LDAP (Lightweight Directory Access Protocol) é um padrão da Internet que fornece acesso às informações de diferentes sistemas e aplicativos de computador. O LDAP usa um conjunto de protocolos para acessar diretórios de informações e recuperar as informações. Um diretório é como uma base de dados, mas contém informações mais descritivas e por atributos. As informações em um diretório geralmente são lidas com mais frequência do que são gravadas ou modificadas. O LDAP permite que um aplicativo, executado na plataforma do computador de uma escola, obtenha informações como nomes de usuário e senhas.

Centralizar esse tipo de informação simplifica seu trabalho, fornecendo um único ponto de administração. As informações do usuário são fornecidas em um único local, reduzindo o armazenamento de informações duplicadas. Isso, por sua vez, reduz as necessidades de manutenção. A autenticação LDAP também permite que os usuários tenham um único logon e senha para acessar uma série de aplicativos diferentes.

Mais informações sobre como criar provedores de autenticação


Por que usar LDAPS (Secure LDAP)?

Esse método fornece segurança aprimorada em relação ao LDAP não criptografado comum e pode ser exigido por alguns administradores de rede ou algumas tecnologias do servidor LDAP ou quando o servidor LDAP está em um site remoto sem uma conexão privada.

Como recomendação geral, use o LDAPS ou certifique-se de que o aplicativo Learn tenha uma conexão privada não roteada ao servidor LDAP. Nesse caso, a possibilidade de alguém interceptar o tráfego LDAP não criptografado entre os servidores é muito baixa e a criptografia não é necessária.

Pré-requisitos do LDAPS

Se o servidor LDAP estiver usando SSL (LDAPS), você precisará de um certificado comercialmente assinado ou a autenticação poderá falhar.

As implantações SaaS do Blackboard Learn não suportam certificados autoassinados. Você deve usar um certificado comercialmente assinado.

Isso permite que o cliente LDAP (o aplicativo Learn) estabeleça a validade do certificado do servidor apresentado pelo servidor LDAP quando ele tenta estabelecer inicialmente a conexão LDAPS. Caso contrário, o handshake TLS falha, a associação LDAP não acontece e a autenticação falha.


Configurar um provedor LDAP

  1. Forneça o URL do servidor LDAP, por exemplo, ldaps://directory.example.edu:636. Se o servidor LDAP estiver usando SSL (LDAPS), você precisará de um certificado comercialmente assinado ou a autenticação poderá falhar.
  2. Como opção, configure Usar SSL como Não. O padrão é Sim. Como recomendação geral, use o LDAPS ou certifique-se de que o aplicativo Learn tenha uma conexão privada não roteada ao servidor LDAP. Nesse caso, a possibilidade de alguém interceptar o tráfego LDAP não criptografado entre os servidores é muito baixa e a criptografia não é necessária.
  3. Forneça o DN de pesquisa base – o ponto de partida na estrutura do diretório LDAP para procurar um usuário do Learn. Uma pesquisa de subárvore é realizada a partir daqui, por exemplo, dc=people,dc=example,dc=edu. Você pode criar e configurar dois provedores LDAP totalmente diferentes com DNs de pesquisa base diferentes que apontam para o mesmo servidor LDAP físico. Você pode fazer isso se quiser reduzir a carga no servidor LDAP usando a "marca" education.blackboard.com, depois configurando o provedor LDAP para pesquisar somente dc=people,dc=education, dc=example,dc=edu em vez de toda a árvore.

    Você pode adicionar vários provedores LDAP com os mesmos DNs de pesquisa base que apontam para diferentes servidores físicos. Se um servidor LDAP não responder, a estrutura consultará o próximo. Mais informações sobre a ordem de provedor.

