Intégration LDAP

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Une intégration LDAP permet à votre instance d’utiliser votre serveur LDAP existant comme source principale de données utilisateur.

    Les administrateurs s’intègrent à un répertoire LDAP (Lightweight Directory Access Protocol) pour rationaliser le processus de connexion de l’utilisateur et automatiser les tâches administratives telles que la création d’utilisateurs et l’affectation de rôles. Une intégration LDAP permet au système d’utiliser votre serveur LDAP existant comme source principale de données utilisateur. En règle générale, une intégration LDAP fait également partie de l’implémentation d’une authentification unique.

    L’intégration utilise les informations d’identification du compte de service LDAP pour récupérer le nom distinct (ND) de l’utilisateur auprès du serveur LDAP. En fonction de la valeur DN de l’utilisateur, l’intégration redémarre la liaison avec LDAP avec le ND et le mot de passe de l’utilisateur. Le mot de passe saisi par l’utilisateur est entièrement contenu dans la session HTTPS. L’intégration ne stocke jamais les mots de passe LDAP.

    L’intégration utilise une connexion en lecture seule qui n’écrit jamais dans l’annuaire LDAP. L’intégration interroge uniquement des informations, puis met à jour sa base de données interne en conséquence.

    Remarque :
    Pour en savoir plus sur la configuration de l’intégration, reportez-vous à Configuration de l’intégration LDAP.
    Remarque :
    Si votre instance utilise une intégration LDAP et que les paramètres Active Directory exigent que les utilisateurs réinitialisent leur mot de passe lors de la connexion, vos utilisateurs ne seront pas en mesure de se connecter à l’instance. L’instance ne peut pas modifier le mot de passe Active Directory d’un utilisateur.

    Fonctionnalités de l’intégration LDAP

    Les fonctionnalités d’intégration LDAP sont les suivantes.

    Actualisation LDAP planifiée

    Une analyse programmée de votre serveur LDAP est généralement exécutée une fois par nuit. Il interroge tous les attributs des enregistrements d’utilisateurs applicables et les compare avec le compte sur nos serveurs. S’il y a une différence, nous modifions notre enregistrement d’utilisateur avec l’attribut modifié. La charge imposée au serveur LDAP pendant l’actualisation dépend du nombre d’enregistrements interrogés et du nombre d’attributs comparés. Nous vous recommandons de programmer l’actualisation pendant les heures creuses. Une opération d’actualisation volumineuse peut affecter d’autres opérations planifiées, telles que l’exécution de rapports, et doit être planifiée de manière à minimiser les conflits.

    Écouteur LDAP

    LDAP Listener est notre version d’une requête persistante (ou recherche persistante). Nous émettons une requête permanente pour les modifications apportées à votre serveur LDAP et sommes constamment à l’écoute d’une réponse. En supposant que votre serveur prenne en charge une recherche persistante, toutes les modifications apportées à l’un de vos comptes LDAP applicables sont renvoyées à l’écouteur LDAP et envoyées à votre instance dans un délai d’environ 10 secondes. Il s’agit d’un outil extrêmement utile, qui nous permet d’avoir une copie presque en temps réel des détails du compte de vos utilisateurs, sans avoir à attendre la prochaine actualisation programmée.

    Connexion LDAP sur demande

    Une fois l’intégration LDAP établie, l’instance peut autoriser les nouveaux utilisateurs à se connecter au système, même s’ils n’ont pas encore de compte sur l’instance. Lorsqu’un nouvel utilisateur tente de se connecter à l’instance, l’intégration vérifie si cet utilisateur dispose d’un compte dans l’instance. Si l’intégration ne trouve pas de compte d’utilisateur existant, elle interroge automatiquement le serveur LDAP pour obtenir le nom d’utilisateur qui a été saisi. Si un compte LDAP correspondant est trouvé, l’intégration tente de s’authentifier avec le mot de passe saisi par l’utilisateur. Si le mot de passe est valide, l’instance crée un compte pour l’utilisateur, remplit le compte avec toutes les informations LDAP applicables et connecte l’utilisateur à l’instance.

    La connexion sur demande utilise la carte de transformation d’importation d’utilisateur LDAP. Pour en savoir plus sur les exigences relatives aux cartes de transformation, reportez-vous à Cartes de transformation LDAP.

    Remplissage des données LDAP
    Remarque :
    La fonctionnalité décrite dans cette intégration n’est pas disponible par défaut. Cette intégration implique une personnalisation post-déploiement effectuée par un administrateur expérimenté ou par des consultants en ServiceNow services professionnels.

    Une intégration aux serveurs LDAP vous permet de remplir rapidement et facilement la base de données de l’instance avec des enregistrements utilisateur provenant de la base de données LDAP existante. Pour éviter toute incohérence de données, vous pouvez créer, ignorer ou ignorer les enregistrements LDAP entrants.

    Vous pouvez également limiter les données importées par l’intégration en spécifiant des attributs LDAP, ce qui permet d’importer uniquement les données que vous souhaitez exposer à une instance. En règle générale, les attributs LDAP que vous spécifiez font partie de la carte de transformation de l’intégration. Si vous ne spécifiez aucun attribut LDAP, l’intégration importe tous les attributs d’objet disponibles à partir du serveur LDAP. L’instance stocke les données LDAP importées dans des tables de jeux d’importation temporaires, de sorte que plus vous importez d’attributs, plus le temps d’importation est long. Pour plus d'informations, consultez Spécifier les attributs LDAP.

    Authentification LDAP
    Utilisez l’authentification LDAP pour accéder à l’application à l’aide d’informations d’identification LDAP.
    Lorsqu’un utilisateur saisit ses informations d’identification réseau sur la page de connexion :
    1. L’instance transmet les informations d’identification à un serveur LDAP pour rechercher l’instance.
    2. Avec les RDN, il valide la chaîne DN de l’utilisateur. La validation n’est valable que si au moins une des configurations LDAP OU avec table=sys_user a un NDR configuré.
    3. Le serveur LDAP répond par un message autorisé ou non autorisé que le système utilise pour déterminer si l’accès doit être accordé.

    En s’authentifiant auprès de votre serveur LDAP, les utilisateurs accèdent à la plateforme avec les mêmes informations d’identification que celles qu’ils utilisent pour d’autres ressources internes sur votre domaine réseau. En outre, vous pouvez réutiliser les mots de passe et les politiques de sécurité existants qui sont déjà en place. Par exemple, le serveur LDAP a peut-être déjà des politiques de verrouillage de compte et d’expiration de mot de passe.

    Lorsque vous activez LDAP, le système met à jour les enregistrements utilisateur avec ces champs.

    Tableau 1. Mises à jour de l’enregistrement utilisateur LDAP
    Champ Description
    Source Identifie si LDAP est utilisé ou non pour valider un utilisateur. Si la source commence par ldap, l’utilisateur est validé via LDAP. Si la source ne commence pas par ldap, le mot de passe de l’enregistrement utilisateur est utilisé pour valider l’utilisateur lors de la connexion.
    Serveur LDAP Identifie le serveur LDAP qui authentifie l’utilisateur lorsqu’il existe plusieurs serveurs LDAP.
    Remarque :
    Le système ne prend pas en charge l’authentification par mot de passe LDAP via un MID Server. Une instance doit pouvoir se connecter directement à un serveur LDAP pour prendre en charge l’authentification par mot de passe.