Sincronización con Active Directory o LDAP
Este artículo le ayudará a comenzar a utilizar Directory Connector para sincronizar usuarios y grupos desde su servicio LDAP o Active Directory con su organización Bitwarden. Bitwarden proporciona conectores integrados para los servidores de directorio LDAP más populares, incluidos:
Active Directory de Microsoft
Servidor Apache Directory (ApacheDS)
Apple Open Directory
Fedora Directory Server
Novell eDirectory
OpenDS
OpenLDAP
Sun Directory Server Enterprise Edition (DSEE)
Cualquier servidor de directorio LDAP genérico
Complete los siguientes pasos para configurar Directory Connector para usar su LDAP o Active Directory:
Abra la aplicación de escritorio de Directory Connector.
Vaya a la pestaña Configuración.
En el menú desplegable Tipo, seleccione Active Directory/LDAP.
Los campos disponibles en esta sección cambiarán en función del tipo seleccionado.
Configure las siguientes opciones:
Opción | Descripción | Ejemplos |
|---|---|---|
Nombre de host del servidor | Nombre de host de su servidor de directorio. |
|
Puerto del Servidor | Puerto en el que su servidor de directorio está escuchando. |
|
Ruta Raíz | Ruta raíz en la que Directory Connector debe iniciar todas las consultas. |
|
Este servidor utiliza Active Directory | Marque esta casilla si el servidor es un servidor Active Directory. | |
Resultados de búsqueda de páginas de este servidor | Marque esta casilla si el servidor compagina los resultados de búsqueda (sólo LDAP). | |
Este servidor utiliza una conexión cifrada | Al marcar esta casilla, se le pedirá que seleccione una de las siguientes opciones: Utilizar SSL (LDAPS). Si su servidor LDAPS utiliza un certificado no fiable, puede configurar las opciones de certificado en esta pantalla. Utilizar TSL (STARTTLS). Si su servidor LDAP utiliza un certificado autofirmado para STARTTLS, puede configurar las opciones de certificación en esta pantalla. | |
Nombre de usuario | El nombre distinguido de un usuario administrativo que la aplicación utilizará cuando se conecte al servidor de directorio. Para Active Directory, si se desea sincronizar el estado de los usuarios eliminados del directorio, el usuario debe ser miembro del grupo de administradores integrado. | |
Contraseña | La contraseña del usuario especificado anteriormente. La contraseña se almacena de forma segura en el gestor de credenciales nativo del sistema operativo. |
consejo
Cuando haya terminado de configurar, navegue a la pestaña Más y seleccione el botón Borrar caché de sincronización para prevenir posibles conflictos con operaciones de sincronización anteriores. Para obtener más información, consulte Borrar Caché de Sincronización.
Complete los siguientes pasos para configurar los ajustes utilizados al sincronizar usando Directory Connector:
nota
Si está utilizando Active Directory, muchos de estos ajustes están preestablecidos para usted y, por lo tanto, no se muestran.
Abra la aplicación de escritorio de Directory Connector.
Vaya a la pestaña Configuración.
En la sección Sincronización, configure las siguientes opciones como desee:
Opción | Descripción |
|---|---|
Intervalo | Tiempo entre comprobaciones automáticas de sincronización (en minutos). |
Eliminar usuarios deshabilitados durante la sincronización | Marque esta casilla para eliminar usuarios de la organización Bitwarden que hayan sido deshabilitados en su organización. |
Sobrescribir los usuarios existentes de la organización en función de la configuración de sincronización actual | Marque esta casilla para sobrescribir completamente el conjunto de usuarios en cada sincronización, incluida la eliminación de usuarios de su organización cuando no estén presentes en el conjunto de usuarios del directorio. Realice siempre una sincronización de prueba antes de sincronizar después de habilitar esta opción. |
Se espera que más de 2.000 usuarios o grupos se sincronicen | Marque esta casilla si espera sincronizar más de 2.000 usuarios o grupos. Si no marca esta casilla, Directory Connector limitará la sincronización a 2.000 usuarios o grupos. |
Atributo de Miembro | Nombre del atributo utilizado por el directorio para definir la pertenencia a un grupo (por ejemplo, |
Atributo de Datos de Creación | Nombre del atributo utilizado por el directorio para especificar cuándo se creó una entrada (por ejemplo, |
Atributo de Fecha de Revisión | Nombre del atributo utilizado por el directorio para especificar cuándo se modificó una entrada por última vez (por ejemplo, |
Si un usuario no tiene dirección de correo electrónico, combine un prefijo de nombre de usuario con un valor de sufijo para crear un correo electrónico | Marque esta casilla para crear opciones de correo electrónico válidas para los usuarios que no tienen una dirección de correo electrónico. Los usuarios sin direcciones de correo electrónico reales o creadas serán omitidos por Directory Connector. |
Atributo de Prefijo de Correo Electrónico | Atributo utilizado para crear un prefijo para las direcciones de correo electrónico formadas. |
Sufijo de Correo Electrónico | Una cadena ( |
Sincronizar usuarios | Marque esta casilla para sincronizar los usuarios con su organización. |
Filtro de Usuario | Véase Especificar filtros de sincronización. |
Ruta del Usuario | Atributo utilizado con la Ruta Raíz especificada para buscar usuarios (por ejemplo, |
Clase de Objeto de Usuario | Nombre de la clase utilizada para el objeto de usuario LDAP (por ejemplo, |
Atributo de Correo Electrónico del Usuario | Atributo que se utilizará para cargar la dirección de correo electrónico almacenada de un usuario. |
Sincronizar Grupos | Marque esta casilla para sincronizar los grupos con su organización. |
Filtro de Grupo | Véase Especificar filtros de sincronización. |
Ruta de Grupo | Atributo utilizado con la Ruta Raíz especificada para buscar grupos (por ejemplo, |
Clase de Objeto de Grupo | Nombre de la clase utilizada para el objeto de grupo LDAP (por ejemplo, |
Atributo de Nombre de Grupo | Nombre del atributo utilizado por el directorio para definir el nombre de un grupo (por ejemplo, |
Los filtros de usuarios y grupos pueden adoptar la forma de cualquier filtro de búsqueda compatible con LDAP.
