Login
      Contenu x
      Synchronisation LDAP
      • 28 Jan 2025
      • 8 Minutes à lire
      • Contributeurs
      • Impression
      • Sombre
        Clair
      • PDF
      Contenu

      Synchronisation LDAP

      • Mis à jour le 28 Jan 2025
      • 8 Minutes à lire
      • Contributeurs
      • Impression
      • Sombre
        Clair
      • PDF
      Résumé de l’article

      1. LDAP - Gestion des groupes et des utilisateurs

      Notes importantes : 

      Azure Active Directory (Azure AD) offre deux méthodes d'accès aux données : Azure AD Graph et Graph API. Cependant, l'API Azure AD Graph de Microsoft sera bientôt obsolète et ne sera plus utilisable. Pour continuer à accéder aux ressources LDAP Azure AD, il est nécessaire de migrer de l'API "Azure AD Graph" à l'API "Graph API".
      Veuillez vous référer à la documentation de Microsoft pour obtenir plus d'informations sur la manière de migrer de l'API Azure AD Graph à l'API Graph API.

      Actuellement, Constellio prend en charge à la fois Azure AD Graph et Graph API. Pour distinguer entre les deux méthodes d'accès, nous utilisons les dénominations suivantes :

      • Azure AD Graph (qui sera bientôt obsolète) est appelé "Azure AD (Déprécié)" dans Constellio.
      • Graph API est appelé "Azure AD (Graph API)" dans Constellio.

      1.1 Annuaire LDAP

      Pour accéder à l'annuaire LDAP :

      1. Cliquer sur « Pilotage » dans le menu de navigation;
      2. Cliquer ensuite sur « Annuaire LDAP »;
      3. Dans la fenêtre « Configuration de LDAP », deux options sont disponibles : l'authentification des utilisateurs sans la synchronisation des comptes ou l'authentification et la synchronisation des utilisateurs. Dans les deux cas, l'utilisateur « admin » demeure accessible.

      1.2 Authentification des utilisateurs (sans la synchronisation des comptes)

      L'activation de l'authentification permet de passer par l'annuaire LDAP au lieu du système utilisé par défaut dans Constellio EIM. Cependant, les utilisateurs doivent être créés manuellement dans l'application et être ajoutés aux collections adéquates. Avant d'enregistrer les modifications, il est possible de tester la configuration avec le bouton « Tester la configuration ». Pour cela, il est nécessaire d'indiquer dans l'onglet « Synchronisation » un nom d'utilisateur (dans le champ « Utilisateur utilisé pour la synchronisation » ) et un mot de passe associé à cet utilisateur (dans le champ « Mot de passe utilisé pour la synchronisation »). Le redémarrage du système n'est pas nécessaire pour l'authentification.

      Active Directory ou eDirectory

      1. Choisir le type d'annuaire via le menu déroulant « Service d'annuaire »;
      2. Donner les URLs des annuaires séparés par des sauts de ligne (exemple d'URL : ldap://ad.constellio.com:389 );
      3. Fournir les domaines séparés par des sauts de ligne (exemple de domaine : test.constellio.com ) et cliquer sur « Enregistrer ».

      Azure AD (Déprécié et Graph API)

      1. Choisir l'annuaire Azure AD via le menu déroulant « Service d'annuaire»;
        1. Si vous utilisez Azure AD Graph pour accéder aux données LDAP, sélectionnez "Azure AD (Déprécié)" dans le menu déroulant. (Notez que cette API sera bientôt obsolète chez Microsoft).
        2. Si vous utilisez Graph API pour accéder aux données LDAP, sélectionnez "Azure AD (Graph API)" dans le menu déroulant.
      2. Inscrire l'identifiant du client, le tenant ID, l'utilisateur test et son mot de passe;
      3. Cliquer sur « Enregistrer ».

      1.3 Synchronisation des utilisateurs

      La synchronisation des utilisateurs permet d'importer les utilisateurs et les groupes de l'annuaire et de les filtrer. Les filtres actuellement offerts avec Constellio EIM sont des filtres basés sur des expressions régulières. La synchronisation permet aussi de mettre à jour les informations d'une manière périodique.

      Il est possible de tester la configuration avant la sauvegarde via le bouton « Tester la configuration ». Après la sauvegarde, il n'est toutefois plus possible d'ajouter, de mettre à jour ou de supprimer les configurations pour les utilisateurs ou les groupes via l'application si la synchronisation des utilisateurs est activée.

