User Name Mapping SSO


Esta configuración aplica para Usuarios Web que utilizan sistema operativo Windows y que tienen cuentas en el Directorio Activo. Estas personas también cuentan con un documento de persona en el Domino Directory. Se podrá configurar el User Name Mapping para habilitar el Domino Server para reconciliar nombres de usuarios encontrados en ambos directorios.

El mapeo de User name logra tres objetivos. Primero, cuando el servidor Domino encuentra usuarios Directorio Activo que son iguales a los usuarios en el Domino Directory, permite al servidor para comprobar que los dos nombres de usuario  pertenecen a una persona. Para hacer el link de los dos nombres, el servidor verifica el valor del correo del usuario en el Directorio Activo, si es igual al valor en el campo Internet Address en el Documento de Persona.

Segundo, el mapeo de User Name puede ser necesario para determinar el nombre completo de un usuario Lotus Notes. En un entorno de SSO en que algunos servidores no usan el Domino Directory, pero usan solamente el Directorio Activo, por ejemplo, un servidor de IBM WebSphere o IBM  Lotus  Quickr Server que se configuran para utilizar el Directorio Activo

Debido a que los ACL en bases de datos Domino usualmente se refieren Distinguished Name, se deberá mapear el Distinguished Name del Directorio Activo en el LTPA tokens de los usuarios de Notes de tal forma que el servidor Lotus Domino pueda determinar el nivel de acceso de los usuarios Web a las bases de datos. Este paso no es necesario si el LTPA Tokens se han configurado para contener el Distinguished Name de los Usuarios Notes (por defecto cuando se utilizan la opción Domino SSO) en lugar de claves SSO importados de WebSphere.

Finalmente, el nombre de usuario es mapeado para especificar que directorio va a usar para verificar su usuario y password cuando Windows single sign-on no esta habilitado y los usuarios Web deben iniciar sesión al conectarse a un servidor en el dominio de SSO. Windows single sign-on no está disponible para:

  • Clientes Web que se conectarán sobre Internet.
  • Clientes Web que se conectarán sobre una Intranet pero no están configurados para Windows single sign-on.
  • Clientes Web que se conectarán sobre una Intranet y están configurados para usar Windows single sign-on pero no están firmados en un dominio de Directorio Activo.
  • Clientes Web que corran en el servidor Domino Web

Formas de configurar name mapping.

Cómo configurar User Name Mapping depende en si la gestión de usuarios se efectúa en el Directorio Activo o en el Domino Directory. Deberás considerar cual directorio es mas fácil de modificar y mantener.

Configurar User Name mapping cuando se administra usuarios Domino a través del Directorio Activo.

En esta configuración se requiere que adiciones el Notes Distinguished Name de cada usuario en las cuentas del Directorio Activo.

1.- En la base de datos del Directory Assistance, se deberá crear un documento para conectarse con el Directorio, Activo

.

Tab Campo Valor Comentario
Basics Make this domain available to Notes Clients and Internet Authentication/Authorization Required

  • LDAP Clients es opcional
Basics Group Authorization Yes o No
  • Selecciona si si quieres usar grupos del directorio activo en el ACL de las bases de datos.
Basics – SSO configuration Windows single sign-on para Clientes Web Enabled
  • La opción “Enables” eficientiza la busqueda de tipo name lookups de usuarios del Directorio Activo. En conbinación con “Attribute to be used as Notes Distinguished Name”, permite a los usuarios de  Kerberos identificar ser asociado con el nombre en Domino.
Basics – SSO configuration Kerberos realm Active Directory domain
  • Especificar el dominio en mayúsculas, por ejemplo
  • AD.ACME.COM.
Naming Contexts (Rules) Trusted for Credentials Yes
LDAP Atributo que sera usado como Notes Distinguished Name <attribute>
  • Atributo en el Directorio Activo que almacenara el Notes distinguished name de los usuarios.
  • El administrador del directorio puede tener la necesidad de extender el esquema del Directorio Activo para adicionar atributos del mismo nombre si estos no existen atributos que ya contengan el Notes distinguished name.
  • Alternativamente puede hacerse uso del atributo altSecurityIdentities, si no esta en uso por otro propósito.
  • Una herramienta de sincronización como IBM® Tivoli® Directory Integrator puede ser usado para popular los atributos con los nombres de Notes.
  • El valor almacenado en el atributo debe respetar la sintaxis válida de nombre completo. En el Directorio Activo usa como separador la coma (,) el separador en Notes es un slash  (/) por ejemplo:

cn=Betty Zechman,ou=Marketing,o=Renovations

en lugar de

cn=Betty Zechman/ou=Marketing/o=Renovations

  • .
LDAP Type of search filter to use Active Directory
  1. Si los usuarios tienen Person documents en el Domino Directory, se deberán hacer los siguientes cambios.
Tab Campo Valor Comentario
Basics Internet Address Valor usado como atributo de dirección de correo electrónico en el Directorio Activo Usado para ligar el documento de persona con la cuenta del Directorio Activo del usuario.

  1. Especificar la configuración siguiente en el documento del Servidor:
Tab Campo Valor Comentario
Security – Internet Access Internet authentication Fewer name variations with higher security

  1. Especificar la siguiente configuración para habilitar la autenticación de SSO de los servidores, esta configuración se especifica en el documento Web SSO:
Tab Campo Valor Comentario
Basics – Token Configuration Map names in LTPA tokens Enabled

Sigueme en: Follow svargasvelasco on Twitter

2 Respuestas a “User Name Mapping SSO

  1. Salvador

    Sergio, encontre esta liga, interesante para usar el password de Directorio Activo para acceso Web sin necesidad de usar Kerberos.

    https://webmail.ki-gruppe.com/www/blogfg.nsf/dx/12.02.2009150442FGOJH3.htm

    Espero sirva.

    Saludos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s