Breadcrumbs

Como conectar e sincronizar o Active Directory?

Conexão e sincronização com Active Directory

Este tutorial explica como configurar a conexão do GlobalSuite® com o Active Directory (AD) ou LDAP, sincronizar utilizadores e empregados, e mapear atributos entre o AD e a ferramenta. Inclui detalhes sobre os campos necessários, configuração de grupos, sincronização de utilizadores e empregados, diferenças com LDAP e considerações importantes para garantir que a integração funcione corretamente.

1. Conexão ao Active Directory

Para aceder ao ecrã de conexão ao Active Directory, é necessário ir à secção de Configurações > Conexões (como mostrado na imagem). Esta opção está disponível para utilizadores do tipo Platinum, Gold, Consulting, Administrador Consulting, Administrador Plataforma, Administrador Enterprise e Administrador Configuração.

att_32_for_1358463019.jpeg

Esta tela tem várias colunas que são descritas a seguir:

  • Nome: Contém o nome da conexão, que serve para identificá-la.

  • Tipo: Contém o tipo de conexão, neste caso será Active Directory ou LDAP.

  • Host: Contém o nome do servidor (Server Name) ao qual a conexão está ligada.

  • Utilizador: É o nome do utilizador que será usado para conectar-se ao servidor do Active Directory. Será necessário que esta conta de serviço no Active Directory possa ler a estrutura do mesmo para percorrer os utilizadores a sincronizar, bem como os atributos do Active Directory que se desejam recuperar. Recomenda-se também que esta conta de serviço tenha uma palavra-passe que não expire ou, caso contrário, que se tenha em conta para evitar que o processo de sincronização esteja sempre operacional.

  • Ativado: Indica se uma conexão está ativada ou não.

O formulário de conexão ao Active Directory é composto por diferentes campos, que são descritos a seguir.

Em primeiro lugar, encontra-se a secção de “Dados Gerais”:


att_27_for_1358463019.jpeg

  • Ativado: Indica que essa conexão do Active Directory é a que está ativada para sincronizar. Não é possível ter duas conexões de AD ativadas ao mesmo tempo.

  • Tipo: Indica o tipo da conexão (neste caso, Active Directory).

  • Nome*: É um campo obrigatório, e indica o nome dessa conexão para ser utilizada noutras opções da ferramenta.

  • Nome de Domínio: Indica o domínio ao qual o AD está ligado (como pode ser visualizado na imagem). A forma de expressá-lo é igual ao exemplo: “DC=desenvolvimento, DC=local”. Além disso, pode ser incluída uma Unidade Organizacional específica adicionando, por exemplo, “OU=teste” ao domínio, o que fará com que apenas os utilizadores dessa unidade sejam sincronizados.

att_17_for_1358463019.jpeg


  • DN de Utilizador: Indica o utilizador que se conectará ao Active Directory. Qualquer utilizador que faça parte do AD poderá conectar-se, embora só terá os privilégios que lhe foram atribuídos no AD. Ou seja, para o GlobalSuite é transparente, faz o pedido ao AD e recebe os dados que este considera que pode fornecer com base nos privilégios do utilizador.

  • Server Name / IP: Indica o endereço IP onde está alojado o servidor do Active Directory. Este IP deve ser válido, pelo que um administrador da ferramenta deve adicioná-lo ao sistema.

  • Porta: Indica o número da porta à qual a sincronização acede. Por padrão, utilizam-se as seguintes portas:

    • AD normal: 389.

    • AD com LDAPS: 636.

    • Árvores de diretórios: 3268.

    • Árvores de diretórios com LDAPS: 3269.

  • Usar LDAPS: Este campo é usado para utilizar a conexão a um Active Directory sobre um protocolo de encriptação SSL. Quando este campo é ativado, por padrão a porta é alterada para 636.

Por último, existe o botão “Verificar conexão”, que permite verificar se os parâmetros introduzidos são válidos e se conectam com um AD válido. Para verificar a conexão será solicitada a palavra-passe do utilizador indicado no campo DN de Utilizador, esta palavra-passe não é armazenada no GlobalSuite e terá de ser introduzida sempre que for necessário realizar o teste.

