Synchronisation LDAP
  • 12 Oct 2023
  • 6 Minutes à lire
  • Contributeurs
  • Sombre
    Clair
  • PDF

Synchronisation LDAP

  • Sombre
    Clair
  • PDF

Résumé de l’article

1. LDAP - Gestion des groupes et des utilisateurs

Notes importantes : 

Azure Active Directory (Azure AD) offre deux méthodes d'accès aux données : Azure AD Graph et Graph API. Cependant, l'API Azure AD Graph de Microsoft sera bientôt obsolète et ne sera plus utilisable. Pour continuer à accéder aux ressources LDAP Azure AD, il est nécessaire de migrer de l'API "Azure AD Graph" à l'API "Graph API".
Veuillez vous référer à la documentation de Microsoft pour obtenir plus d'informations sur la manière de migrer de l'API Azure AD Graph à l'API Graph API.

Actuellement, Constellio prend en charge à la fois Azure AD Graph et Graph API. Pour distinguer entre les deux méthodes d'accès, nous utilisons les dénominations suivantes :

  • Azure AD Graph (qui sera bientôt obsolète) est appelé "Azure AD (Déprécié)" dans Constellio.
  • Graph API est appelé "Azure AD (Graph API)" dans Constellio.

1.1 Annuaire LDAP

Pour accéder à l'annuaire LDAP :

  1. Cliquer sur « Pilotage » dans le menu de navigation;
  2. Cliquer ensuite sur « Annuaire LDAP »;
  3. Dans la fenêtre « Configuration de LDAP », deux options sont disponibles : l'authentification des utilisateurs sans la synchronisation des comptes ou l'authentification et la synchronisation des utilisateurs. Dans les deux cas, l'utilisateur « admin » demeure accessible.

1.2 Authentification des utilisateurs (sans la synchronisation des comptes)

L'activation de l'authentification permet de passer par l'annuaire LDAP au lieu du système utilisé par défaut dans Constellio EIM. Cependant, les utilisateurs doivent être créés manuellement dans l'application et être ajoutés aux collections adéquates. Avant d'enregistrer les modifications, il est possible de tester la configuration avec le bouton « Tester la configuration ». Pour cela, il est nécessaire d'indiquer dans l'onglet « Synchronisation » un nom d'utilisateur (dans le champ « Utilisateur utilisé pour la synchronisation » ) et un mot de passe associé à cet utilisateur (dans le champ « Mot de passe utilisé pour la synchronisation »). Le redémarrage du système n'est pas nécessaire pour l'authentification.

Active Directory ou eDirectory

  1. Choisir le type d'annuaire via le menu déroulant « Service d'annuaire »;
  2. Donner les URLs des annuaires séparés par des sauts de ligne (exemple d'URL : ldap://ad.constellio.com:389 );
  3. Fournir les domaines séparés par des sauts de ligne (exemple de domaine : test.constellio.com ) et cliquer sur « Enregistrer ».

Azure AD (Déprécié et Graph API)

  1. Choisir l'annuaire Azure AD via le menu déroulant « Service d'annuaire»;
    1. Si vous utilisez Azure AD Graph pour accéder aux données LDAP, sélectionnez "Azure AD (Déprécié)" dans le menu déroulant. (Notez que cette API sera bientôt obsolète chez Microsoft).
    2. Si vous utilisez Graph API pour accéder aux données LDAP, sélectionnez "Azure AD (Graph API)" dans le menu déroulant.
  2. Inscrire l'identifiant du client, le tenant ID, l'utilisateur test et son mot de passe;
  3. Cliquer sur « Enregistrer ».

1.3 Synchronisation des utilisateurs

La synchronisation des utilisateurs permet d'importer les utilisateurs et les groupes de l'annuaire et de les filtrer. Les filtres actuellement offerts avec Constellio EIM sont des filtres basés sur des expressions régulières. La synchronisation permet aussi de mettre à jour les informations d'une manière périodique.

Il est possible de tester la configuration avant la sauvegarde via le bouton « Tester la configuration ». Après la sauvegarde, il n'est toutefois plus possible d'ajouter, de mettre à jour ou de supprimer les configurations pour les utilisateurs ou les groupes via l'application si la synchronisation des utilisateurs est activée.

