|
|
(13 révisions intermédiaires par un utilisateur sont masquées) |
Ligne 1 : |
Ligne 1 : |
− | == Introduction == | + | ==Mise en oeuvre d'un Annuaire externe== |
− | Une nouvelle notion apparait dans la console d'administration : l'annuaire.
| + | Pour mettre en oeuvre un Annuaire externe sur une version ligne 1000 existante : |
| | | |
− | L'annuaire va nous permettre
| + | # Créez un Annuaire du type correspondant à l'annuaire de votre entreprise. |
− | *de gérer finement (au niveau entité) l'authentification grâce au profil d'authentification
| + | # Identifiez les groupes ayant accès à vos Dossiers. |
− | *de s'authentifier sur un annuaire externe (respectant le protocole LDAP) | + | # Associez ces groupes à l'Annuaire |
| + | # Renseignez l'identifiant d'annuaire de chaque groupe, cette étape associe un groupe Ligne 1000 à un groupe de l'Annuaire. |
| + | # Supprimez les associations des utilisateurs aux dossiers. (*) |
| + | # Activez l'Annuaire |
| + | # Désactivez l'Annuaire d'Entreprise (interne) |
| | | |
− | En conséquence le processus d'authentification a été modifié.
| + | (*) Cette étape permet de s'assurer que seule les autorisations héritées de l'annuaire de votre entreprise seront appliquées. |
| + | (*) Ne supprimez pas les personnalisations. |
| | | |
− | Pour authentifier un utilisateur :
| + | {{tip|La bonne pratique est de faire en sorte que les autorisations d'accès à vos dossier soit gérées par les groupes, en général les utilisateurs ne doivent pas être directement associés aux dossiers.}} |
| | | |
− | *'''Avant :'''
| + | [[Category:Administration]] |
− | # On vérifiait la validité utilisateur mot de passe (+ compte non expiré + login réseau)
| + | [[Category:Annuaires]] |
− | # On s'assurait que l'utilisateur (ou un groupe auquel il appartenait) était en relation avec l'"Application-Société" dans laquelle il souhaitait rentrer
| + | |
− | | + | |
− | *'''Aujourd'hui : '''
| + | |
− | # L'entité qui demande l'authentification (utilisateur ou groupe) doit être actrice d'un annuaire.(si plusieurs annuaires actifs, il faut choisir cet annuaire)
| + | |
− | # L'annuaire a la responsabilité de valider la demande d'authentification.(ainsi, pour un annuaire active directory, la validité utilisateur/mot de passe n'est pas gérée par la ligne 1000)
| + | |
− | # Ensuite, comme avant, on s'assure que l'entité est en relation avec l'"Application-Société"
| + | |
− | | + | |
− | {{tip|L'annuaire a également la responsabilité du profil d'authentification (politique de mot de passe ...)}}
| + | |
− | | + | |
− | On distingue trois types d'annuaires
| + | |
− | | + | |
− | *'''L'annuaire d'entreprise''' (interne)
| + | |
− | : Il est livré par défaut, on ne peut pas en créer de nouveaux. Il permet, pour chaque entité déclarée dans cet annuaire, d'appliquer un profil d'authentification. L'annuaire porte un profil par défaut.
| + | |
− | *'''L'annuaire LDAP''' (externe)
| + | |
− | : Il permet d'authentifier les utilisateurs sur un serveur externe respectant la norme LDAP.
| + | |
− | *'''L'annuaire Active Directory''' (externe)
| + | |
− | Il permet d'authentifier les utilisateurs auprès d'un annuaire MicroSoft Active Directory.
