Para conectar el Conector de Active Directory a su cuenta Password Boss , necesitará lo siguiente:

Requisitos del sistema

• Windows Server 2012 R2 SP1 o posterior.
• .NET Framework 4.6.1 o posterior
• RAM: 512 MB
• Espacio en disco: 100 MB
• Puerto TCP de salida 443 desde el servidor que ejecuta el conector de Active Directory a api.passwordboss.com

Cuenta de servicio

• Necesitará las credenciales de una cuenta de servicio en Active Directory (AD) que ejecutará el Conector de Active Directory. La cuenta de servicio deberá tener privilegios de administrador en el servidor que ejecuta el Conector de Active Directory.
  • Si el Conector de Active Directory está instalado en un controlador de dominio , agregue su cuenta de servicio al grupo de administradores de dominio.
  • Si el Conector de Active Directory se instalará en un servidor miembro , agregue la cuenta de servicio al grupo de administradores locales del servidor.
  • También necesitará otorgar permisos a su cuenta de servicio para ver los usuarios eliminados .
  • Consulte este artículo para obtener instrucciones sobre cómo crear una cuenta de servicio.
• Si el Conector de Active Directory está instalado en un controlador de dominio en un AD de un solo dominio , también puede usar la cuenta del sistema local para ejecutar el Conector de Active Directory.

Cree un grupo de AD para sincronizar con Password Boss

El Conector de Active Director utiliza un grupo de seguridad global de AD para determinar qué usuarios sincronizar con Password Boss . La práctica recomendada es crear un nuevo grupo de seguridad en AD y asignar a todos los usuarios Password Boss . Este método facilita la administración de los usuarios que se envían a Password Boss .

Requisitos de la cuenta de usuario

Los siguientes atributos deben estar presentes en cada cuenta de usuario para sincronizarse con Password Boss :

• Nombre de pila
• Apellido
• Dirección de correo electrónico. Debe ser una dirección válida y enrutable donde el usuario pueda recibir correos electrónicos.

Requisitos de instalación de DZM

Si va a instalar el Conector de Active Directory en una DMZ, los siguientes puertos deberán estar abiertos entre el servidor DMZ y su controlador de dominio:

• TCP/UDP 53 - DNS
• TCP/UDP 88 - Autenticación Kerberos
• TCP/UDP 289 - LDAP

Puede encontrar información adicional sobre el puerto en este artículo de Microsoft .

Habilitar el conector de Active Directory en su cuenta

1. Lo primero que debe hacer es habilitar el Conector de Active Directory en su cuenta . Esto se realiza desde el portal de Password Boss . Inicie sesión como administrador y vaya a Conectores .
2. Haga clic en Instalar para iniciar el proceso de instalación.
3. Copia el token de autenticación. Deberás introducirlo en el servidor que ejecuta el conector de Active Directory.
4. Haga clic en Siguiente para pasar a la pestaña Reglas de sincronización .
5. Las reglas de sincronización se utilizan para configurar cómo se procesan los cambios de Active Directory en Password Boss . En la mayoría de los casos, se recomienda la configuración predeterminada. Encontrará más información sobre las reglas de sincronización al final de este artículo .
6. Haga clic en Aceptar para guardar la configuración.
7. Su cuenta Password Boss ahora está lista para comenzar a recibir datos de usuario de su Active Directory.

Instalación del conector de Active Directory en su servidor

1. Descargue el instalador desde la página de Active Directory del portal Password Boss .
2. Inicie sesión como administrador en el servidor donde se instalará el conector de Active Directory.
3. Ejecute el instalador
4. Haga clic en el botón Instalar para aceptar el acuerdo de licencia e iniciar el instalador.
5. Cambie la carpeta de instalación si es necesario y haga clic en Continuar .

Configuración del conector de Active Directory

1. Abra la aplicación Password Boss Active Directory Connector.
2. En la pestaña "Configuración del Directorio" , introduzca las credenciales de la cuenta de servicio que utilizará y seleccione los dominios que contienen sus cuentas de usuario. Si la lista de dominios está vacía, significa que la cuenta de servicio que utiliza no tiene los permisos correctos en AD.
3. En la pestaña Autenticación , ingrese el token de autenticación que recibió cuando habilitó el Conector de Active Directory en el portal y haga clic en Guardar.
4. En la pestaña, haga clic en el botón Editar para seleccionar el grupo de AD que contiene las cuentas de usuario que sincronizará con Password Boss . Recomendamos encarecidamente crear un grupo de AD dedicado para esto.
5. Los usuarios se están sincronizando con Password Boss . El siguiente paso para la sincronización de grupos es opcional.
6. En la pestaña Grupos, puede sincronizar grupos de AD con Password Boss . Consulte la información adicional sobre la sincronización de grupos al final de este artículo.

Comprender el proceso de sincronización

Cuando se envía una cuenta de usuario a Password Boss , la cuenta pasará por las siguientes etapas:

Creación de cuenta : esto significa que Password Boss ha recibido la información del usuario y que la cuenta está en proceso de creación. Este proceso suele tardar solo unos segundos por cuenta.

