¿Cómo podemos ayudarle hoy?
Soporte de confianza de Active Directory de MyWorkDrive
La información y orientación de este artículo solo se aplican cuando se utiliza MyWorkDrive en un servidor unido a un dominio de Active Directory con Active Directory para los datos del usuario. No se aplica al instalar MyWorkDrive en un entorno sin directorio con identidad de Entra ID para la base de datos del usuario.
MyWorkDrive admite la ubicación en un dominio de recursos de confianza de Active Directory con las siguientes limitaciones. SAML/SSO solo funciona con confianzas bidireccionales. Con confianzas unidireccionales, los usuarios solo pueden iniciar sesión con nombre de usuario/contraseña; SAML/SSO no es compatible, ya que requiere la suplantación del usuario en el dominio de la cuenta de confianza por parte del servidor MWD ubicado en el dominio de recursos que no está permitido. Los fideicomisos de dos vías son la opción preferida. Las confianzas bidireccionales admiten la autenticación selectiva para limitar los permisos del dominio de recursos en el dominio de la cuenta de confianza y se pueden ajustar según sea necesario. *Este artículo asume que los fideicomisos ya están activos y que todos los reenviadores condicionales de DNS están en su lugar.
Opciones del servidor MyWorkDrive requeridas:
- Los grupos locales no son compatibles y deben eliminarse de los permisos o recursos compartidos de NTFS: use solo usuarios o grupos de seguridad de usuarios basados en dominios.
- Los grupos de dominio en el dominio de recursos que contienen usuarios o grupos en el dominio de confianza (grupos en un grupo) no son compatibles o necesarios; agregue los grupos de dominio de confianza directamente a los permisos NTFS en el recurso compartido y en MyWorkDrive.
- Para mejorar las velocidades de inicio de sesión, mueva el dominio de la cuenta de confianza a la parte superior del orden de búsqueda de dominios en cada servidor MWD (configuración, orden de búsqueda de dominios).
- Para mejorar las velocidades de inicio de sesión, se debe poder acceder a un controlador de dominio de cuenta de confianza a través de una conexión de red rápida y de baja latencia.
Contenido
Configuración de confianza de bosque bidireccional
En este caso, la confianza se crea en el DC de dominio de cuenta de confianza (el cliente) que apunta al dominio de recursos (donde reside el servidor MWD). Las confianzas bidireccionales admiten la autenticación selectiva para limitar los permisos del dominio de recursos en el dominio de la cuenta de confianza.
Con confianzas bidireccionales, los usuarios pueden iniciar sesión con nombre de usuario/contraseña o SAML/SSO. SAML/SSO es compatible cuando el Delegación está configurado para permitir que el servidor MWD suplante a los usuarios en cualquier servidor de archivos ubicado en el dominio de recursos.
Formatos de nombre de inicio de sesión admitidos: FWA\Nombre de usuario, usuario@fwa.local, SamAccountName sin dominio: "Nombre de usuario": cuando el dominio del usuario se agrega a la parte superior del orden de búsqueda de dominios de MWD, dirección de correo electrónico (sufijos UPN alternativos).
A los efectos de este artículo, los dominios de Active Directory son los siguientes:
Dominio de cuenta de confianza: “FWA” FWA.local, filewebaccess.net
Dominio de recursos: MWF, MWF.local
Ejemplo de configuración de confianza bidireccional:
Configuración de confianza de dominio externo unidireccional
Los fideicomisos unidireccionales solo funcionan con el nombre de usuario/contraseña de inicio de sesión y requieren las siguientes opciones/configuraciones de administración:
- Se requiere que la administración del servidor MyWorkDrive se realice con una cuenta del dominio de la cuenta de confianza (la cuenta del dominio de recursos no tiene permisos para leer usuarios/usuarios/grupos de recursos compartidos NTFS al editar/crear nuevos recursos compartidos).
- Para las confianzas unidireccionales, es necesario agregar la cuenta de usuario administrador del dominio de confianza que se usará para administrar MyWorkDrive al grupo de administradores locales en el servidor MWD para permitir el inicio de sesión en el panel de administración de MWD y administrar los recursos compartidos.
- Para confianzas unidireccionales, la administración debe realizarse después de iniciar sesión en el panel de administración de MWD para agregar/editar recursos compartidos como la cuenta de administración de usuarios de dominio de cuenta de confianza.
En este caso, configuramos una confianza saliente unidireccional para el dominio de recursos de MWD mediante una confianza de dominio externo.
Con confianzas unidireccionales, los usuarios solo pueden iniciar sesión con nombre de usuario/contraseña; SAML/SSO no es compatible, ya que requiere la suplantación del usuario en el dominio de la cuenta de confianza por parte del servidor MWD ubicado en el dominio de recursos que no está permitido.
Formatos de nombre de inicio de sesión admitidos: FWA\Nombre de usuario, usuario@fwa.local, SamAccountName sin dominio: "Nombre de usuario": cuando el dominio de la cuenta de confianza se agrega a la parte superior del orden de búsqueda de dominios de MWD y el nombre de usuario es único en ambos dominios.
Formatos de nombre de inicio de sesión no compatibles: dirección de correo electrónico a menos que coincida con el dominio raíz del dominio de la cuenta (los sufijos UPN alternativos no son compatibles ya que no hay forma de enrutar los sufijos de nombre de dominio con confianzas de dominio externas)
Configuración de confianza saliente unidireccional de dominio de recursos de ejemplo:
Esto se crea desde la perspectiva del dominio de recursos de MWD DC para confiar en el dominio de los usuarios.
Ejemplo de configuración de confianza entrante unidireccional de dominio de usuarios:
Esto se crea desde la perspectiva del DC de dominio de la cuenta de confianza de FWA para confiar en el dominio de recursos.