Índice

Integración con Active Directory

TOTVS Identity permite tres formas de integración con Active Directory (AD):

Integración para sincronización de usuarios y acceso con credenciales de AD, a través de SmartSync.
Integración para Single Sign On, a través de Desktop SSO
Integración para aprovisionamiento y revocación de accesos a AD, a través de la administración en TOTVS Identity.

En los dos primeros casos, utilizamos componentes de apoyo, que hacen viable esta integración. SmartSync es un componente desktop construido en .NET, donde se configura la conexión entre TOTVS Identity y los dominios de Active Directory con los que se desea realizar la integración. En esta configuración, se deben ingresar los datos de conexión:

Dirección del servidor AD.
Base DN.
Usuario con permiso administrativo de AD para lectura y escritura.
Contraseña del usuario Administrador.
Token de conexión, creado por TOTVS Identity.

Debido a estos detalles, es fundamental que el cliente indique un colaborador con conocimiento de la infraestructura de Active Directory de la empresa para proporcionar esta información.

En caso de Desktop SSO, se trata de un script, que debe instalarse en IIS y exponerse de manera tal que TOTVS Identity pueda acceder a él.

Este script será responsable de hacer viable el Single Sign On para TOTVS Identity. Siempre que el usuario haya entrado con sus credenciales de red, en el inicio de sesión de Windows, cuando intente acceder a TOTVS Identity, o a cualquier aplicación que esté integrada con TOTVS Identity, no se le solicitará ningún usuario ni contraseña.

Arquitectura

TOTVS Identity tiene un componente llamado SmartSync, que actúa como un agente entre TOTVS Identity y Active Directory del cliente y cuyas responsabilidades consisten en:

Ejecutar la importación inicial de usuarios de AD.
Permitir que un usuario de TOTVS Identity pueda utilizar sus credenciales de AD para la autenticación.
Realizar la sincronización de datos entre Active Directory y TOTVS Identity, incluida la información de la cuenta de usuarios existentes y las nuevas cuentas que se creen en AD.

Es importante que SmartSync esté siempre disponible para que pueda proporcionar los servicios de sincronización y autenticación con credenciales AD. En el caso de que este componente esté offline, los usuarios de TOTVS Identity tienen una contingencia para seguir teniendo acceso a sus aplicaciones, que consiste en utilizar una credencial propia (contraseña personal) que se define en el momento de la activación del usuario.

A continuación incluimos ejemplos de algunos de los posibles escenarios:

Un servidor con SmartSync instalado, que proporciona sincronización y autenticación con credenciales AD.

Este escenario contempla la integración entre TOTVS Identity y Active Directory, que abarca la sincronización de usuarios y la autenticación mediante credenciales de AD.

No incluye alta disponibilidad.

TOTVS Fluig Español > Plataforma | Integración con Active Directory > worddavdd64de028ed1cc13c314d322e7bc16de.png
Escenarios simples, sin SSO y alta disponibilidad.

Dos servidores, cada uno con SmartSync instalado, contemplando alta disponibilidad para sincronización y autenticación con credenciales AD.

En este escenario, tenemos dos servidores que atienden la sincronización de usuarios y la autenticación con credenciales AD. Si uno de los dos servidores queda offline, el otro servidor continúa sosteniendo la sincronización y autenticación de los usuarios.

No hay necesidad de Load Balancer porque SmartSync tiene un comportamiento activo, y consume una cola de solicitudes puestas a disposición por TOTVS Identity.

Single Sign On no está disponible en este escenario.

TOTVS Fluig Español > Plataforma | Integración con Active Directory > worddav116ab0fc0972969de1552256c2b15f84.png
Escenario que contempla alta disponibilidad de sincronización y autenticación con credencial AD, sin contemplar Single Sign On.

Un servidor con SmartSync y Desktop SSO instalados, proporcionando sincronización de usuarios y Single Sign On para TOTVS Identity, que utiliza credenciales AD ingresadas en el inicio de sesión de Windows.

En este escenario tenemos SmartSync que proporciona sincronización de usuarios y Desktop SSO que proporciona Single Sign On. Siempre que el usuario haya ingresado sus credenciales correctamente en la pantalla de inicio de sesión de Windows, puede acceder a TOTVS Identity sin volver a introducir las credenciales.

Este escenario no contempla alta disponibilidad.

Si Desktop SSO está offline, el usuario puede autenticarse en TOTVS Identity con sus credenciales de AD.

Si SmartSync está offline, el usuario puede acceder a TOTVS Identity utilizando las credenciales que ingresó en la activación de la cuenta. Se trata de una credencial de contingencia.

TOTVS Fluig Español > Plataforma | Integración con Active Directory > worddavab574112a7b8c3de25867e49cd46b258.png
Escenario donde tenemos sincronización de usuarios y Single Sign On para acceder a TOTVS Identity, sin alta disponibilidad.

Tres servidores, de los cuales dos tienen SmartSync y Desktop SSO instalados, y contemplan un entorno de alta disponibilidad, y el tercer servidor actúa como Load Balancer.

En este escenario tenemos SmartSync que proporciona sincronización de usuarios y Desktop SSO que proporciona Single Sign On. Siempre que el usuario haya ingresado sus credenciales correctamente en la pantalla de inicio de sesión de Windows, puede acceder a TOTVS Identity sin volver a introducir las credenciales.

Este escenario contempla alta disponibilidad.

Si un Desktop SSO está offline, Load Balancer se encarga de dirigir la solicitud al servidor que está conectado.

Si un SmartSync está offline, la otra instalación continúa ofreciendo el servicio de sincronización de usuarios.

TOTVS Fluig Español > Plataforma | Integración con Active Directory > worddav662551b31205ad89046fb3d574bf9f3a.png
Escenario donde tenemos sincronización de usuarios y Single Sign On, con alta disponibilidad.

Requisitos previos

Consideramos que lo ideal es ofrecer un entorno de alta disponibilidad, con dos máquinas dedicadas a SmartSync y Desktop SSO y una tercera máquina, que se utiliza para el balance de carga, en caso de Desktop SSO.

El cliente también puede optar por utilizar solo una máquina, donde quedará instalado SmartSync y Desktop SSO, eliminando la máquina de sobra y Load Balancer.

Consulte en la Matriz de portabilidad - TOTVS Identity los requisitos de hardware y software necesarios para mantener el servicio de sincronización de usuarios con AD, autenticación con credenciales de AD y Single Sign On.

Este servidor o servidores, si se opta por alta disponibilidad, deben cumplir algunos requisitos más:

Acceso a Internet, para conectarse a TOTVS Identity.
Acceso al dominio o dominios que se van a configurar en SmartSync.
Usuario con privilegios administrativos de AD para fines de sincronización y autenticación de usuario y/o aprovisionamiento y revocación de usuarios en AD.
La máquina donde se instalará SmartSync/Desktop SSO no debe ser la misma máquina donde está instalado el AD/controlador de dominio, evitando exponerla a internet.

Si tiene Active Directory integrado directamente con TOTVS Fluig Plataforma, es decir, sin la intermediación de TOTVS Identity, esta configuración se debe desactivar antes de la integración de AD en Identity. Si esto no se realiza, se pueden producir conflictos de acceso y errores de usuario no válido en la pantalla durante el uso de TOTVS Fluig Plataforma.