Active Directory proporciona algunas opciones avanzadas y limitaciones para escribir filtros de búsqueda, en comparación con las direcciones LDAP estándar. Obtenga más información sobre cómo escribir filtros de búsqueda de Active Directory aquí.
nota
Los grupos anidados pueden sincronizar múltiples objetos de grupo con un solo referente en el Conector de Directorio. Haz esto creando un grupo cuyos miembros son otros grupos.
Muestras
Para filtrar una sincronización para todas las entradas que tienen objectClass=user y cn (nombre común) que contiene Marketing:
Bash(&(objectClass=user)(cn=*Marketing*))
(Sólo LDAP) Para filtrar una sincronización de todas las entradas con un componente ou (unidad de organización) de su dn (nombre distinguido) que sea Miami u Orlando:
Bash(|(ou:dn:=Miami)(ou:dn:=Orlando))
(Sólo LDAP) Para excluir entidades que coincidan con una expresión, por ejemplo, todas las entradas ou=Chicago excepto las que también coincidan con un atributo ou=Wrigleyville:
Bash(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville)))
(Sólo AD) Para filtrar una sincronización para los usuarios del grupo Heroes:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=Heroes,ou=users,dc=company,dc=com))
(Sólo AD) Para filtrar una sincronización para los usuarios que son miembros del grupo Heroes, ya sea directamente o mediante anidamiento:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=Heroes,ou=users,dc=company,dc=com))
consejo
Antes de probar o ejecutar una sincronización, compruebe que Directory Connector esté conectado al servidor en la nube correcta (por ejemplo, EE. UU. o UE) o al servidor autoalojado. Aprenda a hacerlo con la aplicación de escritorio o CLI.
Para probar si Directory Connector se conectará correctamente a su directorio y devolverá los usuarios y grupos deseados, navegue hasta la pestaña Panel de Control y seleccione el botón Probar Ahora. Si tiene éxito, los usuarios y grupos se imprimirán en la ventana de Directory Connector según las opciones de sincronización y los filtros especificados:
Una vez que las opciones de sincronización y los filtros estén configurados y probados, puede comenzar a sincronizar. Complete los siguientes pasos para iniciar la sincronización automática con Directory Connector:
Abra la aplicación de escritorio Directory Connector.
Vaya a la pestaña Panel de Control.
En la sección Sincronización, seleccione el botón Iniciar Sincronización.
También puede seleccionar el botón Sincronizar Ahora para ejecutar una única sincronización manual.
Directory Connector comenzará a sondear su directorio basándose en las opciones de sincronización y filtros configurados.
Si sale o cierra la aplicación, la sincronización automática se detendrá. Para mantener Directory Connector funcionando en segundo plano, minimice la aplicación u ocúltela en la bandeja del sistema.
nota
Si estás en el plan Equipos Starter, estás limitado a 10 miembros. El Conector de Directorio mostrará un error y detendrá la sincronización si intentas sincronizar más de 10 miembros.
Límite de valor alcanzado al sincronizar desde una instancia de Active Directory:
El MaxValRange de Active Directory tiene un valor predeterminado de 1500. Si un atributo, como los miembros de un Grupo, tiene más de 1500 valores, Active Directory devolverá tanto un atributo de miembros en blanco y una lista truncada de miembros en atributos separados, hasta el valor de MaxValRange.
Puede ajustar la política
MaxValRangea un valor superior al número de miembros de su grupo más grande en Active Directory. Consulte la documentación de Microsoft para configurar las políticas LDAP de Active Directory mediante la utilidad ntdsutll.exe.