Définir des unités organisationnelles LDAP

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Une définition d’unité organisationnelle (OU) spécifie les répertoires sources LDAP disponibles pour l’intégration.

    Avant de commencer

    Rôle requis : admin.

    Pourquoi et quand exécuter cette tâche

    Les définitions d’unités organisationnelles peuvent contenir des emplacements, des personnes ou des groupes d’utilisateurs. Chaque définition de serveur LDAP contient deux exemples de définitions d’unités organisationnelles : l’un pour l’importation de groupes dans le système et l’autre pour les utilisateurs.

    Procédure

    1. Accédez à la Tous > Système LDAP > Serveurs LDAP.
    2. Sélectionnez le serveur LDAP à configurer.
    3. Dans la liste connexe LDAP OU Definitions (Définitions d’UO LDAP ), sélectionnez l’exemple de définition d’UO Groupes ou Utilisateurs .
    4. Remplissez le formulaire de définition des UO LDAP (voir table).
    5. Cliquez sur Mettre à jour.
      Le système teste automatiquement la connexion au serveur LDAP.
    6. Sous Liens connexes, cliquez sur Parcourir pour afficher les enregistrements de répertoire LDAP renvoyés par la définition d’UO.
      Formulaire de définition d’UO LDAP
      Tableau 1. Formulaire de définition d’UO
      Champ Description
      Nom Spécifiez le nom que l’intégration utilise lorsqu’elle fait référence à cette UO. Le nom que vous entrez ici devient une cible LDAP dans l’enregistrement de la source de données.
      RDN (Nom distinct relatif) Spécifiez le nom distinct relatif du sous-répertoire que vous souhaitez rechercher. Ce NDR est combiné avec le répertoire de début de recherche de la définition du serveur LDAP pour identifier le sous-répertoire contenant des informations pour cette unité organisationnelle. Par exemple, l’exemple de définition d’UO utilise la valeur RDN CN=Users pour effectuer une recherche dans le répertoire LDAP CN=Users,DC=service-now,DC=com et tout répertoire en dessous de ce point. Ce champ doit correspondre à un sous-répertoire de votre système LDAP.
      Champ d'interrogation Spécifiez le nom de l’attribut dans le serveur LDAP pour interroger les enregistrements. Le champ de requête doit être unique dans les instances de domaine unique et multiple. Pour de meilleurs résultats, utilisez des adresses e-mail ou d’autres informations d’identification qui identifient de manière unique l’utilisateur dans une instance à plusieurs domaines. Active Directory utilise l’attribut sAMAccountName . Les autres serveurs LDAP ont tendance à utiliser l’attribut cn .
      Remarque :
      Le champ Requête doit être mappé au champ ID d’utilisateur dans la table Utilisateur [sys_user]. Par exemple, si un utilisateur Active Directory se connecte en tant que joe.example, il doit y avoir un enregistrement utilisateur avec une valeur d’ID d’utilisateurjoe.example et un enregistrement LDAP avec une valeur sAMAccountNamejoe.example.
      Actives Cochez cette case pour activer la définition d’UO et permettre aux administrateurs de tester l’importation des données. Toutefois, l’intégration ne peut apporter des données dans le système qu’à partir de définitions d’unités organisationnelles actives.
      Table Spécifiez la table qui reçoit les données mappées de votre serveur LDAP. Pour les utilisateurs, sélectionnez Utilisateur (sys_user), et pour les groupes, sélectionnez Groupe (sys_group).
      Filtre Saisissez une chaîne de filtre LDAP pour sélectionner des enregistrements spécifiques à importer à partir de l’UO. Plus la requête de filtre LDAP est spécifique, plus elle est efficace.

      Par exemple, la définition de l’UO LDAP des utilisateurs utilise le filtre suivant pour sélectionner les enregistrements qui sont classifiés comme une personne, qui ont une valeur d’attribut sn , qui ne sont pas des ordinateurs et qui ne sont pas marqués comme inactifs :

      (&(objectClass=person)(sn=*)( !( objectClass=ordinateur)) ( !( userAccountControl :1.2.840.113556.1.4.803 :=2)))

      Vous pouvez trouver une description de la syntaxe du filtre LDAP en recherchant sur Internet LDAP Filters RFC (Filtres LDAP).

    Exemples de définitions d’unités organisationnelles

    Supposons que vous ayez un serveur LDAP avec la structure de répertoire suivante :

    dc=mon-domaine,dc=com

    • ou=Groupes
      • cn=Développement
      • cn=RH
      • cn=Ventes
    • ou=Utilisateurs
      • ou=Développement
      • ou=RH
      • ou=Ventes

    Supposons ensuite que vous souhaitiez exclure le groupe RH et les utilisateurs RH de l’application. Effectuez les actions suivantes :

    1. Créez un enregistrement de serveur LDAP avec un répertoire de recherche de départ dc=my-domain,dc=com.
    2. Créez un enregistrement de définition d’UO pour ou=Groups avec un filtre pour exclure cn=HR.
    3. Créez un enregistrement de définition d’organisation pour ou=Utilisateurs avec un filtre pour exclure ou=HR.

    Si vous ne spécifiez pas d’attributs ou de filtres supplémentaires avec une définition d’UO, la requête LDAP renvoie la sous-arborescence complète du répertoire de départ et du RDN.

    Dans ces exemples, une définition d’OU avec la valeur RDN ou=Groups et aucun filtre aurait renvoyé tous les groupes. De même, une définition d’unité organisationnelle avec la valeur RDN ou=Users et aucun filtre aurait renvoyé tous les utilisateurs et les unités organisationnelles enfants.