Sincronización con Active Directory o LDAP
Este artículo te ayudará a comenzar a usar Directory Connector para la sincronización de usuarios y grupos desde tu servicio LDAP o Active Directory a tu organización Bitwarden. Bitwarden proporciona conectores integrados para los servidores de directorio LDAP más populares, incluyendo:
Microsoft Active Directory
Servidor de Directorio Apache (ApacheDS)
Apple Directorio Abierto
Servidor de Directorio Fedora
Novell eDirectory
OpenDS
OpenLDAP
Sun Directory Server Empresa Edition (DSEE)
Cualquier servidor de directorio LDAP genérico
Complete los siguientes pasos para configurar el Conector de Directorio para usar su LDAP o Active Directory:
1. Abra la aplicación Conector de Directorio.
2. En la pestaña Configuración, ingrese la dirección IP o el nombre de host de su servidor LDAP o Active Directory.
3. Ingrese el puerto en el que su servidor LDAP o Active Directory está escuchando.
4. Si su servidor utiliza SSL, marque la casilla "Usar SSL".
5. Ingrese el nombre de dominio completo (FQDN) de su servidor LDAP o Active Directory.
6. Ingrese las credenciales de un usuario con permisos para leer el directorio.
7. Haga clic en "Probar conexión" para verificar que el Conector de Directorio puede comunicarse con su servidor LDAP o Active Directory.
8. Si la prueba es exitosa, haga clic en "Guardar" para guardar la configuración.
9. Ahora, el Conector de Directorio debería estar configurado para usar su LDAP o Active Directory.
Abre la aplicación de escritorio del Conector de Directorio.
Navega a la pestaña de Ajustes.
Desde el menú desplegable Tipo, selecciona Directorio Activo / LDAP.
Los campos disponibles en esta sección cambiarán de acuerdo con el tipo seleccionado.
Configura las siguientes opciones:
Opción | Descripción | Ejemplos |
|---|---|---|
Nombre de servidor | Nombre de host de su servidor de directorio. |
|
Puerto del Servidor | Puerto en el que está escuchando su servidor de directorio. |
|
Ruta Raíz | Ruta raíz en la que el Conector de Directorio debería iniciar todas las consultas. |
|
Este servidor utiliza directorio activo. | Marque esta casilla si el servidor es un servidor de Active Directory. | |
Este servidor busca resultados de páginas. | Marque esta casilla si el servidor pagina los resultados de búsqueda (solo LDAP). | |
Este servidor utiliza una conexión cifrada. | Marcar esta casilla te pedirá que selecciones una de las siguientes opciones: Use SSL (LDAPS) Si su servidor LDAPS utiliza un certificado no confiable, puede configurar las opciones de certificado en esta pantalla. Use TSL (STARTTLS) Si su servidor LDAP utiliza un certificado autofirmado para STARTTLS, puede configurar las opciones de certificación en esta pantalla. | |
Usuario | El nombre distinguido de un usuario administrativo que la aplicación utilizará al conectarse al servidor de directorio. Para Active Directory, si se desea sincronizar el estado de los usuarios eliminados del directorio, el usuario debería ser un miembro del grupo de administrador incorporado. | |
Contraseña | La contraseña del usuario especificado arriba. La contraseña está almacenada de manera segura en el gestor de credenciales nativo del sistema operativo. |
consejo
When you are finished configuring, navigate to the More tab and select the Clear Sync Cache button to prevent potential conflicts with prior sync operations. For more information, see Clear Sync Cache.
Complete los siguientes pasos para configurar los ajustes utilizados al sincronizar usando el Conector de Directorio:
nota
If you are using Active Directory, many of these settings are predetermined for you and are therefore are not shown.
Abre la aplicación de escritorio del Conector de Directorio.
Navega a la pestaña de Ajustes.
