El protocolo ligero de acceso a directorios (LDAP) es un estándar de Internet que proporciona acceso a la información desde distintas aplicaciones y sistemas informáticos. LDAP usa un conjunto de protocolos para acceder a los directorios y recuperar la información. Un directorio es similar a una base de datos con la diferencia de que contiene información más descriptiva y basada en atributos. Por lo general, la información de un directorio se lee con más frecuencia de lo que se escribe o modifica. LDAP permite que una aplicación que se ejecuta en la plataforma informática de una institución académica obtenga información, como nombres de usuario y contraseñas.

La centralización de este tipo de información simplifica su trabajo, ya que proporciona un único punto de administración. Como la información de usuario está disponible en una sola ubicación, se reduce el almacenamiento de datos duplicados y, a la vez, las necesidades de mantenimiento. La autenticación LDAP también permite que los usuarios dispongan de un único nombre de inicio de sesión y una sola contraseña para acceder a una serie de aplicaciones diferentes.

Más información sobre la creación de los proveedores de la autenticación

¿Por qué usar LDAPS (LDAP seguro)?

Este método proporciona una seguridad mejorada con respecto al protocolo LDAP no cifrado regular y puede que lo requieran algunos administradores de red o algunas tecnologías de servidor LDAP, o bien puede ser necesario si el servidor LDAP está en un sitio remoto sin conexión privada.

en general, se recomienda usar LDAPS, o bien asegurarse de que la aplicación Learn tenga una conexión privada no enrutada al servidor LDAP. De esta manera, las posibilidades de que alguien intercepte el tráfico LDAP no cifrado entre servidores son muy bajas, y el cifrado no es necesario.

Requisitos previos de LDAPS

Si el servidor LDAP usa SSL (LDAPS), necesita un certificado firmado de forma comercial para que no haya errores en la autenticación.

Las implementaciones de Blackboard Learn SaaS no son compatibles con los certificados autofirmados. Debe usar un certificado firmado de forma comercial.

Esto permite al cliente LDAP (la aplicación Learn) determinar la validez del certificado presentado por el servidor LDAP al intentar conectarse mediante LDAPS. En caso contrario, el protocolo de enlace TLS falla, el vínculo LDAP no se establece y se produce un error en la autenticación.

Configurar un proveedor LDAP

  1. Indique la URL del servidor LDAP; por ejemplo, ldaps://directory.example.edu:636.. Si el servidor LDAP usa SSL (LDAPS), necesita un certificado firmado de forma comercial para que no haya errores en la autenticación.
  2. De manera opcional, establezca Usar SSL en No. El valor predeterminado es . en general, se recomienda usar LDAPS, o bien asegurarse de que la aplicación Learn tenga una conexión privada no enrutada al servidor LDAP. De esta manera, las posibilidades de que alguien intercepte el tráfico LDAP no cifrado entre servidores son muy bajas, y el cifrado no es necesario.
  3. Indique el valor de Búsqueda básica DN (el punto de inicio para buscar un usuario de Learn en la estructura del directorio LDAP). A partir de aquí se realiza una búsqueda de subárbol, por ejemplo, dc=people, dc=example, dc=edu. puede crear y configurar dos proveedores LDAP totalmente independientes con DN de búsqueda básica distintos que apunten al mismo servidor LDAP físico. Esto sirve para reducir la carga del servidor LDAP al personalizar las marcas en education.blackboard.com y configurar el proveedor LDAP para que busque solo en dc=people, dc=education, dc=example y dc=edu en lugar de en todo el árbol.

    puede agregar varios proveedores LDAP con el mismo DN de búsqueda básica que apunten a servidores físicos distintos. Si uno de los servidores LDAP no responde, el marco de trabajo consulta el siguiente. Más información sobre el orden de los proveedores