att_26_for_1358463019.jpeg

Em segundo lugar, encontra-se a secção “Grupos Active Directory”. Estes grupos servem para sincronizar com um conjunto específico de utilizadores do AD. Estes grupos contêm um campo “Nome” para identificar o grupo e um campo “Descrição” caso se queira adicionar mais informações sobre o grupo. Para sincronizar, no campo “Cadeia de Conexão”, além do nome do domínio (que é copiado por padrão ao criar um novo), pode ser adicionado o grupo do AD que queremos sincronizar. Por exemplo: “DC=desenvolvimento, DC=local, CN=desenvolvimento”, sendo desenvolvimento um grupo criado no AD e ao qual pertencem uma série de utilizadores. Deve-se ter em conta que, no caso de usar um grupo para sincronizar, será utilizada a cadeia de conexão para conectar com o AD, sem considerar o nome de domínio (explicado anteriormente) da conexão. Ou seja, a “Cadeia de Conexão” do grupo substituirá o Nome de Domínio configurado na conexão ao conectar com o AD.

image-20250930-132138.png

Exemplo: Na imagem anterior pode-se ver que o Nome de Domínio é

“DC=desenvolvimento,DC=local”. No entanto, um dos grupos é

“DC=desenvolvimento,DC=local,CN=desenvolvimento”, pelo que esta será a cadeia usada para conectar, substituindo a do domínio.

Além disso, existe o campo “Tipo” em cada grupo, que pode ser “Utilizador” ou “Empregado”, e que indica em qual destas duas opções da ferramenta este grupo poderá ser utilizado para sincronizar.

Nota

No GlobalSuite, considera-se “ Utilizador” as pessoas que podem aceder (com palavra-passe) à ferramenta, e navegar pelas diferentes opções às quais têm acesso no seu SG (Sistema de Gestão). Por outro lado, dentro do GlobalSuite, existe uma opção chamada “ Empregados”, onde se contém informações sobre os empregados da empresa ou SG, mas que não têm necessariamente conhecimento da existência da ferramenta. Exemplo: Um segurança poderá aparecer como “Empregado” na ferramenta, já que faz parte da empresa, mas não terá acesso ao GlobalSuite, pelo que não terá utilizador. Da mesma forma, é possível que o Responsável pela Continuidade do Negócio seja um empregado da empresa e, ao mesmo tempo, tenha um utilizador na ferramenta para aceder às diferentes opções.

A secção seguinte, denominada “Logs de Conexão”, mostra o histórico de conexões com o Active Directory. Caso a conexão falhe, pode-se ver o erro devolvido pelo servidor do Active Directory no momento de realizar a conexão.

Imagem1.png

Na secção “Conectado com…” indica-se em quais das duas opções citadas da ferramenta (podem ser selecionadas ambas) será permitida a sincronização com os utilizadores do AD.

image-20250930-132655.png

Por último, encontra-se a secção “Configuração da sincronização”. Nesta secção pode-se configurar a relação entre os atributos do Active Directory e os campos dos formulários do GlobalSuite. Em concreto, permite-se configurar a relação com os campos de utilizadores e de empregados.

A configuração é realizada por meio da tabela que se mostra a seguir.

Imagem2.png

Por padrão, são estabelecidos os campos lógicos do Active Directory que, por definição, estão relacionados para cada um dos campos do GlobalSuite. Se se desejar recuperar essa configuração, após ter realizado modificações, pode-se utilizar o botão “Restaurar configuração”.

Também existe um campo selecionável chamado “Criar e associar empregados ao sincronizar utilizadores”. Se este campo estiver marcado, cada vez que se sincronizarem utilizadores na ferramenta, será criado um empregado associado, e existirá uma correspondência entre os seus campos que permitirá conservar a relação entre ambas as entidades.

Nota: É importante indicar que ao marcar “Criar e associar empregados ao sincronizar utilizadores” os dados para criar o empregado são os mesmos que os dados para criar o utilizador, portanto, campos como “departamento”, “Email alternativo”, etc., serão criados em branco. Para preencher esses campos é possível realizar a sincronização a partir da parte de empregados, atualizando os empregados e completando assim o formulário, desta vez com o mapeamento para empregados.

Nota 2: Em algumas ocasiões é necessário modificar o mapeamento de campos para poder recuperar as informações requeridas. A seguir, na imagem, mostram-se (a vermelho) os nomes dos campos onde geralmente estão alojadas as informações mais relevantes referentes a utilizadores dentro do AD dos clientes.

att_29_for_1358463019.jpeg

2. Sincronização com Active Directory

Para aceder ao ecrã de sincronização, é necessário ir à secção de Configurações > Utilizadores (como mostrado na imagem). Esta opção está disponível para utilizadores que não sejam “Enterprise” ou “Entidade” (ou seja, os utilizadores Platinum, Gold, Consulting e os diferentes tipos de administradores).

att_30_for_1358463019.jpeg

Este ecrã tem várias colunas que são descritas a seguir:

  • Nome de Contacto: Nome do Utilizador, que não tem nada a ver com o utilizador usado para aceder ao GlobalSuite. Exemplo: Tomás Ramírez Rodríguez.

