Configurer la connexion LDAP

AE fournit un client qui authentifie les données de connexion à l'aide de LDAP via Microsoft Active Directory, ou à partir de Oracle Directory Server. Le client fait partie de AE. Lors de la connexion, les utilisateurs ne sont pas authentifiés dans AE, mais dans Active Directory si la connexion LDAP est activée dans l'objet Utilisateur. Les données LDAP peuvent être synchronisées via SSL.

Présentation

Par défaut, la connexion LDAP est désactivée. Vous pouvez le voir pour chaque utilisateur dans Perspective Administration. Activez ou désactivez-la pour chaque utilisateur via la commande correspondante du menu contextuel. Un paramètre global active la connexion LDAP pour l'ensemble d'un système AE.

Une connexion LDAP via AE n'est possible que si le mot de passe contient les caractères de la table de codes utilisée dans votre base de données.

Importer et installer des certificats SSL

Afin d'utiliser Active Directory ou un Oracle Directory Server avec LDAP sur SSL, vous devez être en mesure d'utiliser un processus basé Java (JWP). Les détails sur l'installation et l'importation des certificats nécessaires, voir Installer le JWP .

1. Importez les certificats, comme décrit dans la section Installation JWP.

2. Créez une variable de connexion LDAP avec les paramètres suivants :

   VERSION = 2

   TLS = Y

   USE_DISTINGUISHED_NAME = Y

   SERVER = <hostname>:<sslport>

   Le port par défaut pour SSL est 636.

3. Ouvrez l'objet utilisateur, définissez le Distinguished Name pour l'utilisateur et cochez la case "Connexion LDAP".

Activer la connexion LDAP pour votre système AE

Ouvrez la Variable UC_SYSTEM_SETTINGS et saisissez la valeur "Y" dans la clé "LDAP". Ce paramètre global peut être utilisé pour activer ou désactiver la connexion LDAP à partir d'un seul endroit.

Synchroniser LDAP avec les informations d'identification de l'utilisateur

Il est possible d'avoir un utilisateur technique supplémentaire LDAP, qui serait en mesure d'effectuer une synchronisation LDAP, au cas où l'utilisateur actuel n'aurait pas les autorisations nécessaires pour le faire.

Conseil : Nous vous recommandons cette méthode au lieu de la solution des objets utilisateur individuels, puisque dans ce dernier cas, un utilisateur n'a pas les informations d'identification nécessaires et serait donc contraint de se déconnecter du système et de s'y connecter à nouveau pour permettre la synchronisation des données.
Vous connecter et vous déconnecter ne sera pas nécessaire, si la solution technique de vérification des droits de l'utilisateur est utilisée.

Créer un utilisateur technique via un objet Login

• Dans le client 0, créez un objet Login incluant les informations d'identification spécifiques pour la connexion au serveur LDAP. Il ne doit avoir qu'une seule ligne contenant les informations suivantes :
• Nom = *
• Type = LDAP
• Dans Info. Login, saisissez le nom ou le nom unique de l'utilisateur à utiliser pour la communication avec le serveur LDAP.
• Renseignez le mot de passe de l'utilisateur dans le champ Mot de passe.
• Enregistrez l'objet Login dans la variable UC_LDAP_Domaine existante, en utilisant la clé SYNC_LOGIN.

• Testez si le paramètre SYNC_LOGIN et l'objet LOGIN sont correctement configurés, en procédant comme suit :
• Connectez-vous à AWI, avec un utilisateur non LDAP.
• Ouvrez ou créez un objet USER correspondant à l'utilisateur LDAP.
• Assurez-vous que l'option Connexion LDAP est activée.
• Cliquez sur Synchroniser les données avec LDAP maintenant.
• Si tout a été correctement configuré, le serveur LDAP récupèrera automatiquement le nom unique de l'utilisateur.

Si la clé SYNC_LOGIN n'est pas spécifiée dans la variable ou l'objet Login n'existe pas, les informations d'identification de l'utilisateur actuel s'appliquent.

Procédure pour Active Directory

Spécifier les données de connexion

1. Connectez-vous au client système 0000.
2. Accédez au dossier "DIV_VARIABLES" et dupliquez la variable UC_LDAP_EXAMPLE.  
3. Nommez la copie "UC_LDAP_Domaine". Si le domaine s'appelle par exemple "SMITH", la variable doit s'appeler "UC_LDAP_SMITH".
4. Ouvrez la variable et saisissez vos données de connexion.
5. Enregistrez et fermez la variable.

