Definición del modelo de ThingWorx en Composer > Seguridad > Servicios de directorio > Gestión de usuarios en Active Directory > Usuarios de Active Directory
Usuarios de Active Directory
En este tema se explica lo que se necesita saber sobre los usuarios de Active Directory, desde el abastecimiento hasta los escenarios de bloqueo:
Abastecimiento de usuario
El abastecimiento de usuario proporciona opciones para crear, modificar y borrar automáticamente usuarios en ThingWorx.
Nombre
Descripción
Nombre de atributo XML
Valor por defecto
Notas
Creación de usuarios activada
Permite controlar la creación o el abastecimiento automáticos de usuarios de ThingWorx si las credenciales de usuario son correctas en el servidor de Active Directory que facilita la solicitud de conexión.
Si se marca el campo, los usuarios se crean con el nombre de usuario de inicio de sesión especificado, además de con cualquier valor por defecto especificado en la tabla de configuración de la configuración por defecto del usuario.
Si el campo está desactivado o definido en falso (por defecto), los usuarios deben existir en ThingWorx antes de que un usuario intente conectarse.
Los usuarios deben existir en ThingWorx para que los las conexiones se realicen correctamente. Si el usuario pertenece a la tabla de configuración de la lista de exclusiones de abastecimiento de usuario, este campo no tiene efecto en la creación automática del usuario.
userCreationEnabled
falso
Defina esta opción en verdadero si desea que el servicio de directorios de ThingWorx tenga la capacidad de crear usuarios automáticamente.
Modificación de usuarios activada
Permite controlar la actualización o el abastecimiento automáticos de usuarios de ThingWorx si las credenciales de usuario son correctas en el servidor de Active Directory que facilita la solicitud de conexión.
Si el campo está marcado o definido en verdadero, los usuarios se actualizan después de cada intento de conexión. Se actualizan con cualquier valor por defecto especificado en la tabla de configuración de la configuración por defecto del usuario.
Si el campo está desmarcado o definido en falso (por defecto), los usuarios no se actualizan con cada intento de conexión después del intento inicial cuando el usuario se creó o abasteció automáticamente. Los usuarios deben existir en ThingWorx para que los las conexiones se realicen correctamente.
Si el usuario pertenece a la tabla de configuración de la lista de exclusiones de abastecimiento de usuario, este campo no tiene efecto en la actualización automática del usuario.
userModificationEnabled
falso
Se define en verdadero para permitir que el servicio de directorios en ThingWorx actualice usuarios.
Borrado de usuarios activado
Permite controlar la eliminación o la anulación de abastecimiento automática de usuarios de ThingWorx si el usuario no existe en el servidor de Active Directory que facilita la solicitud de conexión.
Si el campo está marcado o definido en verdadero, los usuarios se borran después de un intento de conexión.
Si el campo está desmarcado o definido en falso, los usuarios no se borran después de un intento de conexión. Los usuarios deben existir en ThingWorx para que las conexiones y el borrado se realicen correctamente. Si el usuario pertenece a la tabla de configuración de la lista de exclusiones de abastecimiento de usuario, este campo no tiene efecto en el borrado automático del usuario.
userDeletionEnabled
falso
Se define en verdadero para permitir que el servicio de directorios en ThingWorx borre usuarios.
Volver al principio
Configuración por defecto del usuario
En la siguiente tabla se describe la configuración por defecto disponible para los usuarios. Estos campos son opcionales.
Nombre
Descripción
Nombre de atributo XML
Valores válidos
Notas
Prefijo de dominio por defecto del usuario abastecido
Un valor de cadena que se supone que es el prefijo de nombres de usuario para diferenciar al usuario X del servidor de dominio Y frente al usuario X del servidor de dominio Z.
De este modo, los servicios de directorios de Active Directory configurados saben explícitamente si el usuario que se debe validar está destinado a gestionar. Si está configurado con un valor, el servicio de directorios de Active Directory no intenta validar o abastecer al usuario. En su lugar, registra mensajes de seguridad y pasa el intento de conexión del usuario al siguiente servicio de directorios de ThingWorx de la cadena.