  • Entidade: Indica a entidade ou sistema de gestão a que pertence o utilizador (as entidades são explicadas mais adiante na secção de entidades).

  • Cargo(s): cargo que este utilizador ocupa na empresa.

  • e-Mail: correio eletrónico do utilizador.

  • Utilizador: nome usado para aceder à ferramenta por parte do utilizador. Exemplo: tomas.ramirez

  • Tipo de Utilizador: Indica o tipo de utilizador na ferramenta, se é do tipo Entidade, Enterprise, ou algum tipo de administrador.

  • Conexão AD/LDAP: Indica se um utilizador está sincronizado com um utilizador do AD, pelo que utiliza estas credenciais para aceder à ferramenta. Em caso negativo, seria um utilizador normal do GlobalSuite.

  • Palavra-passe: Contém um botão “Restaurar” para enviar uma nova palavra-passe a um utilizador do GlobalSuite. Isto aplica-se apenas aos utilizadores locais da ferramenta. No caso dos que estão

sincronizados com o AD, não é possível realizar a ação e o botão não aparece.

  • Utilizador Relacionado: Mostra, se existir, o utilizador do AD através do qual se pode aceder à ferramenta para ter acesso aos mesmos dados que o utilizador dependente.

  • Função do Utilizador: Função da empresa definida para este utilizador, estas funções podem ser criadas em Clientes/Funções Empresa.

  • Estado: Indica se o utilizador está ativo, ou seja, se é possível aceder à ferramenta utilizando esse utilizador.


Algumas das colunas detalhadas anteriormente aparecem por padrão ocultas, para mostrar essas colunas é necessário clicar com o botão direito do rato no cabeçalho da tabela e marcar as colunas que se deseja ver.

Por outro lado, na parte superior existem dois botões: “Sincronizar”, que permite selecionar a conexão geral ou um dos grupos do AD que foram configurados na opção de Conexões. Uma vez escolhida uma delas, e introduzindo a palavra-passe, será possível aceder ao ecrã de sincronização do AD, que é explicado na secção seguinte.

Além disso, existe o botão “Desativar utilizadores por AD/LDAP”. Este botão altera a configuração dos utilizadores que têm a coluna “Conexão AD/LDAP” para Sim, para que passem a ser utilizadores normais do GlobalSuite. Neste caso, será enviada uma nova palavra-passe a esses utilizadores e eles ficarão dessincronizados do AD.


2.1. Sincronização de Utilizadores

Uma vez aberto o ecrã de sincronização de utilizadores, aparecem 3 secções que são descritas a seguir:

att_33_for_1358463019.jpeg
2.1.1. Secção de utilizadores do Active Directory
Imagem3.png

A secção à esquerda corresponde aos utilizadores que pertencem à conexão do Active Directory estabelecida. Estes utilizadores podem estar em 4 estados, que são descritos a seguir:

att_19_for_1358463019.jpeg


Indica que o utilizador já está sincronizado com a ferramenta, portanto existe um utilizador em

GlobalSuite com os mesmos dados (nome, telefone e e-mail).
att_20_for_1358463019.jpeg


Indica que o utilizador existe no Active Directory, mas não no GlobalSuite.
att_21_for_1358463019.jpeg


Indica que o utilizador existe tanto no Active Directory como no GlobalSuite e estão sincronizados, mas algum dado foi alterado em uma das duas ferramentas. Também pode aparecer como modificado, se a opção estiver marcada na configuração de conexões de

“Criar e associar empregados ao sincronizar utilizadores”, em algum destes casos:

Se um utilizador tem um empregado associado, mas está INATIVO.

Se um utilizador tinha algum empregado associado, mas este já não está associado.
att_22_for_1358463019.jpeg


O utilizador não dispõe de alguns dados no AD que são obrigatórios, ou esses dados não têm o formato correto. No caso concreto do exemplo, esses campos são “Nome” e “E-mail”, por isso estão marcados com um asterisco *.


Importante

Se existirem utilizadores no Active Directory que têm a diretiva “O utilizador deve alterar a palavra-passe no próximo início de sessão” e ainda não o fizeram, não poderão aceder ao GlobalSuite. Assim que esses utilizadores alterarem a sua palavra-passe, acedendo ao seu domínio, terão acesso ao GlobalSuite sem qualquer problema e sem necessidade de voltar a sincronizar.

