Connessione tramite LDAP

Configurazione di Campaign e LDAP

NOTA

La configurazione LDAP è possibile solo per installazioni on-premise o ibride.

La configurazione LDAP viene eseguita nella procedura guidata di distribuzione. L'opzione LDAP integration deve essere selezionata durante il primo passaggio di configurazione. Fare riferimento a Procedura guidata di distribuzione.

La finestra ti consente di configurare l'identificazione degli utenti Adobe Campaign tramite la directory LDAP specificata.

  • Specifica l'indirizzo del server LDAP nel campo LDAP server . È possibile aggiungere il numero di porta. Per impostazione predefinita, la porta utilizzata è 389.

  • Nell’elenco a discesa , seleziona il metodo di autenticazione per gli utenti:

    • Password crittografata (md5)

      modalità predefinita.

    • Password di testo normale + SSL (TLS)

      L'intera procedura di autenticazione (password inclusa) è crittografata. La porta sicura 636 non deve essere utilizzata in questa modalità: Adobe Campaign passa automaticamente alla modalità protetta.

      Quando utilizzi questa modalità di autenticazione, in Linux, il certificato viene verificato da una libreria client openLDAP. È consigliabile utilizzare un certificato SSL valido in modo che la procedura di autenticazione sia crittografata. In caso contrario, le informazioni saranno in testo normale.

      Il certificato viene verificato anche in Windows.

    • Gestione LAN Windows NT (NTLM)

      Autenticazione Windows proprietaria. Il Unique identifier viene utilizzato solo per il nome di dominio.

    • Autenticazione con password distribuita (DPA)

      Autenticazione Windows proprietaria. L’ Unique identifier viene utilizzato solo per il nome di dominio (domain.com).

    • Password testo normale

      Nessuna crittografia (solo per le fasi di prova).

  • Seleziona la modalità di autenticazione utente: Automatically compute the unique user identifier (vedere il passaggio Calcolo del nome distinto) o Search the unique user identifier in the directory (vedere il passaggio Ricerca di identificatori).

Compatibilità

I sistemi compatibili dipendono dal meccanismo di autenticazione selezionato. Di seguito è riportata una matrice di compatibilità dei sistemi operativi e dei server LDAP.

OpenLDAP
Active Directory
md5
Windows, Linux
Linux
TLS
Linux
Windows, Linux
NTLM e DPA
Windows
testo normale
Windows, Linux
Windows, Linux

Calcolo del nome distinto

Se si desidera calcolare gli identificatori del nome distinto (DN), il passaggio successivo della procedura guidata di distribuzione consente di configurare la modalità di calcolo.

  • Specifica l’identificatore univoco dell’utente nella directory (Nome distinto - DN) nel campo Distinguished Name .

    (login) viene sostituito con l’identificatore dell’operatore Adobe Campaign.

    ATTENZIONE

    L'impostazione dc deve essere in minuscolo.

  • Selezionare l'opzione Enable synchronization of user rights from authorizations and groups in the directory per sincronizzare il gruppo e le associazioni di utenti nella directory LDAP e le associazioni di gruppi e utenti in Adobe Campaign.

    Quando selezioni questa opzione, le opzioni Application level DN used for the search e Password of the application login sono abilitate.

    Se si compilano questi due campi, Adobe Campaign si connetterà al server LDAP con il proprio login e password. Se sono vuoti, Adobe Campaign si connetterà al server in modo anonimo.

Ricerca di identificatori

Se scegli di cercare un identificatore, la procedura guidata di distribuzione ti consente di configurare la ricerca.

  • Nei campi Application level DN used for the search e Password of the application login , fornisci l’identificatore e la password con cui Adobe Campaign si connetterà alla ricerca dell’identificatore. Se sono vuoti, Adobe Campaign si connetterà al server in modo anonimo.

  • Specifica i campi Base identifier e Search scope per determinare un sottoinsieme della directory LDAP da cui avviare la ricerca.

    Seleziona la modalità desiderata nell’elenco a discesa:

    1. Recursive (default mode).

      La directory LDAP viene cercata completamente, a partire da un determinato livello.