* 
Se recomienda utilizar un prefijo de dominio si el mismo usuario existe en varios servidores de dominio y sus dominios. De este modo, se minimiza el funcionamiento no determinista que podría producirse debido a la funcionalidad de "flujo de agua" descendente tras una validación de usuario fallida.
userDefaultDomainPrefix
Cadena vacía o cualquier cadena en la que se incluyan caracteres de nombre de entidad válidos.
Si hay más de un servidor de dominio configurado, se debe utilizar esta configuración. Por ejemplo, se puede utilizar NA o EUR como prefijo de dominio.
* 
Esta configuración puede producir resultados inesperados con la opción Conexión de usuario activado, ya que el prefijo del dominio por defecto del usuario aprovisionado se quita del nombre de usuario introducido durante la autenticación del usuario, antes de intentar enlazar con Active Directory. Por ejemplo, si "Prefijo del dominio por defecto del usuario aprovisionado" se define en "mydomain\" y un usuario introduce "mydomain\username" al autenticarse con ThingWorx, solo se envía "username" a Active Directory para la autenticación. Esta autenticación puede fallar para ese usuario, incluso si "mydomain\username" coincide con el valor de domain\samAccountName de ese usuario en Active Directory.
* 
Si el mismo nombre de usuario existe en varios dominios de Active Directory, la autenticación fallará si el usuario que se conecta no es el usuario real que se encuentra en Active Directory. Esto se basará en el orden en que se consulta.
Descripción por defecto del usuario abastecido
Un valor de cadena de descripción que se define como la descripción de todos los usuarios abastecidos. Esta es una configuración útil que permite añadir información contextual a un usuario, como "Abastecido automáticamente por el servidor de dominio Y".
userDefaultDescription
Cadena vacía o cualquier cadena de descripción
Esta opción se debe utilizar si se prefiere una descripción por defecto de todos los usuarios abastecidos (es decir, los usuarios creados/actualizados).
Mashup de inicio por defecto del usuario abastecido
Un valor de nombre de mashup de inicio que se define como mashup por defecto para todos los usuarios abastecidos. Esta configuración permite que todos los usuarios abastecidos inicien en un mashup de inicio común cuando se conectan a ThingWorx. Entre algunos ejemplos de estos mashups se incluyen un mashup de inicio de invitados, un mashup de inicio de autoservicio, un mashup de inicio de operadores, etc.
userDefaultHomeMashupName
Cadena vacía como no definida o nombre de mashup existente válido.
Esta opción se debe utilizar si se prefiere un mashup de inicio por defecto de todos los usuarios abastecidos (es decir, los usuarios creados/actualizados).
Por ejemplo, esto sería útil si para empezar se prefiere el mismo GuestMashup, SelfServiceMashup o LandingPageMashup para todos los usuarios cuando entren en la aplicación de ThingWorx.
Mashup móvil por defecto del usuario abastecido
Un valor del nombre de mashup móvil que se define para todos los usuarios abastecidos y que se va a utilizar en los dispositivos móviles. Esta configuración permite que todos los usuarios abastecidos inicien en un mashup móvil común cuando se conectan a ThingWorx. Entre algunos ejemplos de estos mashups se incluyen un mashup móvil, un mashup móvil de autoservicio, un mashup móvil de operadores, etc.
userDefaultMobileMashupName
Cadena vacía como no definida o nombre de mashup existente válido.
Esta opción se debe utilizar si se prefiere un mashup móvil por defecto para todos los usuarios abastecidos (es decir, los usuarios creados automáticamente/actualizados).
Por ejemplo, esto sería útil si para empezar se prefiere el mismo GuestMashup, SelfServiceMashup o LandingPageMashup para todos los usuarios cuando entren en la aplicación de ThingWorx.