En la sección de Sincronización, configure las siguientes opciones según lo desee:
Opción | Descripción |
|---|---|
Intervalo | Tiempo entre la comprobación de sincronización automática (en minutos). |
Eliminar usuarios discapacitados durante la sincronización | Marca esta casilla para eliminar a los usuarios de la organización Bitwarden que han sido desactivados en tu organización. |
Sobrescribir los usuarios existentes de la organización basándose en los ajustes actuales de sincronización | Marque esta casilla para sobrescribir completamente el usuario establecido en cada sincronización, incluyendo la eliminación de usuarios de su organización cuando estén ausentes del conjunto de usuarios del directorio. Siempre ejecute una prueba de sincronización antes de sincronizar después de habilitar esta opción. |
Se espera que más de 2000 usuarios o grupos realicen la sincronización. | Marque esta casilla si espera realizar la sincronización de 2000+ usuarios o grupos. Si no marcas esta casilla, Directory Connector limitará una sincronización a 2000 usuarios o grupos. |
Atributo de miembro | Nombre del atributo utilizado por el directorio para definir la membresía de un grupo (por ejemplo, |
Atributo de Datos de Creación | Nombre del atributo utilizado por el directorio para especificar cuándo se creó una entrada (por ejemplo, |
Fecha de Revisión Atributo | Nombre del atributo utilizado por el directorio para especificar cuándo se modificó por última vez una entrada (por ejemplo, |
Si un usuario no tiene dirección de correo electrónico, combine un prefijo de nombre de usuario con un valor de sufijo para formar un correo electrónico. | Marque esta casilla para formar opciones de correo electrónico válidas para usuarios que no tienen una dirección de correo electrónico. Los usuarios sin direcciones de correo electrónico reales o formadas serán omitidos por el Conector de Directorio. |
Atributo de Prefijo de Correo Electrónico | Atributo utilizado para crear un prefijo para las direcciones de correo electrónico formadas. |
Sufijo de correo electrónico | Una cadena ( |
Usuarios de sincronización | Marca esta casilla para la sincronización de usuarios a tu organización. |
Filtro de Usuario | Ver Especificar filtros de sincronización. |
Camino del Usuario | Atributo utilizado con la Ruta Raíz especificada para buscar usuarios (por ejemplo, |
Clase de Objeto del Usuario | Nombre de la clase utilizada para el objeto de usuario LDAP (por ejemplo, |
Atributo de Correo Electrónico del Usuario | Atributo a ser utilizado para cargar la dirección de correo electrónico almacenada de un usuario. |
Grupos de sincronización | Marca esta casilla para sincronizar grupos a tu organización. |
Filtro de Grupo | Ver Especificar filtros de sincronización. |
Grupo de Camino | Atributo utilizado con la Ruta Raíz especificada para buscar grupos (por ejemplo, |
Grupo de Clase de Objeto | Nombre de la clase utilizada para el objeto de grupo LDAP (por ejemplo, |
Atributo del Nombre del Grupo | Nombre del atributo utilizado por el directorio para definir el nombre de un grupo (por ejemplo, |
Los filtros de usuario y grupo pueden estar en la forma de cualquier filtro de búsqueda compatible con LDAP.
Active Directory proporciona algunas opciones avanzadas y limitaciones para escribir filtros de búsqueda, en comparación con las instrucciones estándar de LDAP. Aprende más sobre cómo escribir filtros de búsqueda para Active Directory aquí.
nota
Nested groups can sync multiple group objects with a single referent in the Directory Connector. Do this by creating a group whose members are other groups.
Muestras
Para filtrar una sincronización para todas las entradas que tienen objectClass=usuario y cn (nombre común) que contiene Marketing:
Bash(&(objectClass=user)(cn=*Marketing*))
(Solo LDAP) Para filtrar una sincronización para todas las entradas con un componente de ou (unidad de organización) de su dn (nombre distinguido) que sea Miami o Orlando:
Bash(|(ou:dn:=Miami)(ou:dn:=Orlando))
(Solo LDAP) Para excluir entidades que coinciden con una expresión, por ejemplo todas las entradas de ou=Chicago excepto aquellas que también coinciden con un atributo de ou=Wrigleyville:
Bash(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville)))
(Solo AD) Para filtrar una sincronización para usuarios en el grupo de Héroes:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=Heroes,ou=users,dc=company,dc=com))
(Solo AD) Para filtrar una sincronización para usuarios que son miembros del grupo Héroes, ya sea por directorio o a través de anidación:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=Heroes,ou=users,dc=company,dc=com))
consejo
Before testing or executing a sync, check that Directory Connector is connected to the right cloud server (e.g. US or EU) or self-hosted server. Learn how to do so with the desktop app or CLI.
Para probar si el Conector de Directorio se conectará con éxito a su directorio y devolverá los usuarios y grupos deseados, navegue hasta la pestaña Dashboard y seleccione el botón Test Now. Si tiene éxito, los usuarios y grupos se imprimirán en la ventana del Conector de Directorio de acuerdo con las opciones de sincronización y los filtros especificados:
Una vez que las opciones de sincronización y los filtros están configurados y probados, puedes comenzar la sincronización. Complete los siguientes pasos para iniciar la sincronización automática con el Conector de Directorio:
Abre la aplicación de escritorio del Conector de Directorio.
Navega a la pestaña Dashboard.
En la sección de Sincronización, selecciona el botón de Iniciar Sincronización.
Alternativamente, puede seleccionar el botón Sincronización Ahora para ejecutar una sincronización manual única.
El Conector de Directorio comenzará a sondear su directorio basado en las opciones de sincronización y los filtros configurados.
Si sales o cierras la aplicación, la sincronización automática se detendrá. Para mantener el Conector de Directorio funcionando en segundo plano, minimice la aplicación o escóndala en la bandeja del sistema.
nota
Si estás en el plan Equipos Starter, estás limitado a 10 miembros. El Conector de Directorio mostrará un error y detendrá la sincronización si intentas sincronizar más de 10 miembros.
Límite de valor alcanzado al sincronizar desde una instancia de Active Directory:
El MaxValRange del Directorio Activo tiene un ajuste predeterminado de 1500. Si un atributo, como miembros en un Grupo tiene más de 1500 valores, Active Directory devolverá tanto un atributo de miembros en blanco, como una lista truncada de miembros en atributos separados, hasta el valor de MaxValRange.
Puede ajustar la política de
MaxValRangea un valor más alto que el número de miembros de su grupo más grande en Active Directory. Consulte la documentación de Microsoft para configurar las políticas de Active Directory LDAP utilizando la utilidad ntdsutll.exe.