| + | |
− | | + | |
− | {{tip|L'utilisateur ''admin'' se connecte toujours sur l'annuaire d'entreprise même si celui-ci est désactivé.}}
| + | |
− | | + | |
− | == Paramétrage d'un annuaire LDAP ==
| + | |
− | | + | |
− | ===Les acteurs de l'annuaire===
| + | |
− | Ce sont les entités autorisées à s'authentifier. L'identifiant permet de les retrouver dans l'annuaire LDAP externe (grâce à l'attribut de recherche paramétré plus loin)
| + | |
− | | + | |
− | '''On cherche en priorité l'utilisateur parmi les acteur pour appliquer les politiques (puis le groupe éventuel)'''
| + | |
− | | + | |
− | ===Le paramétrage de la connexion LDAP===
| + | |
− | * Base DN : il s'agit du nom de domaine sur lequel seront effectuées les recherches
| + | |
− | * L'utilisateur autorisé à interroger l'annuaire est utile à double titre :
| + | |
− | # Lors d'une tentative de connexion d'un utilisateur pour effectuer une rechercher dans l'annuaire.
| + | |
− | # Une fois l'utilisateur identifié pour effectuer des recherches dans l'annuaire, le compte de l'utilisateur n'ayant pas nécessairement les droits de recherche.
| + | |
− | | + | |
− | ===Le paramétrage des attributs===
| + | |
− | * L'attribut de recherche est utilisé pour identifier l'entité dans l'annuaire distant
| + | |
− | * Le nom est utilisé pour vérifier que l'utilisateur qui se connecte existe dans l'annuaire distant (avant même d'authentifier), cela correspond à l'information saisie par l'utilisateur (login).
| + | |
− | * Nom complet et adresse de messagerie permettent de renseigner ces éléments localement.
| + | |
− | | + | |
− | == Connexion d'un utilisateur déclaré sur un annuaire externe ==
| + | |
− | | + | |
− | === Scénario d'utilisation d'un annuaire externe. ===
| + | |
− | | + | |
− | ====Contexte====
| + | |
− | L'administrateur souhaite que les utilisateurs LDAP appartenant au groupe ''"Compta"'' accèdent au dossier ''"Dossier compta"'' de la Ligne 1000.
| + | |
− | | + | |
− | ====Paramétrage annuaire====
| + | |
− | # L'administrateur crée un annuaire LDAP et le paramètre.
| + | |
− | # Ensuite, il crée un groupe ''"Grp compta"'' qui représente le groupe de son annuaire LDAP externe.
| + | |
− | # Il déclare ce groupe comme acteur dans l'annuaire et renseigne son identifiant LDAP. (''"CN=Compta..."'')
| + | |
− | | + | |
− | ====Connexion d'un utilisateur appartenant à ce groupe====
| + | |
− | | + | |
− | Lorsqu'un utilisateur appartenant à ce groupe s'authentifie pour la première fois dans la Ligne 1000, il est automatiquement créé.
| + | |
− | | + | |
− | ====La synchronisation des informations de l'utilisateur====
| + | |
− | | + | |
− | Chaque fois qu'un utilisateur se connecte sur une annuaire type LDAP, on met à jour les informations (mail..) et la liste des groupes auquel il appartient.
| + | |
− | | + | |
− | ==Connexion sans passer par la fenêtre de login==
| + | |
− | | + | |
− | Il est possible de se connecter à la ligne 1000 sans passer par la fenêtre de connexion.(rpc, ole..)
| + | |
− | C'est pourquoi, des mécanismes sont prévus pour que les paramétrages existants fonctionnent toujours.
| + | |
− | | + | |
− | Lors de la connexion à la la base, si l'annuaire n'est pas renseigné, on prend par défaut l'annuaire entreprise (s'il est actif).
| + | |
− | De même, si le groupe n'est pas renseigné et que l'utilisateur n'est pas autorisé en tant que tel dans la société, on tâche de trouver un groupe autorisé auquel l'utilisateur appartient.
| + | |
Pour mettre en oeuvre un Annuaire externe sur une version ligne 1000 existante :
(*) Cette étape permet de s'assurer que seule les autorisations héritées de l'annuaire de votre entreprise seront appliquées.
(*) Ne supprimez pas les personnalisations.