Activo : Una vez creada la cuenta de usuario, esta aparecerá como activa en el portal. En este punto, se le enviará un correo electrónico con una contraseña temporal para iniciar sesión. Al iniciar sesión por primera vez, también recibirá un código de verificación por correo electrónico que deberá introducir en la aplicación desde su ordenador o dispositivo móvil. Al aceptar el código de verificación, se le pedirá que cambie su contraseña maestra.

Pendiente de aprobación : este estado puede ocurrir por uno de dos motivos.

1. En las reglas de sincronización del conector AD en el portal, seleccionó crear cuentas pendientes en Password Boss que deben aprobarse manualmente.
2. Has sincronizado más usuarios con Password Boss de los que compraste. Deberás eliminar algunos usuarios de tu cuenta Password Boss o adquirir licencias adicionales.

Deshabilitado : cuando se elimina una cuenta de usuario de la sincronización, ya sea al eliminar el usuario en AD o al eliminar el usuario del grupo que está sincronizando usuarios con Password Boss , la acción predeterminada es deshabilitar la cuenta de usuario en Password Boss .

Reglas de sincronización

Las reglas de sincronización determinan cómo se reflejan los cambios realizados en AD en Password Boss . Se configuran desde el portal Password Boss , editando el conector de Active Directory.

1. Cuando se sincroniza una nueva cuenta de usuario desde Active Directory a Password Boss

• Cree una cuenta de usuario en Password Boss . Esta es la configuración recomendada y funciona mejor en la mayoría de las empresas.
• Cree una cuenta de usuario pendiente en Password Boss que un administrador debe aprobar. Al seleccionar esta opción, las nuevas cuentas permanecerán en estado pendiente hasta que un administrador las apruebe manualmente en el portal Password Boss .

2. Cuando se elimina una cuenta de usuario en Active Directory

• Desactivar la cuenta de usuario en Password Boss . Esta es la configuración recomendada y funciona en la mayoría de las empresas. Nota: No es posible eliminar automáticamente las cuentas de Password Boss desde el conector de Active Directory. Este es un mecanismo de seguridad para evitar la eliminación accidental de cuentas Password Boss si se produce un error en AD.
• Eliminar al usuario de su cuenta y convertirlo en una cuenta personal. Esta configuración generalmente solo es útil para empresas donde los usuarios usan sus direcciones de correo electrónico personales para sus cuentas Password Boss .

3. Cuando una cuenta de usuario está deshabilitada en Active Directory

• Desactivar la cuenta de usuario en Password Boss . Esta es la configuración recomendada y funciona en la mayoría de las empresas.
• Eliminar al usuario de su cuenta y convertirlo en una cuenta personal. Esta configuración generalmente solo es útil para empresas donde los usuarios usan sus direcciones de correo electrónico personales para sus cuentas Password Boss .

4. Cuando se elimina una cuenta de Active Directory de la sincronización con Password Boss

• Desactivar la cuenta de usuario en Password Boss . Esta es la configuración recomendada y funciona en la mayoría de las empresas.
• Eliminar al usuario de su cuenta y convertirlo en una cuenta personal. Esta configuración generalmente solo es útil para empresas donde los usuarios usan sus direcciones de correo electrónico personales para sus cuentas Password Boss .

Sincronización de grupo

Los usuarios usan los grupos en Password Boss cuando comparten contraseñas en la aplicación Password Boss . Si ha creado grupos en AD que serán útiles para sus usuarios al compartir contraseñas, habilitar la sincronización de grupos en el Conector de Active Directory le permitirá administrar grupos en AD y sincronizar los cambios con Password Boss .

Cuando la sincronización de grupos está habilitada, los usuarios configurados para sincronizar con Password Boss (pestaña Usuarios en el Conector de Active Directory) también tendrán grupos asociados a sus cuentas en Password Boss . Password Boss sincronizará los grupos de seguridad global .

Al habilitar la sincronización de grupos, no se agregan usuarios adicionales a su cuenta en Password Boss . Los únicos usuarios que se sincronizarán con Password Boss son los que pertenecen al grupo que aparece en la pestaña Usuarios del Conector de Active Directory en su servidor Windows.

Por ejemplo, si tiene los siguientes usuarios y grupos:

• Usuarios de AD = Usuario1, Usuario2, Usuario3, Usuario4, Usuario5
• Grupo = " Usuarios Password Boss ": Usuario1, Usuario2, Usuario3
• Grupo = " Marketing " - Usuario1
• Grupo = " HR " - Usuario2, Usuario4
• Grupo = " Finanzas " - Usuario3, Usuario5

Así se sincronizarán los usuarios y grupos con Password Boss

1. En la pestaña Usuarios del Conector de Active Directory se selecciona el grupo " Usuarios Password Boss ".
2. En la pestaña Grupos del Conector de Active Directory se seleccionan " Marketing " y " RR.HH. "
3. Los siguientes usuarios se sincronizarán con Password Boss : Usuario1, Usuario2, Usuario3
4. Los siguientes grupos se sincronizarán con Password Boss : " Marketing ", " RR.HH. "
5. En Password Boss el grupo " Marketing " contendrá: Usuario1
6. En Password Boss el grupo " RR.HH. " contendrá: Usuario2 . El Usuario4 no está sincronizado porque no pertenece al grupo "Usuarios Password Boss ".
7. En Password Boss el grupo " Finanzas " no está sincronizado porque el grupo no está seleccionado en la pestaña Grupos del Conector de Active Directory.