Présentation de l’intégration LDAP

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Une intégration LDAP permet à votre instance d’utiliser votre serveur LDAP existant comme source principale de données utilisateur.

    Prérequis pour l’intégration LDAP

    • Le serveur des services de répertoire doit être conforme à LDAP v3
    • L’accès au réseau entrant via le pare-feu doit être autorisé (au serveur LDAP)
    • Adresse IP externe ou nom du serveur LDAP
    • Informations d’identification de l’utilisateur avec accès en lecture seule
    • Pour LDAPS, un certificat PKI

    Délai d’intégration LDAP

    Les intégrations LDAP sont généralement effectuées avant la mise en service de l’instance, mais peuvent être intégrées à tout moment.

    Intégrité des données du serveur LDAP

    Certains utilisateurs craignent qu’un tiers (l’instance en l’occurrence) apporte des modifications (écriture) à votre serveur LDAP. Dans une intégration LDAP, votre instance n’écrit pas dans le répertoire LDAP interne. L’instance interroge des informations et met à jour sa base de données en conséquence.

    Aucune modification n’est apportée au serveur LDAP interne par l’instance. Le compte de service est en lecture seule.

    La plupart des modifications (y compris les ajouts) apportées à votre serveur LDAP sont disponibles pour l’instance en quelques secondes, en fonction du nombre de composants de l’intégration LDAP complète en place.

    Pour maintenir la synchronisation des enregistrements LDAP, planifiez une analyse périodique du serveur LDAP pour détecter les changements.

    L’instance ne synchronise pas les enregistrements de département. Les utilisateurs et les appartenances à des groupes sont maintenus à jour par le mécanisme d’écoute LDAP et une navigation LDAP complète quotidienne, mais l’instance ne supprime aucune de ces entrées une fois qu’elles ont disparu de LDAP.

    Si une entrée devait être supprimée, tout l’historique serait également supprimé, et toute référence à celui-ci serait effacée ou supprimée. Les éléments de configuration (CI), les accords SLA, les licences de logiciel, les bons de commande et les entrées de Service Catalog ont tous une référence au département. Si le département est supprimé, ces références sont effacées. Il existe de nombreuses références aux utilisateurs, et donc la suppression d’un utilisateur perdrait tout l’historique de ce qu’il a fait. Actuellement, la décision de supprimer ou de ne pas supprimer est prise par nos clients.

    Sécurité

    La connexion se fait à partir d’une seule machine utilisant une adresse IP fixe via un port spécifique sur votre pare-feu. L’authentification est effectuée avec un compte LDAP en lecture seule de votre choix. Vous pouvez utiliser le LDAP standard, ou charger le côté public d’un certificat SSL installé sur votre annuaire, auquel cas nous pouvons utiliser LDAPS. Pour ajouter une couche de sécurité supplémentaire, nous offrons également l’option d’un tunnel VPN IPSEC point à point. Adressez-vous à votre chargé de clientèle pour plus de détails et pour connaître les tarifs.

    Tableau 1. Connexions LDAP sécurisées
    Connexion Description
    Serveur MID Pour protéger votre serveur LDAP du trafic réseau externe, installez un MID Server sur le réseau local et configurez le système pour communiquer avec le MID Server via un canal sécurisé.
    LDAPS Pour établir une connexion LDAPS chiffrée, chargez le côté public du certificat SSL de votre serveur LDAP. L’intégration utilise le certificat pour chiffrer toutes les communications entre le serveur LDAP et l’instance.
    VPN Pour sécuriser le serveur LDAP avec un tunnel VPN IPSEC point à point chiffré, contactez votre chargé de clientèle pour plus de détails et les tarifs.

    Un autre aspect de sécurité à prendre en compte est celui des données partagées dans une intégration LDAP. Pour limiter les données exposées à votre instance, spécifiez des attributs dans votre carte de transformation. Pour plus d'informations, consultez Cartes de transformation LDAP.