Etiquetas por defecto del usuario abastecido
Un conjunto de etiquetas de modelo que se definen en todos los usuarios abastecidos. Esta es una configuración que permite que todos los usuarios abastecidos tengan etiquetas comunes que se pueden utilizar para la búsqueda o la identificación contextual. Entre algunos ejemplos de estas etiquetas se incluyen una etiqueta de operador, ProvisionedByDomainServerY, ProvisionedByDomainServerZ, etc.
userDefaultTags
Cadena vacía no definida o nombres de etiqueta existente válidos
Esta opción se debe utilizar si se prefiere un conjunto de etiquetas de modelo por defecto para todos los usuarios abastecidos (es decir, los usuarios creados/actualizados).
Volver al principio
Lista de exclusiones de abastecimiento de usuario
Esta es una tabla de configuración que permite al administrador del servicio de directorios de Active Directory excluir a usuarios específicos de ThingWorx de participar en las funciones de abastecimiento del usuario del servicio de directorios de Active Directory.
Entre las funciones de abastecimiento de usuario se incluyen la creación, la modificación y el borrado de usuarios. Al configurar ThingWorx con un servicio de directorios de Active Directory, puede que los usuarios existentes no deseen que Active Directory gestione su configuración y existencia, y solo quieran utilizarlo para la validación de credenciales. Estos tipos de usuarios se deben añadir a la configuración de la lista de exclusiones de abastecimiento de usuario.
* 
El usuario administrador se añade automáticamente a esta lista y no se debe quitar.
El usuario administrador es un usuario de ThingWorx por defecto que no se puede crear ni eliminar. El usuario administrador no debe modificarse automáticamente. Si se modifica, se pueden producir cambios de configuración no deseados durante la conexión.
Volver al principio
Escenarios de conexión de usuario
En la siguiente tabla se proporcionan los estados de usuario previos y posteriores durante los intentos de conexión en ThingWorx según las opciones de configuración definidas en el servicio de directorios de Active Directory dentro de ThingWorx.
* 
En los siguientes escenarios no se cambia el estado o la configuración del usuario dentro del servidor de Active Directory.
Los elementos en negrita se refieren al principal responsable de la toma de decisiones en el estado posterior del usuario en ThingWorx.
Estado del usuario en un servidor de AD
Estado previo del usuario en ThingWorx
Opciones de configuración
Estado posterior del usuario en ThingWorx
No existe
No existe
Cualquier configuración
No existe
No se puede utilizar para iniciar sesión
No existe
Existe (el administrador de ThingWorx lo crea manualmente)
La contraseñe se ha definido o reside en ThingWorx
Creación de abastecimiento de usuario activada
Modificación de abastecimiento de usuario activada
Borrado de abastecimiento de usuario activado
Incluido en la lista de exclusiones de abastecimiento de usuario
Existe
No está modificado ni borrado
Se puede utilizar para iniciar sesión
No existe
Existe (el administrador de ThingWorx lo crea manualmente)
La contraseña no se ha definido o no reside en ThingWorx
Creación de abastecimiento de usuario activada
Modificación de abastecimiento de usuario activada
Borrado de abastecimiento de usuario activado
Incluido en la lista de exclusiones de abastecimiento de usuario
Existe
No está modificado ni borrado
No se puede utilizar para iniciar sesión
No existe
Existe (el administrador de ThingWorx lo crea manualmente)
Creación de abastecimiento de usuario activada
Modificación de abastecimiento de usuario activada
Borrado de abastecimiento de usuario activado
No se incluye en la lista de exclusiones de abastecimiento de usuario
No existe
No se puede utilizar para iniciar sesión
No existe
Existe (el administrador de ThingWorx lo crea manualmente)
Creación de abastecimiento de usuario activada
Modificación de abastecimiento de usuario activada
Borrado de abastecimiento de usuario desactivado
No se incluye en la lista de exclusiones de abastecimiento de usuario
No existe
No se puede utilizar para iniciar sesión
