Mots de passe des Utilisateurs

Système d'autorisation

Configuration

---

Configuration de la Connexion LDAP

AE fournit un Client qui permet l'authentification des données de connexion à l'aide de LDAP via Microsoft Active Directory, ou à partir de la version 11 sur le serveur de répertoire Oracle. Le Client fait partie de Automation Engine. Lors de la connexion, les utilisateurs ne sont pas authentifiés dans Automation Engine mais dans Active Directory si la connexion LDAP est activée dans l'objet utilisateur.

La connexion LDAP prend en charge Microsoft Active Directory et, à partir de la version 11, le Serveur de répertoire Oracle.

À partir de la version 11, vous pouvez synchroniser les données LDAP par SSL.

La connexion LDAP est désactivée par défaut.

Une connexion LDAP via AE n'est impossible que si le mot de passe contient des caractères qui ne font pas partie de la table de Codes utilisée dans votre base de données.

Un paramètre global active la connexion LDAP pour le système AE. En fonction du paramètre de l'objet Utilisateur, la vérification de la connexion de l'Utilisateur s'effectue localement dans le système AE ou dans Active Directory, ou le Serveur de répertoire Oracle, selon les paramètres de l'objet Utilisateur. C'est pourquoi AE fait la distinction entre les Utilisateurs locaux et LDAP.

Ci-dessous vous trouverez l'installation et la configuration, différenciés par installation et les étapes de configuration générales nécessaires soit pour le répertoire actif ou le serveur de répertoire Orable, respectivement.

Généralités

Importation et Installation de certificats SSL

Afin d'utiliser un Répertoire actif ou un Serveur de répertoire Oracle avec LDAP sur SSL, vous devrez être en mesure d'utiliser un JWP (Java based Work Process). Détails sur l'installation et l'importation des certificats nécessaires que vous trouvez dans la section Installation JWP.

1. Importez les certificats, comme décrit dans la section Installation JWP.
2. Créez une Variable Connexion LDAP avec les paramètres suivants :
   
   VERSION = 2
   TLS = Y
   USE_DISTINGUISHED_NAME = Y
   SERVER = <hostname>:<sslport>
   
   Le port par défaut pour SSL est 636.
    
3. Ouvrez l'objet utilisateur, définissez le Distinguished name pour l'utilisateur et activez la case "Connexion LDAP".

Activez une connexion LDAP pour le système AE.

• Ouvrez la Variable UC_SYSTEM_SETTINGS et entrez la valeur "Y" dans la clé "LDAP". Avec ce paramètre global, vous pouvez activer ou désactiver la connexion LDAP à partir d'un seul endroit.

Synchronisation de LDAP avec les droits techniques de l'utilisateur

Depuis la version 11, il est possible d'avoir un utilisateur technique supplémentaire LDAP, qui serait en mesure d'effectuer une synchronisation LDAP, au cas où l'utilisateur actuel n'a pas les autorisations nécessaires pour le faire.

Automic recommande cette méthode au lieu de la solution des objets utilisateur individuels, puisque dans ce dernier cas, un utilisateur n'a pas les droits nécessaires et serait donc contraint de se déconnecter du système et de s'y connecter à nouveau pour permettre la synchronisation des données.
Vous connecter et vous déconnecter ne sera pas nécessaire, si la solution technique de vérification des droits de l'utilisateur est utilisée.

Créez un utilisateur technique en créant et utilisant un objet Login.
Suivez ces étapes :

• Créez l'objet Login avec des informations d'identification comme informations d'identification d'utilisateurs techniques.
• Cet objet de connexion devrait être inscrit dans la variable UC_LDAP_Domain (s.a.), avec la clé SYNC_LOGIN.

Les informations d'identification de cet objet de connexion seront utilisées à la place des pouvoirs de l'utilisateur pour synchroniser les informations LDAP.

Si la clé SYNC_LOGIN n'est pas spécifiée dans la variable ou l'objet de connexion n'existe pas, les informations d'identification de l'utilisateur actuel s'appliquent.

Répertoire actif des procédures

Spécifiez les données de connexion :

1. Connectez-vous au Client système 0000.
2. Passez au dossier "DIV_VARIABLES" et dupliquez la Variable UC_LDAP_EXAMPLE.
3. Nommez le doublon comme suit : "UC_LDAP_Domaine". Si le domaine s'appelle par exemple "SMITH", la Variable doit s'appeler "UC_LDAP_SMITH".
   
4. Ouvrez la Variable et entrez-y les données de connexion.
5. Stockez et fermez la variable.

Configurer la connexion LDAP dans les objets utilisateur.