    Importer des données LDAP dans l’instance

    Il est recommandé que des attributs soient définis pour importer uniquement les données requises. Les attributs définis sont mappés dans la base de données des utilisateurs de l’instance.

    Nous ne pouvons pas répondre à la question de savoir quels attributs spécifiques sont nécessaires, car cela est déterminé par la portée du projet et les exigences commerciales.

    Types de serveurs LDAP pris en charge

    L’instance s’est intégrée avec succès à Microsoft Active Directory, Novell, Domino (Lotus Notes) et Open LDAP. Nous utilisons JNDI pour l’interface avec le serveur LDAP. Tant que votre serveur LDAP est conforme à LDAP v3, l’intégration est réussie.

    Authentification unique LDAP

    En plus de la fonctionnalité de remplissage des données fournie avec l’importation LDAP, vous pouvez utiliser la fonctionnalité d’authentification externe prise en charge par l’application pour éviter que vos utilisateurs aient besoin de se connecter à chaque fois.

    Plusieurs domaines LDAP

    la méthode recommandée pour gérer plusieurs domaines consiste à créer un enregistrement de serveur LDAP distinct pour chaque domaine. Chaque enregistrement de serveur LDAP doit pointer vers un contrôleur de domaine pour ce domaine. Cela signifie que le réseau local doit autoriser les connexions à chacun des contrôleurs de domaine.

    Après l’extension à plusieurs domaines réseau, il est essentiel d’identifier des attributs LDAP uniques pour les noms d’utilisateur d’application et d’importer des valeurs de fusion. Un attribut de coalescence unique commun pour Active Directory est objectSid. Les noms d’utilisateur uniques peuvent varier en fonction de la conception des données LDAP. Les attributs communs sont email ou userPrincipalName.

    Gestion des limites de requête

    Par défaut, Active Directory 2000/2003 dispose d’une limite de requête LDAP (maxPageSize) de 1 000 objets pour empêcher les charges excessives et les attaques par déni de service. Nous avons deux méthodes pour faire face à cette limite.

    La méthode par défaut consiste à diviser la requête pour renvoyer moins de 1 000 objets à la fois. Par exemple, interrogez uniquement les objets commençant par la lettre « a », puis interrogez les objets « b ». La méthode la plus efficace pour les grands environnements consiste à activer la radiomessagerie. La pagination est prise en charge par défaut sur tous les serveurs Microsoft Active Directory. Il divise automatiquement les résultats en plusieurs ensembles de résultats, de sorte que nous n’avons pas à diviser la requête en plusieurs demandes.

    Type de requête LDAP

    Si un mot de passe LDAP est fourni, une liaison simple est effectuée. Si aucun mot de passe LDAP n’est fourni, alors « aucun » est utilisé, auquel cas le serveur LDAP doit autoriser la connexion anonyme.

    Authentification LDAP

    Nous utilisons les informations d’identification de compte de service fournies pour LDAP afin de récupérer le DN de l’utilisateur sur le serveur LDAP. Compte tenu de la valeur DN de l’utilisateur, nous relions la liaison avec LDAP en fonction du DN de l’utilisateur et du mot de passe fourni.

    Stockage des mots de passe

    Le mot de passe saisi par l’utilisateur est entièrement contenu dans sa session HTTPS. Nous ne stockons ce mot de passe nulle part.

    Configurer LDAP Authentication

    Ces champs de l’enregistrement utilisateur appartiennent à LDAP :

    • Source : le champ Source identifie si un utilisateur est validé ou non à l’aide de LDAP. Si le champ source commence par « ldap », l’utilisateur est validé via LDAP. Si le champ Source ne commence pas par « ldap », le mot de passe de l’enregistrement utilisateur est utilisé pour valider l’utilisateur lors de la connexion.
    • Serveur LDAP : l’instance prend en charge plusieurs serveurs LDAP, de sorte que le champ Serveur LDAP détermine le serveur à utiliser pour authentifier l’utilisateur.