Scoprite come creare automaticamente account utente Adobe Connect o come autenticare gli utenti di Adobe Connect mediante il servizio di directory LDAP.

Panoramica sull’integrazione con un servizio di directory

Potete integrare Adobe Connect con un servizio di directory per l’autenticazione degli utenti in base a una directory LDAP e per evitare di dover aggiungere manualmente singoli utenti e gruppi. Gli account utenti vengono creati automaticamente in Adobe Connect mediante sincronizzazioni manuali o programmate con la directory aziendale.

Per poter essere integrato con Adobe Connect, il server di directory deve usare il protocollo LDAP (Lightweight Directory Access Protocol) o LDAPS (Secure Lightweight Directory Access Protocol). LDAP è un protocollo client-server Internet per la ricerca di informazioni di contatto relative agli utenti in un server di directory compatibile con LDAP.

Adobe Connect si collega a una directory LDAP come client LDAP. Adobe Connect importa utenti e gruppi e ne sincronizza i dati con la directory LDAP. Potete inoltre configurare Adobe Connect per l’autenticazione degli utenti mediante confronto con la directory LDAP.

Qualsiasi servizio di directory conforme con il parametro LDAP può essere integrato con Adobe Connect. Per un elenco delle directory LDAP certificate, visitate www.adobe.com/go/learn_cnn_sysreqs_en.

Informazioni sulla struttura di directory LDAP

Le directory LDAP organizzano le informazioni in base allo standard X.500.

Un utente o un gruppo in una directory LDAP viene chiamato voce. Una voce è una raccolta di attributi. Un attributo è costituito da un tipo e da uno o più valori. I tipi usano stringhe quali ou (organizational unit) per unità organizzativa e cn (common name) per nome comune. I valori degli attributi sono informazioni quali un numero di telefono, un indirizzo e-mail e una foto. Per determinare la struttura di directory LDAP dell’organizzazione, contattate l’amministratore LDAP.

A ogni voce è assegnato un nome distinto (DN) che descrive un percorso alla voce attraverso una struttura ad albero dalla voce alla radice. Il DN di una voce nella directory LDAP è una concatenazione del nome della voce (denominato nome distinto relativo, RDN) e dei nomi delle voci che lo precedono nella struttura ad albero.

Una struttura ad albero può riflettere posizioni geografiche o suddivisioni in reparti all’interno di una società. Ad esempio, se Alicia Solis è un utente del reparto di controllo qualità (QA) presso Acme, Inc. in Francia, il DN di questo utente sarà:

cn=Alicia Solis, ou=QA, c=France (Francia), dc=Acme, dc=com

Importare rami della directory

Quando importate utenti e gruppi da una directory LDAP in Adobe Connect, specificate un percorso a una sezione della struttura LDAP usando il DN della sezione. Ciò specifica l’ambito della ricerca. Ad esempio potete importare solo gli utenti di un determinato gruppo all’interno dell’organizzazione. Per fare ciò dovete conoscere l’ubicazione delle voci di tale gruppo nella struttura ad albero della directory.

Una tecnica comune consiste nell’usare il dominio Internet dell’organizzazione come radice della struttura. Ad esempio, Acme, Inc. può usare dc=com per specificare l’elemento radice della struttura. Un DN che specifica l’ufficio vendite di Singapore di Acme, Inc. potrebbe essere ou=Singapore, ou=Marketing, ou=Employees, dc=Acme, dc=com. (In questo esempio ou è l’abbreviazione di unità organizzativa e dc è l’abbreviazione di componente di dominio.)

Nota:

alcune directory LDAP hanno più di una radice. In tal caso, potete importare rami distinti.

Importare utenti e gruppi

Le voci relative a utenti e gruppi possono essere strutturate in due modi in una directory LDAP: sotto lo stesso nodo di un ramo e sotto diversi rami.

Se utenti e gruppi sono sotto lo stesso nodo di un ramo LDAP, le impostazioni di utenti e gruppi per l’importazione delle voci contengono lo stesso DN di ramo. Ciò significa che quando importate utenti dovete usare un filtro per selezionare solo utenti e quando importate gruppi dovete usare un filtro per selezionare solo gruppi.

Se utenti e gruppi sono sotto diversi rami nella struttura, usate un DN di ramo che seleziona il ramo utente quando importate gli utenti e un DN di ramo che seleziona il ramo gruppo quando importate i gruppi.