Configurer la connexion LDAP dans les objets Utilisateur

1. L'objet utilisateur doit avoir le même nom que l'utilisateur dans Active Directory, si le non unique (DN) n'est pas utilisé. Le nom se compose du nom de l'utilisateur et du domaine. Par exemple, M. SMITH utilise le domaine AE. Il requiert l'objet utilisateur "SMITH/AE". Créez-vous un nouvel objet utilisateur ou renommez le votre.
2. Ouvrez l'objet Utilisateur. Voir Utilisateurs (USER).
3. Cochez la case "Connexion LDAP". Les champs "Prénom", "Nom de famille" et "Courriel1" sont verrouillés, car leur contenu doit être rempli par les données LDAP dans Active Directory ou Oracle Directory Server. Les champs verrouillés sont renseignés avec les données issues du serveur respectif, lorsque la synchronisation commence.
4. Testez cela, via le bouton Synchroniser les données avec LDAP maintenant. La synchronisation ne fonctionne que si l'utilisateur qui l'active a déjà été synchronisé via la connexion LDAP. Ceci implique de fermer Interface Web Automic et de se reconnecter.

Les informations enregistrées dans l'objet utilisateur ne sont actualisées qu'à la connexion ou à l'activation du bouton Synchroniser les données avec LDAP maintenant. Il n'y a pas de synchronisation automatique.

Si l'on utilise la solution de vérification des informations d'identification de l'utilisateur technique (cf. plus haut, à la section "Général") dans l'objet Login concerné (enregistré via SYNC_LOGIN dans la variable UC_LDAP_Domaine), il n'est pas nécessaire de se déconnecter, puis reconnecter pour synchroniser les données.

Important ! La personne qui synchronise les données d'un objet utilisateur avec LDAP doit elle-même être un utilisateur LDAP, si la solution de l'objet Login et de l'utilisateur technique décrits ci-dessus ne sont pas utilisés.

Active Directory n'utilise pas la seconde adresse email. Elle peut être utilisée si nécessaire.

5. Enregistrez et fermez l'objet utilisateur.
6. Répétez ces étapes pour les autres utilisateurs.

Procédure Oracle Directory Server

Spécifier les données de connexion

1. Connectez-vous au client système 0000.
2. Accédez au dossier "DIV_VARIABLES" et dupliquez la variable UC_LDAP_EXAMPLE.
3. Les noms des objets utilisateur sont composés du nom et du département. La copie de la variable peut être renommée "UC_LDAP_Département". Une variable supplémentaire est nécessaire pour chaque département. Avec cette méthode, le domaine doit être indiqué dans la clé DOMAIN_ALIAS.
4. Ouvrez la variable et saisissez vos données de connexion.
5. Enregistrez et fermez la variable.

Configurer la connexion LDAP dans les objets Utilisateur

1. L'objet utilisateur doit avoir le même nom que Distinguished Name de l'utilisateur.  Créez-vous un nouvel objet utilisateur ou renommez le votre.

La synchronisation des données ne fonctionne que si le "uid" et le nom de l'objet Utilisateur sont identiques. Exemple : uid=nga, ou=people, dc=example,dc=com. Ainsi l'objet Utilisateur doit être nommé NGA/DEPARTMENT

2. Ouvrez l'objet Utilisateur. Voir Utilisateurs (USER).
3. Cochez la case "Connexion LDAP". Les champs "Prénom", Nom de famille", "Courriel1" et "Courriel2" sont verrouillés, car leur contenu doit être renseigné avec les données LDAP dans le répertoire du serveur correspondant. Les champs verrouillés sont complétés avec les données issues du serveur Oracle Directory, lorsque la synchronisation commence.
4. Testez cela, via le bouton Synchroniser les données avec LDAP maintenant. La synchronisation ne fonctionne que si l'utilisateur qui l'active a déjà été synchronisé via la connexion LDAP. Ceci implique de fermer Interface Web Automic et de se reconnecter.

Les informations enregistrées dans l'objet utilisateur ne sont actualisées qu'à la connexion ou à l'activation du bouton Synchroniser les données avec LDAP maintenant. Il n'y a pas de synchronisation automatique.

Se déconnecter et se reconnecter pour synchroniser les données n'est pas requis, si la solution de vérification des droits de l'utilisateur technique dans l'objet Login particulier (enregistré via SYNC_LOGIN dans la variable UC_LDAP_Domaine) est utilisée, comme décrit ci-dessus dans la section "Général".

Important ! La personne qui synchronise les données d'un objet utilisateur avec LDAP doit elle-même être un utilisateur LDAP, si la solution de l'objet Login et l'utilisateur technique décrits ci-dessus ne sont pas utilisés.

5. Enregistrez et fermez l'objet utilisateur.
6. Répétez ces étapes pour les autres utilisateurs.

Remarques :

• Les vérifications externes du mot de passe vérifications externes du mot de passe effectuées via l'exit de programme AE sont exécutées avant la connexion LDAP.

• Les données utilisateur sont enregistrées dans l'objet pendant la synchronisation avec le serveur de répertoire LDAP.

Voir aussi :

• Utilisateurs (USER)
• UC_LDAP_EXAMPLE