      1.3.1 Active Directory ou eDirectory

      1. Choisir le type d'annuaire via le menu déroulant « Service d'annuaire »;
      2. Indiquer l'horaire de la synchronisation. Trois choix sont possibles : 
        1. Heures fixes : La synchronisation sera effectuée à chaque heure ajoutée à la liste.
        2. Durée entre les exécutions : La synchronisation aura lieu selon une fréquence déterminée (combinaison de jours, heures et minutes).
        3. Horaire désactivé : Lorsque cette option est sélectionnée, aucune synchronisation automatique ne sera effectuée. Il demeure toutefois possible d'effectuer des synchronisations manuelles.
      3. Sélectionner les collections pour lesquelles la synchronisation doit être faite;
      4. Indiquer l'utilisateur et le mot de passe de l'utilisateur utilisé pour la synchronisation (champs obligatoires);
      5. Indiquer les contextes de base pour la recherche des groupes séparés par des sauts de ligne (ex. OU=Groupes, DC=test, DC=Constellio, DC=com). Ce champ est lié aux deux champs d’expressions régulières pour les groupes. Tous les groupes non vides des contextes fournis seront importés ainsi que tous les utilisateurs de ces groupes. Une exclusion est appliquée pour les utilisateurs et les groupes qui ne respectent pas les filtres définis par les expressions régulières des groupes et des utilisateurs;
      6. Contextes de base pour la recherche des utilisateurs séparés par des sauts de ligne (ex. CN=Users, DC=test, DC=Constellio, DC=com). Ce champ est lié aux deux champs d’expressions régulières pour les utilisateurs. Tous les utilisateurs de ce contexte seront importés ainsi que leurs groupes. Une exclusion est appliquée pour les utilisateurs et les groupes qui ne respectent pas les filtres définis par les expressions régulières des groupes et des utilisateurs;
      7. Groupes de filtrage des utilisateurs : Cette configuration permet de limiter les utilisateurs obtenus à l'aide de la configuration « Contextes de base pour la recherche des utilisateurs » à l'aide de groupes auxquels ces utilisateurs appartiennent et qui ne sont pas visés par la configuration « Contextes de base pour la recherche des groupes ». Les groupes sont séparés par des sauts de ligne (ex. OU=Groupes, DC=test, DC=Constellio, DC=com);
      8. Activer la dérivation automatique des utilisateurs depuis les groupes acceptés : Si cette configuration est activée, les utilisateurs faisant partie des groupes acceptés seront synchronisés s'ils respectent l'expression régulière d'inclusion. Si cette configuration n'est pas acceptée, uniquement les utilisateurs correspondant à la configuration « Contextes de base pour la recherche des utilisateurs » seront considérés;
      9. Cliquer sur « Enregistrer ».

      1.3.2 Azure AD (Déprécié et Graph API)

      1. Choisir le type d'annuaire via le menu déroulant « Service d'annuaire »;
      2. Indiquer l'horaire de la synchronisation. Trois choix sont possibles;
        1. Heures fixes : La synchronisation sera effectuée à chaque heure ajoutée à la liste.
        2. Durée entre les exécutions : La synchronisation aura lieu selon une fréquence déterminée (combinaison de jours, heures et minutes).
        3. Horaire désactivé : Lorsque cette option est sélectionnée, aucune synchronisation automatique ne sera effectuée. Il demeure toutefois possible d'effectuer des synchronisations manuelles.
      3. Sélectionner les collections pour lesquelles la synchronisation doit être faite;
      4. Indiquer l'identifiant du client;
      5. Indiquer la clé de l'application;
      6. Inscrire les expressions régulières pour les utilisateurs à accepter et celles pour les utilisateurs à rejeter;
      7. Inscrire les expressions régulières pour les groupes à accepter et celles pour les groupes à rejeter;
      8. Appel séparé pour récupérer les enfants d'un sous-groupe LDAP (ses sous-groupes et ses utilisateurs). Cette configuration permet d'aller récupérer les sous-groupes et les utilisateurs de chaque sous-groupe d'un groupe LDAP récupéré. Autrement dit, la synchronisation va analyser un niveau de profondeur supplémentaire. Noter qu'un appel distinct est nécessaire pour chaque sous-groupe, ce qui peut augmenter la durée d'une synchronisation considérablement. À n'utiliser que si l'arborescence à récupérer possède plus de deux niveaux hiérarchiques de groupe;
      9. Ignorer les expressions régulières pour les sous-groupes LDAP si au moins un groupe parent correspond aux expressions régulières. Cette configuration indique à Constellio d'accepter un sous-groupe même s'il ne respecte pas l'expression régulière d'inclusion si son groupe parent respecte ladite expression régulière d'inclusion;
      10. Ne synchroniser des utilisateurs que s'ils sont membres d'un groupe correspondant aux expressions régulières. Si cette configuration est activée, les utilisateurs respectant l'expression régulière d'inclusion ne seront synchronisés que s'ils appartiennent à un groupe synchronisé. Si cette configuration n'est pas activée, tous les utilisateurs correspondant à l'expression régulière d'inclusion seront synchronisés, peu importe les groupes auxquels ils appartiennent;
      11. Cliquer sur « Enregistrer ».