Active Directory ou eDirectory

  1. Choisir le type d'annuaire via le menu déroulant « Service d'annuaire »;
  2. Indiquer l'horaire de la synchronisation. Trois choix sont possibles : 
    1. Heures fixes : La synchronisation sera effectuée à chaque heure ajoutée à la liste.
    2. Durée entre les exécutions : La synchronisation aura lieu selon une fréquence déterminée (combinaison de jours, heures et minutes).
    3. Horaire désactivé : Lorsque cette option est sélectionnée, aucune synchronisation automatique ne sera effectuée. Il demeure toutefois possible d'effectuer des synchronisations manuelles.
  3. Sélectionner les collections pour lesquelles la synchronisation doit être faite;
  4. Indiquer l'utilisateur et le mot de passe de l'utilisateur utilisé pour la synchronisation (champs obligatoires);
  5. Indiquer les contextes de base pour la recherche des groupes séparés par des sauts de ligne (ex. OU=Groupes, DC=test, DC=Constellio, DC=com). Ce champ est lié aux deux champs d’expressions régulières pour les groupes. Tous les groupes non vides des contextes fournis seront importés ainsi que tous les utilisateurs de ces groupes. Une exclusion est appliquée pour les utilisateurs et les groupes qui ne respectent pas les filtres définis par les expressions régulières des groupes et des utilisateurs;
  6. Contextes de base pour la recherche des utilisateurs séparés par des sauts de ligne (ex. CN=Users, DC=test, DC=Constellio, DC=com). Ce champ est lié aux deux champs d’expressions régulières pour les utilisateurs. Tous les utilisateurs de ce contexte seront importés ainsi que leurs groupes. Une exclusion est appliquée pour les utilisateurs et les groupes qui ne respectent pas les filtres définis par les expressions régulières des groupes et des utilisateurs;
  7. Groupes de filtrage des utilisateurs : Cette configuration permet de limiter les utilisateurs obtenus à l'aide de la configuration « Contextes de base pour la recherche des utilisateurs » à l'aide de groupes auxquels ces utilisateurs appartiennent et qui ne sont pas visés par la configuration « Contextes de base pour la recherche des groupes ». Les groupes sont séparés par des sauts de ligne (ex. OU=Groupes, DC=test, DC=Constellio, DC=com);
  8. Activer la dérivation automatique des utilisateurs depuis les groupes acceptés : Si cette configuration est activée, les utilisateurs faisant partie des groupes acceptés seront synchronisés s'ils respectent l'expression régulière d'inclusion. Si cette configuration n'est pas acceptée, uniquement les utilisateurs correspondant à la configuration « Contextes de base pour la recherche des utilisateurs » seront considérés;
  9. Cliquer sur « Enregistrer ».

Azure AD (Déprécié et Graph API)

  1. Choisir le type d'annuaire via le menu déroulant « Service d'annuaire »;
  2. Indiquer l'horaire de la synchronisation. Trois choix sont possibles;
    1. Heures fixes : La synchronisation sera effectuée à chaque heure ajoutée à la liste.
    2. Durée entre les exécutions : La synchronisation aura lieu selon une fréquence déterminée (combinaison de jours, heures et minutes).
    3. Horaire désactivé : Lorsque cette option est sélectionnée, aucune synchronisation automatique ne sera effectuée. Il demeure toutefois possible d'effectuer des synchronisations manuelles.
  3. Sélectionner les collections pour lesquelles la synchronisation doit être faite;
  4. Indiquer l'identifiant du client;
  5. Indiquer la clé de l'application;
  6. Inscrire les expressions régulières pour les utilisateurs à accepter et celles pour les utilisateurs à rejeter;
  7. Inscrire les expressions régulières pour les groupes à accepter et celles pour les groupes à rejeter;
  8. Appel séparé pour récupérer les enfants d'un sous-groupe LDAP (ses sous-groupes et ses utilisateurs). Cette configuration permet d'aller récupérer les sous-groupes et les utilisateurs de chaque sous-groupe d'un groupe LDAP récupéré. Autrement dit, la synchronisation va analyser un niveau de profondeur supplémentaire. Noter qu'un appel distinct est nécessaire pour chaque sous-groupe, ce qui peut augmenter la durée d'une synchronisation considérablement. À n'utiliser que si l'arborescence à récupérer possède plus de deux niveaux hiérarchiques de groupe;
  9. Ignorer les expressions régulières pour les sous-groupes LDAP si au moins un groupe parent correspond aux expressions régulières. Cette configuration indique à Constellio d'accepter un sous-groupe même s'il ne respecte pas l'expression régulière d'inclusion si son groupe parent respecte ladite expression régulière d'inclusion;
  10. Ne synchroniser des utilisateurs que s'ils sont membres d'un groupe correspondant aux expressions régulières. Si cette configuration est activée, les utilisateurs respectant l'expression régulière d'inclusion ne seront synchronisés que s'ils appartiennent à un groupe synchronisé. Si cette configuration n'est pas activée, tous les utilisateurs correspondant à l'expression régulière d'inclusion seront synchronisés, peu importe les groupes auxquels ils appartiennent;
  11. Cliquer sur « Enregistrer ».

EXEMPLE - Expression régulière pour les groupes à accepter

Expression régulière pour les utilisateurs à accepter (ex. * signifie que tous les utilisateurs seront importés, excepté ceux qui vérifient le champ suivant).

Expression régulière pour les utilisateurs à rejeter (ex. testAuj sera rejeté).

Expression régulière pour les groupes à rejeter (ex. ALF_tous|. *_ext les groupes dont les noms finissent par « _ext » ainsi que le groupe « ALF_tous » seront rejetés).





Cet article vous a-t-il été utile ?

Changing your password will log you out immediately. Use the new password to log back in.
First name must have atleast 2 characters. Numbers and special characters are not allowed.
Last name must have atleast 1 characters. Numbers and special characters are not allowed.
Enter a valid email
Enter a valid password
Your profile has been successfully updated.