Existe
No existe
Creación de abastecimiento de usuario activada
Modificación de abastecimiento de usuario activada
Borrado de abastecimiento de usuario activado
Incluido en la lista de exclusiones de abastecimiento de usuario
No existe
No se puede utilizar para iniciar sesión
Existe
Desactivado
No existe
Creación de abastecimiento de usuario activada
Modificación de abastecimiento de usuario activada
Borrado de abastecimiento de usuario activado
No se incluye en la lista de exclusiones de abastecimiento de usuario
No existe
No se puede utilizar para iniciar sesión
Existe
Bloqueado
No existe
Creación de abastecimiento de usuario activada
Modificación de abastecimiento de usuario activada
Borrado de abastecimiento de usuario activado
No se incluye en la lista de exclusiones de abastecimiento de usuario
No existe
No se puede utilizar para iniciar sesión
Existe
No existe
Creación de abastecimiento de usuario desactivada
Modificación de abastecimiento de usuario activada
Borrado de abastecimiento de usuario activado
No se incluye en la lista de exclusiones de abastecimiento de usuario
No existe
No se puede utilizar para iniciar sesión
Existe
No existe
Creación de abastecimiento de usuario activada
Modificación de abastecimiento de usuario activada
Borrado de abastecimiento de usuario activado
No se incluye en la lista de exclusiones de abastecimiento de usuario
Existe (creado)
Añadido como miembro a grupos asignados
Configuración de usuario por defecto añadida
Se puede utilizar para iniciar sesión
Existe
Existe
Creación de abastecimiento de usuario activada
Modificación de abastecimiento de usuario activada
Borrado de abastecimiento de usuario activado
No se incluye en la lista de exclusiones de abastecimiento de usuario
Configuración del usuario por defecto establecida
El usuario se modifica
Añadido como miembro a grupos asignados o eliminado de ellos
Configuración de usuarios por defecto añadida
Se puede utilizar para iniciar sesión
Existe
Existe
Creación de abastecimiento de usuario activada
Modificación de abastecimiento de usuario activada
Borrado de abastecimiento de usuario activado
Incluido en la lista de exclusiones de abastecimiento de usuario
Configuración del usuario por defecto establecida
El usuario no se modifica
Se puede utilizar para iniciar sesión
Existe
Bloqueado
Existe
Cualquier configuración
El usuario está bloqueado
No se puede utilizar para iniciar sesión
Existe
Desactivado
Existe
Cualquier configuración
El usuario está desactivado
No se puede utilizar para iniciar sesión
Volver al principio
Escenarios de bloqueo del usuario
La configuración de bloqueo de cuenta se establece en el Subsistema de gestión de usuarios de ThingWorx.
El administrador de bloqueo se define como el sistema (ThingWorx o Active Directory) que determina el bloqueo en función de la evaluación de bloqueo.
La clave de la siguiente tabla es:
Configuración de intentos de bloqueo de ThingWorx: TLA
Configuración de intentos de bloqueo de Active Directory: ADL
Evaluación de bloqueo
Administrador de bloqueo
Ejemplo de configuración de número máximo de intentos del administrador de bloqueo
Acción
Resultado
TLA > ADL
ADL
2 intentos
ThingWorx encuentra un usuario bloqueado en Active Directory
El usuario de ThingWorx se bloquea inmediatamente
TLA > ADL
ADL
2 intentos
El usuario inicia sesión incorrectamente dos veces
El usuario de ThingWorx se bloquea después de dos intentos
TLA > ADL
* 
La configuración de bloqueo recomendada es que ThingWorx y Active Directory coincidan.
ADL
2 intentos
El usuario inicia sesión incorrectamente dos veces
El usuario de ThingWorx se bloquea después de dos intentos
TLA > ADL
ADL
2 intentos
El usuario inicia sesión incorrectamente dos veces
El usuario de ThingWorx se bloquea después de dos intentos
Volver al principio
Gestión de usuarios en Active Directory
Grupos de Active Directory y conexión de usuario dinámico
Cambios en Active Directory
Asignación de atributos de usuario de Active Directory a la propiedad userExtension de ThingWorx
Asignación de usuarios y grupos que existen en varios dominios
Resolución de problemas de Active Directory
¿Fue esto útil?