Potete inoltre importare rami secondari per importare gli utenti di tutti i rami al di sotto di un determinato livello. Se desiderate ad esempio importare tutti i dipendenti del reparto vendite, potete usare il seguente DN di ramo: ou=Sales, dc=Acme, dc=com Gli addetti alle vendite potrebbero tuttavia essere memorizzati in rami secondari. In questo caso, nella schermata Mappatura profilo utente impostate il parametro Ricerca nella sottostruttura su true per garantire che vengano importati gli utenti dei rami secondari al di sotto di tale livello della struttura.

ou=Sales, dc=Acme, dc=com

Filtrare le voci selezionate

Un filtro specifica una condizione che una voce deve soddisfare affinché venga selezionata. Ciò limita la selezione delle voci in una parte determinata della struttura. Ad esempio, se il filtro specifica (objectClass=organizationalPerson), solo le voci con l’attributo organizationalPerson vengono selezionate per l’importazione.

Nota:

L’attributo objectClass deve essere presente in tutte le voci di una directory LDAP.

Utenti e gruppi interni ed esterni

Gli utenti e i gruppi che create direttamente in Adobe Connect invece di importarli da una directory LDAP vengono denominati utenti e gruppi interni. Gli utenti e i gruppi importati nel database di Adobe Connect da una directory LDAP vengono denominati utenti e gruppi esterni.

Per assicurare che i gruppi importati siano sempre sincronizzati con la directory LDAP esterna, non potete aggiungere utenti e gruppi interni ai gruppi esterni. Potete tuttavia aggiungere utenti e gruppi esterni ai gruppi interni.

Se il valore del nome o del login di una voce di utente o gruppo importato corrisponde al login di un utente o gruppo interno esistente, la sincronizzazione delle directory modifica l’utente o il gruppo importato da interno a esterno e inserisce un avviso nel registro di sincronizzazione.

Integrare Adobe Connect con una directory LDAP

L’integrazione con un servizio di directory viene eseguita nella scheda Impostazioni servizio directory della console di gestione applicazione. Usate un account amministratore.

Potete configurare un server di directory per l’autenticazione degli utenti e la sincronizzazione LDAP. La configurazione può essere diretta a uno o più rami del servizio di directory.

Aprire la console di gestione applicazione.

Scegliete Start > Programmi > Adobe Connect Server > Configura Adobe Connect Server.

Immettere le impostazioni di connessione al server LDAP.

Selezionate la scheda Impostazioni servizio directory. Immettete valori nella schermata Impostazioni LDAP > Impostazioni di connessione e fate clic su Salva.

Quando fate clic su Salva, Adobe Connect esegue un test della connessione LDAP. Se il test ha esito negativo, compare il seguente messaggio:

Le impostazioni sono state salvate correttamente ma non è stato possibile verificare la connettività LDAP. Verificate l’URL e la porta LDAP.

 

Campo

Valore predefinito

Descrizione

URL server LDAP

Nessun valore predefinito.

La sintassi standard è ldap://[nomeserver:numeroporta]. Se l’organizzazione usa un server LDAP protetto, usate ldaps://.

Se non specificate una porta, Adobe Connect usa la porta standard LDAP (389) o LDAPS (636). LDAPS richiede certificati SSL. Se configurate Adobe Connect per una foresta Microsoft Active Directory in cui è attivato il catalogo globale, usate quest’ultimo (porta standard: 3268).

Metodo di autenticazione della connessione LDAP

Nessun valore predefinito.

Il meccanismo di autenticazione delle credenziali (nome utente e password LDAP) dell’account del servizio LDAP per Adobe Connect (diritti amministrativi).

Semplice (autenticazione standard; consigliato). Anonimo (nessuna password; il server LDAP deve essere configurato per consentire login anonimi). Digest MD5 (configurate il server LDAP per consentire l’autenticazione digest).

Nome utente connessione LDAP

Nessun valore predefinito.

Login amministrativo sul server LDAP.

Password connessione LDAP

Nessun valore predefinito.

Password amministrativa sul server LDAP.

Timeout query LDAP

Nessun valore predefinito.

Tempo in secondi allo scadere del quale la query viene annullata. Se lasciate vuoto questo campo, non viene impostato alcun timeout. Impostate questo valore su 120.

Limite dimensione pagina di query LDAP

Nessun valore predefinito.

La dimensione della pagina dei risultati restituiti dal server LDAP. Se la casella è vuota o impostata su 0, non viene usata alcuna dimensione di pagina.

Usate questo campo per i server LDAP in cui è configurata una dimensione massima per i risultati. Impostate la dimensione della pagina su un valore inferiore alla dimensione massima dei risultati, in modo che i risultati vengano recuperati dal server in più pagine.

