetos e Atributos do módulo Administração. Observe que este campo só é habilitado para importar pessoas do servidor Active Directory. As configurações devem seguir o padrão JSON de acordo com as instruções a seguir. Para definir os atributos customizados do sistema, em "RiskManagerProperty" insira o nome da variável do atributo conforme cadastrado na seção Objetos e Atributos. Em "LdapProperty" insira a variável do campo do Active Directory que será mapeado ao atributo do sistema. Você pode consultar as variáveis dos campos do Active Directory no próprio diretório. Exemplo:
[
{
"RiskManagerProperty": "atributo_equipe",
"LdapProperty": "attributeGrupo"
},
{
"RiskManagerProperty": "atributo_numero",
"LdapProperty": "attributeEnumeration"
}
]
No exemplo o atributo customizado do sistema identificado com a variável atributo_equipe foi mapeado ao campo do Active Directory de variável attributeGrupo, enquanto o atributo do sistema atributo_numero foi mapeado ao campo de variável attributeEnumeration do Active Directory.
25. Marque o checkbox Habilitar exclusão do histórico se desejar que o sistema exclua automaticamente os registros de execução da tarefa de integração após a quantidade de dias informada.
26. Em seguida, digite no campo Tempo de Retenção do Histórico (Dias) o número de dias após o qual o histórico será excluído. Observe que a exclusão automática do histórico exclui todos os registros de execução da tarefa, exceto o registro mais recente.
27. Marque o checkbox Executar imediatamente após salvar se desejar que o sistema execute a tarefa logo depois que ela for salva. Para as execuções subsequentes, o sistema segue o agendamento configurado para a tarefa.
28. Quando terminar, clique em Salvar. Para sair da operação, clique em Cancelar.
O sistema exibe uma mensagem de sucesso.