    2. Limited to the base.

      Tutti gli attributi sono inclusi nella ricerca.

    3. Limited to the first sub-level of the base.

      La ricerca viene eseguita su tutti gli attributi della directory a partire dal primo livello dell'attributo.

  • Il campo Filter ti consente di specificare un elemento per perfezionare l’ambito della ricerca.

Configurazione delle autorizzazioni LDAP

Questa finestra viene visualizzata quando si seleziona l'opzione Enable synchronization of user rights from authorizations and groups in the directory.

È necessario specificare diversi parametri per trovare il gruppo o i gruppi a cui appartiene l’utente e i relativi diritti, ovvero:

  • il campo Database identifier,

  • il campo Search scope,

    NOTA

    Se hai scelto di cercare il DN, puoi selezionare Reuse the DN search parameters per riportare i valori selezionati per il DN e l’ambito di ricerca dalla schermata precedente.

  • il campo Rights search filter, in base al login e al nome distinto dell'utente,

  • il campo Attribute containing the group or authorization name relativo all'utente,

  • il campo Association mask che abilita l’estrazione del nome del gruppo in Adobe Campaign e dei relativi diritti associati. È possibile utilizzare espressioni regolari per cercare il nome.

  • Seleziona Enable the connection of users declared in the LDAP directory if the operator is not declared in Adobe Campaign in modo che all'utente vengano automaticamente concessi i diritti di accesso alla connessione.

Fai clic su Save per completare la configurazione dell’istanza.

Gestione degli operatori

Una volta confermata la configurazione, è necessario definire gli operatori Adobe Campaign gestiti tramite la directory LDAP.

Per utilizzare la directory LDAP per autenticare un operatore, modifica il profilo corrispondente e fai clic sul collegamento Edit the access parameters . Seleziona l’opzione Use LDAP for authentication: Il campo Password è disabilitato per questo operatore.

Casi d’uso

Questa sezione fornisce alcuni semplici casi d’uso per aiutarti a raggiungere le configurazioni più appropriate in base alle tue esigenze.

  1. Un utente è stato creato nella directory LDAP ma non in Adobe Campaign.

    Adobe Campaign può essere configurato in modo che l'utente possa accedere alla piattaforma tramite la propria autenticazione LDAP. Adobe Campaign deve essere in grado di controllare la validità della combinazione di ID/password nella directory LDAP, in modo che l'operatore possa essere creato on-the-fly in Adobe Campaign. A questo scopo, seleziona l’opzione Enable the connection of users declared in the LDAP directory if the operator is not declared in Adobe Campaign . In questo caso, anche la sincronizzazione dei gruppi deve essere configurata: è necessario selezionare l’opzione Enable synchronization of user rights from authorizations and groups in the directory .

  2. L'utente è stato creato in Adobe Campaign ma non nella directory LDAP.

    Non saranno in grado di accedere ad Adobe Campaign.

  3. Nella directory LDAP è presente un gruppo che non esiste in Adobe Campaign.

    Questo gruppo non verrà creato in Adobe Campaign. È necessario creare il gruppo e sincronizzare i gruppi per abilitare un match-up tramite l'opzione Enable synchronization of user rights from authorizations and groups in the directory.

  4. I gruppi esistono in Adobe Campaign e la directory LDAP viene attivata dopo l'evento: i gruppi di utenti in Adobe Campaign non vengono sostituiti automaticamente con il contenuto dei gruppi LDAP. Allo stesso modo, se un gruppo esiste solo in Adobe Campaign, nessun utente LDAP può essere aggiunto ad esso fino a quando il gruppo non è stato creato e sincronizzato in LDAP.

    I gruppi non vengono mai creati al volo, sia da Adobe Campaign che da LDAP. Devono essere create singolarmente, sia in Adobe Campaign che nella directory LDAP.

    I nomi dei gruppi nella directory LDAP devono coincidere con i nomi dei gruppi Adobe Campaign. La relativa maschera di associazione è definita nell’ultima fase di configurazione della procedura guidata di distribuzione: Adobe Campaign_(.*), ad esempio.

In questa pagina