Saltar al contenido principal
Por lo general, el Conector AD/LDAP debe instalarlo un administrador de sistemas o un ingeniero de operaciones, y no un desarrollador, ya que suele requerir acceso a recursos de producción. A continuación se incluye una lista de verificación de los aspectos que deben tener en cuenta antes de la instalación:

Servidores host

El Conector puede instalarse en un servidor existente, incluso en un controlador de dominio. Sin embargo, lo más habitual es instalarlo en máquinas virtuales aprovisionadas exclusivamente para el Conector. En cualquier caso, el servidor host debe cumplir las siguientes especificaciones y configuraciones de hardware y software:

Requisitos de hardware

  • Arquitectura: x86 o x86-64
  • Núcleos de CPU: mín. 1, se recomiendan 2
  • Almacenamiento: 500 MB de espacio libre en disco
  • Sistema operativo: El Conector puede ejecutarse en Windows o Linux. Windows es obligatorio si se va a usar la autenticación Kerberos.
  • RAM: mín. 2 GB

Versión de Windows

Recomendamos usar una versión admitida de Windows Server, como Windows Server 2016 o Windows Server 2019. El Connector también puede ejecutarse en Windows Server 2012 R2.

Sincronización horaria

Es muy importante que el reloj del servidor host del Connector se sincronice automáticamente con un servidor NTP. De lo contrario, el Connector no se iniciará y mostrará un error de desfase horario.

Conectividad de salida

El servidor host requiere conectividad de red de salida con los siguientes servicios:

Auth0

El conector debe instalarse en un servidor con conectividad saliente al servicio de Auth0 en: https://{yourDomain} por el puerto 443. El conector puede instalarse y configurarse detrás de un servidor proxy, pero no lo recomendamos. Habilite un proxy mediante la variable de entorno o de configuración HTTP_PROXY.

LDAP

El Conector debe instalarse en un servidor con acceso al servidor LDAP a través del puerto 389 para LDAP o del 636 para LDAPS. Antes de instalar el Conector, debe conocer la cadena de conexión de LDAP y el DN base necesarios para conectarse a su directorio LDAP.

Conectividad entrante

No es necesario habilitar la conectividad entrante hacia el Conector, a menos que esté habilitada la autenticación con Kerberos o mediante certificados. En estos casos, los servidores en los que está instalado el Conector deben ser accesibles desde los navegadores de sus usuarios a través del puerto 443. Si hay instalada más de una instancia del Conector, debe usar un equilibrador de carga para dirigir el tráfico a uno u otro Conector. Para obtener más información, consulte Configurar la autenticación del AD/LDAP Conector con Kerberos o Configurar la autenticación del AD/LDAP Conector con certificados de cliente.

Cuenta de servicio

El Conector se ejecutará con una cuenta de servicio que debe ser un usuario del dominio que, como mínimo, tenga acceso de lectura al directorio. Necesitará el nombre de usuario y la contraseña de esta cuenta al realizar la instalación.

Un Conector por inquilino de Auth0

Si configura varios inquilinos de Auth0, por ejemplo para aislar los entornos de desarrollo y producción, deberá configurar una conexión AD/LDAP en el y un AD/LDAP Conector para cada inquilino de Auth0 que necesite esta forma de autenticación. Un Conector está vinculado a una conexión específica dentro de un inquilino de Auth0. Es posible tener varios Conectores dentro de un mismo inquilino de Auth0 si tiene varios directorios AD/LDAP con los que los usuarios se autentiquen. Por ejemplo, para admitir distintos departamentos o clientes, cada uno con su propio directorio. Además, varios Conectores pueden apuntar al mismo directorio AD o LDAP, pero un Conector solo puede utilizarse con una Conexión de Auth0 dentro de un inquilino de Auth0.

Alta disponibilidad

El Conector se puede instalar en varios servidores host para ofrecer alta disponibilidad y redundancia (la mayoría de las organizaciones aprovisionan dos), por si uno de los servidores deja de estar disponible. Cada servidor tendrá los mismos requisitos indicados anteriormente. No se requiere un equilibrador de carga, ya que eso lo gestiona el propio servidor de Auth0, a menos que habilite Kerberos o la autenticación basada en certificados de cliente. Para obtener más información, lea Implementar Conectores de AD/LDAP para entornos de alta disponibilidad.

Más información