Ad esempio, se provate a integrare una grande directory LDAP in grado di visualizzare solo 1000 utenti mentre gli utenti da importare sono 2000, l’integrazione non riesce.

Se impostate la dimensione della pagina di query su 100, i risultati vengono restituiti in 20 pagine e tutti gli utenti vengono importati.

 

Di seguito è riportato un esempio di sintassi LDAP per le impostazioni di connessione:

URL:ldap://ldapserver.mycompany.com:389 
UserName:MYCOMPANY\jdoe 
Password:password123 
Query timeout:120 
Authentication mechanism:Simple 
Query page size:100

Mappare i profili utente di Adobe Connect e della directory LDAP.

Scegliete la scheda Mappatura profilo utente, immettete i valori necessari e fate clic su Salva.

Campo

Valore predefinito

Descrizione

Login

Nessun valore predefinito.

L’attributo login del servizio di directory.

Nome

Nessun valore predefinito.

L’attributo nome del servizio di directory.

Cognome

Nessun valore predefinito.

L’attributo cognome del servizio di directory.

E-mail

Nessun valore predefinito.

L’attributo e-mail del servizio di directory.

Se avete definito campi personalizzati, questi vengono aggiunti alla schermata Mappatura profilo utente. In questo esempio, viene mappato un profilo utente Adobe Connect su un profilo utente LDAP Active Directory; Network Login (accesso alla rete) è un campo personalizzato.

Login:mail 
FirstName:givenName 
LastName:sn 
Email:userPrincipalName 
NetworkLogin:mail

(Facoltativo) Aggiungere un ramo utente.

Fate clic su Aggiungi per aggiungere informazioni utente da un determinato ramo della società. Immettete valori nei campi relativi al ramo e al filtro e fate clic su Salva.

Per importare utenti da rami secondari, selezionate True (Vero) nel menu Ricerca sottostruttura; in caso contrario, selezionate False (Falso).

Per ulteriori informazioni, consultate Informazioni sulla struttura di directory LDAP.

Campo

Valore predefinito

Note/attributo LDAP

DN ramo

Nessun valore predefinito.

DN (nome distinto) del nodo radice del ramo. Viene visualizzato un collegamento al ramo selezionato.

Filtro

Nessun valore predefinito.

La stringa di filtro della query.

Ricerca nella sottostruttura

True

True o False. Il valore True avvia la ricerca ricorsiva in tutte le sottostrutture del ramo.

Mappare i profili dei gruppi di Adobe Connect e della directory LDAP.

Selezionate la scheda Mappatura profilo del gruppo, immettete i valori necessari e fate clic su Salva.

Nota: i profili dei gruppi di Adobe Connect non supportano i campi personalizzati.

Campo

Valore predefinito

Note/attributo LDAP

Nome gruppo

Nessun valore predefinito.

L’attributo nome gruppo del servizio di directory.

Membro del gruppo

Nessun valore predefinito.

L’attributo membro del gruppo del servizio di directory.

Di seguito è riportata la mappatura tra gli attributi per le voci dei gruppi LDAP e un profilo di gruppo di Adobe Connect:

Name:cn 
Membership:member

(Facoltativo) Aggiungere un ramo gruppo.

Fate clic su Aggiungi per aggiungere informazioni utente da un determinato ramo dell’organizzazione. Immettete valori nei campi relativi al ramo e al filtro e fate clic su Salva.

Per importare gruppi da rami secondari, selezionate True (Vero) nel menu Ricerca sottostruttura; in caso contrario, selezionate False (Falso).

Per ulteriori informazioni, consultate Informazioni sulla struttura di directory LDAP.

Campo

Valore predefinito

Note/attributo LDAP

DN ramo

Nessun valore predefinito.

DN (nome distinto) del nodo radice del ramo. Ogni ramo dell’organizzazione ha un attributo DN LDAP specifico. Viene visualizzato un collegamento al ramo selezionato.

Filtro

Nessun valore predefinito.

La stringa di filtro della query.

Ricerca nella sottostruttura

True

Un valore booleano pari a true o false. Il valore true avvia la ricerca ricorsiva in tutte le sottostrutture del ramo.

Di seguito è riportato un esempio di sintassi LDAP per l’aggiunta di un ramo all’organizzazione e la definizione dei gruppi corrispondenti:

DN:cn=USERS,DC=myteam,DC=mycompany,DC=com 
Filter:(objectClass=group) 
Subtree search:True

Immettere le impostazioni di autenticazione.

