Configurazione della connessione a una directory esterna

Quando si configura una directory LDAP esterna per la gestione degli account degli utenti per Sophos Mobile Admin e il portale self-service, occorre configurare la connessione della directory in modo tale che Sophos Mobile possa recuperare i dati degli utenti dal server LDAP. Per Sophos Mobile on-premise, tale configurazione viene effettuata dal super administrator in fase di creazione del cliente.
Nota: Non viene effettuata alcuna sincronizzazione tra la directory LDAP e Sophos Mobile. Sophos Mobile accede alla directory LDAP solamente per cercare informazioni sugli utenti. Eventuali modifiche a un account utente LDAP non verranno implementate nel database di Sophos Mobile, e viceversa.
  1. Nella barra laterale dei menù, sotto IMPOSTAZIONI, cliccare su Impostazione > Impostazione del sistema, e successivamente cliccare sulla scheda Impostazione utente.
  2. Selezionare Directory LDAP esterna.
  3. Cliccare su Configura LDAP esterno per specificare i dettagli del server.
  4. Nella pagina Dettagli server, configurare le seguenti impostazioni:
    1. Nel campo Tipo LDAP, selezionare il tipo di server LDAP:
      • Active Directory
      • IBM Domino
      • NetIQ eDirectory
      • Red Hat Directory Server
      • Zimbra
    2. Nel campo URL principale, inserire l'URL del server di directory principale. È possibile inserire l'IP o il nome del server. Selezionare SSL/TLS per proteggere la connessione del server con SSL o TLS (a seconda della compatibilità del server). L’opzione SSL/TLS non può essere deselezionata per Sophos Mobile as a Service.
    3. Opzionale: Nel campo URL secondario, inserire l’URL di un server di directory da adoperare come fallback nell'eventualità in cui il server primario sia impossibile da raggiungere. È possibile inserire l'IP o il nome del server. Selezionare SSL/TLS per proteggere la connessione del server con SSL o TLS (a seconda della compatibilità del server). L’opzione SSL/TLS non può essere deselezionata per Sophos Mobile as a Service.
    4. Nel campo Utente, inserire un account per le operazioni di ricerca nel server di directory. Sophos Mobile adopera le credenziali dell’account quando effettua la connessione al server di directory.

      Per Active Directory, occorre anche inserire il dominio pertinente. I formati supportati sono:

      • <Dominio>\<nome utente>
      • <Nome utente>@<dominio>.<codice dominio>
      Nota: Per motivi di sicurezza, si consiglia di specificare per il server di directory un utente che abbia diritti di sola lettura e non di scrittura.
    5. Nel campo Password, inserire la password relativa all'utente specificato.
    Cliccare su Avanti.
  5. Nella pagina Base di ricerca, inserire il nome distinto (Distinguished Name, DN) dell’oggetto della base di ricerca.
    L’oggetto della base di ricerca definisce il percorso nella directory esterna dal quale comincia la ricerca di un utente o gruppo di utenti.
  6. Nella pagina Campi di ricerca, definire quali campi della directory debbano essere utilizzati per la risoluzione dei segnaposto %_USERNAME_% ed %_EMAILADDRESS_% nei profili e nei criteri. Digitare i nomi dei campi richiesti, oppure effettuarne la selezione dagli elenchi Nome utente ed E-mail.
    Nota: Gli elenchi contengono solamente i campi configurati per l’utente attualmente connesso alla directory LDAP, come specificato nel passaggio 4.d qui sopra. Se ad esempio un campo e-mail non dovesse essere stato configurato per l’utente in questione, occorrerà inserire manualmente il valore richiesto nel campo E-mail.
    Nel caso di Active Directory sono applicabili le seguenti associazioni campi:
    • Nome utente: sAMAccountName
    • Nome: givenName
    • Cognome: sn
    • E-mail: mail
  7. Nella pagina Configurazione SSP, specificare gli utenti a cui è consentito accedere al portale self-service. Inserire le informazioni pertinenti nel campo Gruppo di directory LDAP, adoperando una delle seguenti opzioni:
    • Se si inserisce un asterisco *, si concederà l’accesso al portale self-service a tutti i membri dei gruppi di directory LDAP.
      Nota: Il valore * rappresenta tutti i gruppi e non tutti gli utenti. Gli utenti che non appartengono ad alcun gruppo di directory LDAP non saranno inclusi.
    • Se si inserisce il nome di un gruppo che è definito nel server di directory, si concederà l’accesso al portale self-service a tutti i membri del gruppo in questione. Una volta inserito il nome del gruppo, cliccare su Risolvi gruppo per risolvere il nome del gruppo a un nome distinto (Distinguished Name, DN).
    • Se il campo viene lasciato vuoto, nessun utente del server di directory potrà accedere al portale self-service. Utilizzare questa opzione se si desidera abilitare la gestione degli utenti esterni per Sophos Mobile Admin ma non per il portale self-service.
    Nota: Il gruppo che viene specificato in questo campo non ha nessuna correlazione con il gruppo utenti che viene definito nella scheda Impostazioni del gruppo della pagina Portale self-service. Queste altre impostazioni servono per definire i bundle delle operazioni, l’appartenenza al gruppo Sophos Mobile e le piattaforme per dispositivi mobili che sono disponibili per ciascun gruppo utenti.
  8. Cliccare su Applica.
  9. Nella scheda Impostazione utente, cliccare su Salva.