Aprovisionamento via Active Directory

O serviço de email profissional Sooma fornece ferramentas de administração que permitem o aprovisionamento manual de contas, bem como gestão corrente de operações. No entanto, em cenários em que o aprovisionamento de contas de utilizadores esteja centralizado num serviço Active Directory, pode ser útil automatizar o aprovisionamento. Isto permite:

  • Criar automaticamente contas de email no seu domínio de email quando um utilizador seja criado na Active Directory
  • Desactivar e apagar contas de email quando um utilizador seja removido
  • Sincronizar as passwords entre a Active Directory e o serviço de email, efectivamente unificando as credenciais de acesso.

Modus operandi

A sincronização é feita por um executável, que regularmente faz as seguintes operações:

  1. Extrai da Active Directory os utilizadores que pertencem aos grupos Sooma_5GB e Sooma_50GB. Respectivamente, utilizadores com contas de 5GB e de 50GB.
  2. Extrai, dos utilizadores alvo, os seus endereços de email, presentes no campo proxyAddresses do objecto na Active Directory
  3. Compara esta lista com o registado no aprovisionamento Sooma
  4. Altera o aprovisionamento Sooma para reflectir o estado observado na Active Directory

Pré-requisitos

Antes de instalar o software de sincronização, Sooma AD Sync, é necessário garantir que a Active Directory apresenta a estrutura necessária, e a criação das credenciais nos dois pontos de sincronização (AD e mail.sooma.com):

  1. Garantir que existem dois grupos, com nomes "Sooma_5GB" e "Sooma_50GB"
  2. Garantir que os utilizadores que devem ter email fazem parte do grupo relevante.
  3. Garantir que os utilizadores que devem ter email têm o campo proxyAddresses preenchido. O valor do campo deve ser a string "SMTP:" seguida do endereço de email. Por exemplo "SMTP:john.doe@example.com"
  4. Criar, ou alocar para este processo, um utilizador na Active Directory com permissões de replicação da AD
  5. Criar, ou alocar para este processo, um utilizador em https://mail.sooma.com/ com permissões de administração do domínio (ou superior)

Instalação

O Sooma AD Sync pode ser instalado num qualquer servidor que tenha acesso aos portos de replicação da Active Directory. Por simplicidade de configuração de permissões, o mais fácil é instalar num qualquer controlador de domínio, que tipicamente já estão autorizados para replicação numa floresta AD.

A versão mais recente do instalador está sempre disponível em: https://mail.sooma.com/soomaadsync/setup.exe

A instalação é trivial: executar o instalador, e seguir as instruções no ecrã. Resulta na instalação de dois executáveis:

  • Sooma AD Sync Configurator: Programa de configuração e teste da sincronização
  • Sooma AD Sync: Programa de sincronização, sem interface gráfico, a ser chamado pelo Task Scheduler do sistema operativo

Configuração e teste

Executar, com permissões de administração, o Sooma AD Sync Configurator, que está presente no Start Menu (clicar com o botão direito e escolher a opção de execução como administrador). Surge o seguinte interface:

Preencher os campos de configuração:

  • AD Server Address: Hostname ou endereço IP do servidor de Active Directory
  • AD Username: Utilizador AD com permissões de replicação, no formato utilizador@dominio
  • AD Password: Password do utilizador AD
  • API Key: Token de API do utilizador com permissões de administração de domínio na plataforma mail.sooma.com. O token de API está disponível na página do utilizador na administração em https://mail.sooma.com/profissional
  • Email Domain: Domínio de email sob aprovisionamento

Depois, clicar em Write Config, e clicar em Test. A aplicação vai escrever uma lista das operações de aprovisionamento que executaria, mediante os estados actuais da Active Directory e do aprovisionamento Sooma. É sempre seguro clicar em Test; não são executadas quaisquer operações de aprovisionamento, é simplesmente emitido um relatório com o plano de operações a executar.

Validar que as operações estão correctas. Nomeadamente, validar que não vai ser apagado algum email válido porque não está aprovisionado da AD. Quando estiver tudo ok, pode-se executar, clicando em Run, ou deixar para ser executado pelo Task Scheduler.

Execução regular

Para executar regularmente, criar uma Tarefa de execução periódica no task scheduler do Windows. Correr o Task Scheduler, e seguir estes passos:

1. Clicar com o botão direito na pasta Task Scheduler Library e criar uma pasta Sooma. Clicar em Create Task. Na tab General preencher o campo Name com o nome da tarefa.

2. Na tab Triggers, clicar em New, e preencher os campos: Repeat task every com 30 minutes; for a duration of Indefinitely; Stop task if it runs longer than, com 30 minutes. Clicar em OK.

3. Na tab Actions, clicar em New, escolher a opção Start a Program, e seleccionar o executável "Sooma AD Sync.exe" que está na pasta de programas (tipicamente C:\Program Files (x86) ), debaixo de Sooma.com\Sooma AD Sync. Clicar em OK

4. Na tab Settings, Ligar e preencher Stop the task if it runs longer than 1 hour. Clicar em OK.

Logging

A execução do sincronizador é silenciosa, o output relevante é enviado para o log de sistema, visível no Event Log Viewer. Os efeitos de aprovisionamento surgem naturalmente no log de administração disponível na plataforma em https://mail.sooma.com/profissional/