1. L'objet utilisateur doit avoir le même nom que l'utilisateur dans Active Directory, si le Distinguished name (DN) n'est pas utilisé.Le nom est composé du nom d'utilisateur et du domaine. M. Dupont fait par exemple partie du domaine AE. Il requiert l'objet utilisateur "SMITH/AE". Créez-vous un nouvel objet utilisateur ou renommez le votre.
2. Ouvrez l'objet Utilisateur et passez à l'onglet Utilisateur.
3. Cochez la case "Connexion LDAP". Les champs "Prénom", "Nom de famille" et "Courriel1" ne peuvent être modifiés, car leur contenu doivent être remplis par les données LDAP dans le répertoire actif ou le Serveur de répertoire Oracle. Les zones verrouillées sont complétées avec les données issues du Serveur respectif, lorsque la synchronisation commence.
4. Pour tester, vous pouvez utiliser le bouton Synchroniser les données avec LDAP maintenant, mais la synchronisation ne fonctionne que si l'utilisateur qui l'emploie a déjà été synchronisé via la connexion LDAP. Si vous souhaitez utiliser cette fonctionnalité immédiatement, vous devez fermer l'Interface Utilisateur et vous connecter à nouveau.
   
   Les informations enregistrées dans l'objet utilisateur ne sont actualisées qu'à la connexion ou à l'activation du bouton "Synchroniser les données avec LDAP maintenant". Une synchronisation automatique n'est pas effectuée.
   
   Déconnecter et synchroniser les données n'est pas requis, si la solution technique de vérification des pouvoirs de l'utilisateur dans l'objet de connexion spéciale (par SYNC_LOGIN in UC_LDAP_Domain) est utilisée, comme décrit ci-dessus dans la section "Général".
   
   La personne qui synchronise les données d'un objet utilisateur avec LDAP doit elle-même être un utilisateur LDAP, si la solution de l'objet Login et l'utilisateur technique décrits ci-dessus ne sont pas utilisés.
   
   Le répertoire actif n'utilise pas le second courriel. Il vous est ainsi possible de l'utiliser en fonction de vos besoins.
   
   
5. Enregistrez et fermez l'objet utilisateur.
6. Répétez ces étapes pour les autres utilisateurs.

Serveur du répertoire Oracle des procédures

Spécifiez les données de connexion :

1. Connectez-vous au Client système 0000.
2. Passez au dossier "DIV_VARIABLES" et dupliquez la Variable UC_LDAP_EXAMPLE.
3. Vous pouvez renommer le doublon de la Variable UC4 comme suit : Vous pouvez renommer le doublon de la Variable comme suit : "UC_LDAP_Département". Chaque département doit disposer d'une Variable distincte. Avec cette méthode, le domaine doit être indiqué dans la clé DOMAIN_ALIAS.
4. Ouvrez la Variable et entrez-y les données de connexion.
5. Stockez et fermez la variable.

Configurer la connexion LDAP dans les objets utilisateur :

1. L'objet Utilisateur doit avoir le même nom que le nom distingué de l'Utilisateur. Créez tout d'abord un nouvel objet Utilisateur ou renommez-en un s'il en existe déjà un.
   La synchronisation des données ne fonctionne que si le "uid" et le nom de l'objet de l'utilisateur sont identiques. Exemple : uid=nga, ou=people, dc=example,dc=com. Ainsi l'objet de l'utilisateur devrait être nommé NGA/DEPARTMENT
2. Ouvrez l'objet Utilisateur et passez à l'onglet Utilisateur.
3. Cochez la case "Connexion LDAP". Les champs "Prénom", Nom de famille", "Courriel1" et "Courriel2" ne peuvent être modifiés, car leur contenu doivent être remplis par les données LDAP dans le répertoire du serveur respectif. Les zones verrouillées sont complétées avec les données issues du Serveur du répertoire Oracle, lorsque la synchronisation commence.
4. Pour tester, vous pouvez également utiliser le bouton Synchroniser les données avec LDAP maintenant. La synchronisation ne fonctionne que si l'Utilisateur qui l'emploie a déjà été synchronisé via la connexion LDAP. Si vous souhaitez utiliser cette fonctionnalité immédiatement, vous devez fermer l'Interface Utilisateur et vous connecter à nouveau.
   
   Les informations enregistrées dans l'objet utilisateur ne sont actualisées qu'à la connexion ou à l'activation du bouton "Synchroniser les données avec LDAP maintenant". Une synchronisation automatique n'est pas effectuée.
   
   Déconnecter et synchroniser les données n'est pas requis, si la solution technique de vérification des pouvoirs de l'utilisateur dans l'objet de connexion spéciale (par SYNC_LOGIN in UC_LDAP_Domain) est utilisée, comme décrit ci-dessus dans la section "Général".
   
   La personne qui synchronise les données d'un objet utilisateur avec LDAP doit elle-même être un utilisateur LDAP, si la solution de l'objet Login et l'utilisateur technique décrits ci-dessus ne sont pas utilisés.
   
   
5. Enregistrez et fermez l'objet utilisateur.
6. Répétez ces étapes pour les autres utilisateurs.

Commentaires

La supervision système vous indique les utilisateurs pour lesquels la connexion LDAP est activée. Vous pouvez activer ou désactiver la connexion LDAP pour un ou plusieurs utilisateurs à l'aide de la commande correspondante du menu contextuel.

La case à cocher "Connexion LDAP" est automatiquement désactivée lors de l'exportation, du transport et de la duplication d'un objet utilisateur.

Vérifications externes du mot de passe exécutées à l'aide de l'exit de programme AE sont exécutées avant la connexion LDAP.

Lors de la synchronisation avec le serveur LDAP, les données utilisateur sont enregistrées dans l'objet.

See also:

User
UC_LDAP_EXAMPLE