      1.4 Synchronisation UPN et courriel Azure AD

      Lors de la synchronisation, il est possible de peupler la métadonnée Courriel de la fiche de l'utilisateur avec la métadonnée Mail d'Azure AD. 

      • Si l'utilisateur n'a pas de courriel (champ mail) d'entrée sur Azure AD, c'est le champ UPN qui sera synchronisé. Ainsi, la métadonnée Courriel, sera la même que le UPN
      • Si l'utilisateur a un courriel d'entrée sur Azure AD, l'entrée sera dupliquée dans la métadonnée courriel de la fiche de l'utilisateur.

      1.5 EXEMPLE - Expression régulière pour les groupes à accepter

      Expression régulière pour les utilisateurs à accepter (ex. * signifie que tous les utilisateurs seront importés, excepté ceux qui vérifient le champ suivant).

      Expression régulière pour les utilisateurs à rejeter (ex. testAuj sera rejeté).

      Expression régulière pour les groupes à rejeter (ex. ALF_tous|. *_ext les groupes dont les noms finissent par « _ext » ainsi que le groupe « ALF_tous » seront rejetés).

      2. Impact sur la fiche utilisateur

      Lorsqu'un annuaire est synchronisé, les modifications possibles sur la fiche d'un utilisateur sont limitées, contrairement aux utilisateurs entrés manuellement. Dans ce cas, les modifications voulues devront être faites dans l'annuaire et les changements apparaitront dans Constellio suite à la prochaine synchronisation. 

      Les métadonnées qui ne peuvent pas être modifiées dans Constellio sont :

      • Nom d'utilisateur
      • Prénom
      • Nom de famille
      • Courriel
      • Fonction
      • Numéro de téléphone
      • Adresse de fonction de l'usager
      • Courriels personnels
      • Statut

      3. Empêcher la création des utilisateurs locaux

      Empêcher la création des utilisateurs locaux dans un système permet de garantir que seuls les comptes d'utilisateurs créés et gérés via un système de gestion d'identités centralisé, tel qu’Azure Active Directory ou un autre fournisseur d'identités, peuvent accéder au système. 

      3.1. Page de Configuration LDAP

      Dans la page de configuration de l'annuaire LDAP, une nouvelle option permet désormais de désactiver la création de comptes locaux. Il s'agit d'une case à cocher intitulée « Désactiver la création des utilisateurs locaux ».

      3.2. Page gestion de la sécurité

      Dans la page de gestion de la sécurité, le bouton permettant d'ajouter de nouveaux utilisateurs sera désactivé et donc indisponible si l'option « Désactiver la création des utilisateurs locaux » est activée. Cette restriction vise à empêcher la création de comptes locaux lorsque cette option est sélectionnée, assurant ainsi que les utilisateurs ne peuvent être ajoutés que via les systèmes de gestion d'identités externes.

      3.3. Page Gestion de la Configuration via constellio.properties

      Dans le fichier constellio.properties , il est possible d'ajouter une propriété pour forcer la désactivation de la création de comptes locaux. Cette propriété est nommée disableLocalUsersCreation et accepte deux valeurs possibles : true ou false. Lorsque la propriété est définie sur true, la création de nouveaux comptes locaux sera systématiquement désactivée, indépendamment des paramètres configurés dans l'interface utilisateur. Par exemple, pour activer cette restriction, vous ajouteriez la ligne suivante dans le fichier constellio.properties :

      Dans la page de configuration de l'annuaire LDAP, la case à cocher intitulée « Désactiver la création des utilisateurs locaux » sera inaccessible et donc non affichée si le fichier constellio.properties contient la propriété disableLocalUsersCreation. Lorsque cette propriété est définie, son état (soit true, soit false) sera utilisé pour déterminer si la création de nouveaux comptes locaux est autorisée ou non, prenant ainsi le pas sur les paramètres définis dans l'interface utilisateur LDAP. Par conséquent, la configuration de cette propriété dans le fichier constellio.properties contrôle exclusivement l'activation ou la désactivation de la création de comptes locaux.


      Cet article vous a-t-il été utile ?
      What's Next
      Change password!
      Changing your password will log you out immediately. Use the new password to log back in.
      Change profile
      Success!
      First name must have atleast 2 characters. Numbers and special characters are not allowed.
      Last name must have atleast 1 characters. Numbers and special characters are not allowed.
      Enter a valid email
      Enter a valid password
      Your profile has been successfully updated.
      Logout