  4. Forneça o Atributo de pesquisa – o atributo LDAP que contém o valor que mapeia para o Nome de usuário ou Uid de lote do Learn configurado na etapa Criar provedor. Essa propriedade é específica do domínio. Para o Active Directory (AD), a propriedade usada é normalmente sAMAccountName e para o Novell, normalmente é uid. Para o Active Directory, a maioria dos clientes que integram usam sAMAccountName como o Atributo de pesquisa. Isso mapeia o nome de logon de estilo antigo (pré-win2k) com um máximo de 20 caracteres. O administrador de Domínio do AD pode confirmar se esse é o atributo correto ou se você pode ou deve usar userPrincipalName.

    Alguns servidores LDAP, como o Active Directory, exigem que um usuário privilegiado se conecte ao diretório. O provedor LDAP requer o Nome diferenciado (DN) e a senha do usuário. As duas opções usuais para a conexão com o uso de um usuário privilegiado incluem:

    • Criar um novo usuário dentro do diretório. Atribuir a esse usuário somente o direito de acesso de leitura. Usar essa conta de usuário como o usuário privilegiado.
    • Usar um usuário de diretório existente como o usuário privilegiado.

    Essa conta precisa acessar o servidor LDAP para cada usuário que tentar fazer login na Blackboard. Como melhor prática, selecione as opções Usuário não pode alterar senha e Senha nunca expira.

    Isso é chamado de uma conta de serviço, para que o administrador LDAP possa ter um local especial no diretório para esses tipos de contas.

    Ao configurar pela primeira vez a conta, use uma senha básica e, somente depois de confirmar que a configuração está funcionando, altere a senha para algo mais forte. Lembre-se de que podem ocorrer problemas com os caracteres especiais, como # e @.

  5. Como opção, defina:
    • Buscar usando usuário privilegiado como Sim. O padrão é Não. Ao pesquisar o FDN do usuário para autenticar, o provedor LDAP se associa ao servidor LDAP como um usuário privilegiado (especificado).
    • Forneça o DN de usuário privilegiado. Se Buscar usando usuário privilegiado estiver configurado como Sim, isso deverá ser configurado. Por exemplo: cn=BlackboardLDAP,ou=Special Users, dc= example,dc=edu ou BlackboardLDAP@example.edu
    • Forneça a Senha do usuário privilegiado. Se Buscar usando usuário privilegiado estiver configurado como Sim, isso deverá ser configurado. Representa a senha do usuário no DN de usuário privilegiado.
  6. Como opção, faça as Configurações avançadas.
    • Tempo limite de conexão como 60.000 é configurado como padrão. Representa o tempo em milissegundos para aguardar antes de cancelar uma solicitação LDAP.
    • Desreferenciar pseudônimos como Sempre, Encontrando ou Pesquisando. O padrão é Nunca. Essa propriedade define como os pseudônimos são desreferenciados durante as operações de pesquisa.
      • Nunca: Nunca desreferenciar pseudônimos.
      • Sempre: Sempre desreferenciar pseudônimos.
      • Encontrando: Desreferenciar pseudônimos somente durante a resolução de nomes, isto é, ao encontrar o item de destino.
      • Pesquisando: Desreferenciar pseudônimos assim que a resolução de nomes estiver concluída, isto é, depois de encontrar o item de destino.
    • Indicações como Seguir ou Lançar. O padrão é Ignorar. Essa propriedade especifica como as indicações devem ser tratadas pelo provedor.
      • Ignorar: Ignorar as indicações se elas aparecerem nos resultados.
      • Seguir: Seguir automaticamente as indicações.
      • Lançar: Lançar um Java ReferralException para cada indicação. Isso resulta em uma condição de erro.
    • Limite de indicação como 5 é o padrão. Essa propriedade especifica o número máximo de referências a serem seguidas. Uma configuração de zero é um valor inválido. Você poderá configurar essa propriedade somente se a propriedade Indicações estiver configurada como Seguir ou Lançar.
  7. Selecione Enviar para salvar a configuração.

    Antes de tornar o novo provedor de autenticação Ativo, selecione Testar definições de conexão no menu contextual para confirmar que a configuração funciona como esperado.