  4. Indique el Atributo de la búsqueda (el atributo de LDAP que contiene el valor que se asigna al nombre de usuario o la UID del lote de Learn establecido en el paso Crear proveedor). Esta propiedad es específica del dominio. Así, para Active Directory (AD), normalmente se usa la propiedad sAMAccountName y para Novell, uid. En el caso de Active Directory, la mayoría de los clientes de integración usan sAMAccountName como Atributo de búsqueda. Este formato calca el de los nombres de inicio de sesión antiguos (anteriores a Windows 2000), que tenían un máximo de 20 caracteres. El administrador del dominio de AD puede confirmar si este es el atributo correcto, o si se puede o se debe usar userPrincipalName.

    algunos servidores LDAP, como Active Directory, requieren un usuario con privilegios para conectarse al directorio. El proveedor LDAP requiere el nombre distintivo (DN) y la contraseña del usuario. Las dos opciones más habituales para conectarse con un usuario privilegiado son:

    • Crear un usuario nuevo en el directorio. Asignar este usuario al derecho de acceso de solo lectura. Usar esta cuenta de usuario como usuario privilegiado.
    • Usar un usuario existente en el directorio como usuario privilegiado.

    Esta cuenta necesita poder acceder al servidor LDAP cada vez que un usuario intente iniciar sesión en Blackboard. Como práctica recomendada, seleccione las opciones El usuario no puede cambiar la contraseña y La contraseña no caduca.

    Esto es lo que se conoce como una cuenta de servicio; el administrador de LDAP puede tener una ubicación especial en el directorio para este tipo de cuentas.

    al configurar la cuenta por primera vez, use una contraseña básica y cámbiela por otra más segura solo cuando haya confirmado que la configuración funciona. Tenga en cuenta que los caracteres especiales como # y @ pueden causar problemas.

  5. O bien, configure lo siguiente:
    • Búsqueda usando usuario con privilegios en . El valor predeterminado es No. Al buscar el FDN del usuario para autenticarlo, el proveedor LDAP se vincula al servidor LDAP como un usuario privilegiado (especificado).
    • Indique el DN de usuario con privilegios. Si la opción Búsqueda usando usuario con privilegios está establecida en , la contraseña debe estar indicada. Por ejemplo: cn=BlackboardLDAP,ou=Special Users, dc= example,dc=edu or BlackboardLDAP@example.edu
    • Indique la Contraseña del usuario con privilegios. Si la opción Búsqueda usando usuario con privilegios está establecida en , la contraseña debe estar indicada. El valor debe ser la contraseña correspondiente al usuario indicado en DN de usuario con privilegios.
  6. De manera opcional, puede establecer la Configuración avanzada.
    • El Tiempo de espera de conexión necesita un mínimo de 15 000 milisegundos. Este valor indica el tiempo en milisegundos que se debe esperar antes de cancelar una solicitud LDAP.
    • Diferenciar alias establecido en Siempre, Buscando o Buscando. El valor predeterminado es Nunca. Esta propiedad define cómo se elimina la referencia de los alias durante las operaciones de búsqueda.
      • Nunca: la referencia de los alias no se elimina nunca.
      • Siempre: la referencia de los alias se elimina siempre.
      • Buscando: la referencia de los alias se elimina solo durante la resolución del nombre (es decir, durante la localización de la entrada de destino).
      • Búsqueda: la referencia de los alias se elimina una vez completada la resolución del nombre (es decir, después de la localización de la entrada de destino).
    • Referencias establecido como Seguir o Tirar. El valor predeterminado es Ignorar. Esta propiedad especifica cómo debe gestionar las referencias el proveedor.
      • Ignorar: ignora las referencias si aparecen en los resultados.
      • Seguir: sigue automáticamente cualquier referencia.
      • Tirar: emite la cadena Java ReferralException para cada referencia. Esto provoca un error.
    • Límite de referencia está establecido en 5 de manera predeterminada. Esta propiedad especifica la cantidad máxima de referencias que se van seguir. Cero no es un valor válido. Esta propiedad solo se puede establecer si la propiedad Referencias está establecida en Seguir o Tirar.
  7. Haga clic en Enviar para guardar la configuración.

    antes de activar el nuevo proveedor de la autenticación, seleccione Probar los ajustes de la conexión en el menú contextual para confirmar que la configuración funcione según lo previsto.