Selezionate la scheda Impostazioni autenticazione. Per autenticare gli utenti Adobe Connect rispetto al servizio directory aziendale, selezionate “Abilita autenticazione directory LDAP”. Se non selezionate questa opzione, Adobe Connect usa l’autenticazione nativa (le credenziali utenti memorizzate nel database di Adobe Connect).

Se selezionate "Abilita fall-back Connect per autenticazione directory LDAP non riuscita", Adobe Connect usa l’autenticazione nativa.

Nota:

Questo risulta utile in caso di problemi temporanei di connessione LDAP nella rete. Tuttavia, le credenziali LDAP possono essere diverse da quelle presenti nel database Adobe Connect.

Per eseguire il provisioning degli utenti che si collegano per la prima volta al server Adobe Connect se l’autenticazione LDAP ha esito positivo, selezionate Crea account utente Adobe Connect dopo l’autenticazione della directory LDAP. Se tutti gli utenti presenti nel servizio directory possono usare Adobe Connect, lasciate questa opzione selezionata e, come tipo di account, selezionate Interno. Per ulteriori informazioni, consultate Utenti e gruppi interni ed esterni.

Per creare un ID di login in Adobe Connect e inserire gli utenti nei gruppi specificati al primo login in Adobe Connect, selezionate Abilita iscrizione di gruppo solo per il primo login. Immettete i gruppi nel campo dei Nomi gruppo.

Pianificare la sincronizzazione.

Selezionate la scheda Impostazioni sincronizzazione. Nella schermata Impostazioni sincronizzazione selezionate la casella di controllo Attiva sincronizzazione pianificata per pianificare la sincronizzazione una volta al giorno, alla settimana o al mese a una determinata ora. Per ulteriori informazioni, consultate Procedure consigliate per la sincronizzazione.

Potete inoltre eseguire la sincronizzazione manuale nella schermata Azioni sincronizzazione.

Impostare criteri per la password e criteri di eliminazione.

Selezionate la scheda Impostazioni criteri, scegliete i criteri di impostazione password e i criteri di eliminazione e quindi fate clic su Salva. Per ulteriori informazioni sui criteri per la password, consultate Gestire le password.

Nota:

Se durante una sincronizzazione selezionate l’opzione Elimina utenti e gruppi..., tutti gli utenti esterni che sono stati eliminati dal server LDAP vengono eliminati anche dal server di Adobe Connect.

Visualizzare l’anteprima della sincronizzazione.

Selezionate la scheda Azioni sincronizzazione. Nella sezione Anteprima sincronizzazione directory fate clic su Anteprima. Per ulteriori informazioni, consultate Procedure consigliate per la sincronizzazione.

Gestire le password

Se non abilitate l’autenticazione LDAP, dovete scegliere il modo in cui gli utenti vengono autenticati da Adobe Connect.

Quando Adobe Connect importa informazioni relative agli utenti da una directory esterna, non importa le password di rete. Pertanto, implementate un altro metodo per la gestione delle password degli utenti importati nella directory di Adobe Connect.

Notificare gli utenti per l’impostazione di una password

Nella schermata Impostazioni criteri della scheda Impostazioni sincronizzazione potete scegliere di inviare un messaggio e-mail agli utenti importati con un collegamento che consente loro di impostare una password.

Impostare la password su un attributo LDAP

Potete scegliere di impostare la password iniziale di un utente importato sul valore di un attributo nella voce di directory dell’utente. Ad esempio, se la directory LDAP include l’ID dipendente come campo, potete impostare la password iniziale degli utenti sul relativo ID dipendente. Dopo che gli utenti hanno eseguito l’accesso usando questa password, possono modificarla.

In qualità di amministratore potete sincronizzare Adobe Connect con la directory LDAP esterna in due modi:

  • Potete pianificare la sincronizzazione in modo che venga eseguita a intervalli regolari.

  • Potete eseguire una sincronizzazione manuale per sincronizzare immediatamente la directory di Adobe Connect con la directory LDAP dell'azienda.

Prima di importare utenti e gruppi in una sincronizzazione iniziale, è consigliabile usare un browser LDAP per verificare i parametri di connessione. I seguenti browser sono disponibili online: LDAP Browser/Editor e LDAP Administrator.

Nota:

Evitate di riavviare il server LDAP o di eseguire processi paralleli durante la sincronizzazione. In questo modo, infatti, si potrebbe causare l’eliminazione di gruppi e utenti da Adobe Connect.