2.1.2. Menu de Sincronização
image-20250930-133419.png

Na parte superior esquerda, existe o botão “Sincronizar”, que permite realizar as ações de sincronização de utilizadores. É importante destacar que a sincronização só existe num sentido, do Active Directory para o GlobalSuite, ou seja, o GlobalSuite nunca modifica nada no Active Directory. Cada botão funciona da seguinte forma:

  • Novos: Adiciona aos utilizadores da empresa os utilizadores do Active Directory que não estão sincronizados, a menos que se ultrapasse o limite de utilizadores. (Além disso, se a opção “Criar e associar empregados ao sincronizar utilizadores” estiver marcada, será criado um empregado associado a esse novo utilizador).

  • Modificados: Atualizam-se as alterações dos utilizadores com os dados do utilizador do Active Directory. (Se a opção “Criar e associar empregados ao sincronizar utilizadores” estiver marcada, o empregado associado a esse utilizador será colocado como “Ativo”).

  • Todos: Adicionam-se os novos utilizadores e atualizam-se os modificados.

  • Selecionados: Adicionam-se ou modificam-se (dependendo de cada caso) os utilizadores selecionados na tabela.

Por outro lado, existe o botão “ Sub-Função”, já que um utilizador Enterprise ou Entidade do GlobalSuite pode ter, por sua vez, uma Sub-Função que permite configurar as opções às quais tem acesso. Por esta razão, se for selecionada uma destas sub-funções, os utilizadores sincronizados terão associada esta sub-função na ferramenta.

Imagem4.png

2.1.3 Secção de utilizadores

image-20250930-142509.png

A secção da direita corresponde aos utilizadores que pertencem ao GlobalSuite, tanto os que estão sincronizados com o AD como os que não estão.

2.1.4 Secção de entidades

image-20250930-142548.png

A secção situada na parte inferior mostra as entidades ou sistemas de gestão que estão disponíveis na empresa. No GlobalSuite, uma empresa pode ter abaixo de si uma ou várias entidades (também chamadas Sistemas de Gestão). Embora os utilizadores sejam geridos por empresa, é possível indicar que alguns utilizadores tenham acesso apenas a uma entidade específica. Portanto, através desta secção, é possível indicar a que entidade pertencerão os utilizadores que estão a ser sincronizados.

2.2 Sincronização de Empregados

A sincronização de empregados é feita de forma semelhante à dos utilizadores (ponto 1), embora sem levar em conta as considerações da opção “Criar e associar empregados ao sincronizar utilizadores” da configuração da conexão.


3. Diferenças com LDAP

Ao sincronizar com LDAP, existem algumas diferenças que são explicadas a seguir. Na tela de conexão, o campo DN de Utilizador deve conter antes as siglas “CN=”. Assim, enquanto no Active Directory o valor poderia ser “Administrador”, no caso do LDAP deve ser “CN=Administrador”.

Por outro lado, também é possível aceder a diferentes grupos ou unidades organizacionais. Nas imagens seguintes são mostrados uma série de grupos e os utilizadores que seriam suscetíveis de sincronizar:


att_31_for_1358463019.jpeg


1- Grupos criados no LDAP

att_28_for_1358463019.jpeg


2- Exemplo de árvore de utilizadores no LDAP

Em cada grupo, poderiam ser visualizados os seguintes utilizadores:

  • FILHO 1: lorenzo ramirez

  • Desenvolvimento: teste teste teste

  • OU Pai: user1, jose fernandez

  • Teste com CN: user1

Se for sincronizado sem grupo, poderiam ser selecionados os 4 utilizadores: user1, teste teste teste, jose fernandez e lorenzo ramirez.

O restante das considerações de configuração são iguais às do caso do Active Directory.

04. Campos obrigatórios para sincronização com AD

Para que a sincronização de utilizadores seja bem-sucedida, a biblioteca de conexão do AD do GlobalSuite requer que o Active Directory tenha pelo menos os seguintes atributos:

  • Atributos com valor predefinido

    • objectClass=user

    • samaccounttype=805306368 (NORMAL_USER_ACCOUNT)

    • objectCategory=person

É obrigatório que existam estes atributos e que tenham este valor.


  • Atributos com valor atribuído pelo administrador do AD

  • cn

  • sn

  • department

  • samaccountname ou employeeID (pelo menos 1)

  • mail

  • memberof

  • title

  • displayname

  • telephonenumber

  • primarygroupid

Os atributos destacados a negrito são obrigatórios e devem ter um valor atribuído. O restante é necessário que existam e recomendável que tenham um valor, pois podem ser utilizados em outras partes do GlobalSuite.