Sincronizzazioni pianificate

Le sincronizzazioni pianificate sono consigliate perché garantiscono che Adobe Connect disponga di un quadro aggiornato degli utenti e dei gruppi importati dalla directory LDAP dell’azienda.

Se importate molti utenti e gruppi, la sincronizzazione iniziale può richiedere notevoli risorse. In tal caso pianificate la sincronizzazione iniziale in modo che venga eseguita in un periodo di lavoro meno intenso, ad esempio di notte. In alternativa, potete eseguire manualmente la sincronizzazione iniziale.

Per configurare la sincronizzazione pianificata, usate la schermata Impostazioni sincronizzazione > Impostazioni pianificazione nella console di gestione applicazione.

Quando viene eseguita la sincronizzazione, Adobe Connect confronta le voci di directory LDAP con le voci di directory di Adobe Connect e importa solo quelle che contengono almeno un campo modificato.

Anteprima della sincronizzazione

Prima di importare utenti e gruppi in una sincronizzazione iniziale, Adobe consiglia di verificare le mappature mediante l’anteprima della sincronizzazione. Nell’anteprima gli utenti e i gruppi non vengono effettivamente importati ma vengono registrati eventuali errori. Potete quindi esaminare questi errori per diagnosticare i problemi di sincronizzazione.

Per accedere ai registri della sincronizzazione, usate la schermata Registri sincronizzazione. Ogni riga del registro indica un evento della sincronizzazione; la sincronizzazione genera almeno un evento per ogni entità (utente o gruppo) elaborata. Se durante l’anteprima vengono generati avvisi o errori, questi vengono elencati in un secondo registro di avvisi.

Valori del file di registro

I registri di sincronizzazione contengono valori in formato separato da virgole. Nelle seguenti tabelle con principal (entità) si fa riferimento a voci di utenti e gruppi. I seguenti valori sono inclusi nelle voci di registro:

Campo

Descrizione

Date

Il valore data-ora formattato, con indicazione dei millisecondi. Il formato è yyyyMMdd’T’HHmmss.SSS.

Principal ID

Il nome del gruppo o di login.

Principal type

Un solo carattere: U per utente, G per gruppo.

Event

L’azione intrapresa o la condizione rilevata.

Detail

Informazioni dettagliate sull’evento.

Nella seguente tabella vengono descritti i diversi tipi di evento che possono essere inclusi nei file di registro di sincronizzazione:

Evento

Descrizione

Dettagli

add

L’entità è stata aggiunta ad Adobe Connect.

Pacchetto XML ridotto che descrive i campi aggiornati mediante una serie di coppie di tag nel formato <fieldname>value</fieldname> (ad esempio <first-name>Joe</first-name>). Il nodo padre e i campi non aggiornati vengono omessi.

update

L’entità è un utente esterno e alcuni campi sono stati aggiornati.

 

update-members

L’entità è un gruppo esterno e le entità sono state aggiunte o rimosse dall’appartenenza al gruppo.

Un pacchetto XML ridotto che descrive i membri aggiunti e rimossi. Il nodo padre viene omesso:

<add>elenco ID</add> <remove>elenco ID</remove>L'elenco di ID è una serie di pacchetti <id>principal ID</id> nella quale principal ID è un ID che viene elencato nella colonna Principal ID, ad esempio un login utente o un nome di gruppo. Se non ci sono membri di un elenco di ID, il nodo padre viene riportato come <add/> o <remove/>.

delete

L’entità è stata eliminata da Adobe Connect.

 

up-to-date

L’entità è un’entità esterna in Adobe Connect ed è già sincronizzata con la directory esterna. Non sono state apportate modifiche.

Un utente o un gruppo creato in Adobe Connect viene considerato come entità interna. Un utente o un gruppo creato dal processo di sincronizzazione viene considerato come entità esterna.

make-external

L’entità è un’entità interna in Adobe Connect ed è stata convertita in un’entità esterna.

Questo evento consente alla sincronizzazione di modificare o eliminare l’entità ed è seguito da un altro evento che esegue l’una o l’altra operazione. Questo evento viene registrato nel registro di avvisi.

warning

Si è verificato un evento di livello avviso.

Un messaggio di avviso.

error

Si è verificato un errore.

Messaggio di eccezione Java.

Informazioni su LDAPS

Adobe Connect supporta in modo nativo LDAPS, il protocollo sicuro LDAP. Il server di directory LDAP deve fornire connettività SSL. Per la connessione sicura a un server di directory LDAP, usate il protocollo LDAPS nell’URL della connessione, come segue: ldaps://esempioServerDirectory:NumeroPorta.

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online