Définir des unités organisationnelles LDAP

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Une définition d’unité d’organisation (OU) spécifie les répertoires sources LDAP disponibles pour l’intégration.

    Avant de commencer

    Rôle requis : admin.

    Pourquoi et quand exécuter cette tâche

    Les définitions d’unités organisationnelles peuvent contenir des emplacements, des personnes ou des groupes d’utilisateurs. Chaque définition de serveur LDAP contient deux exemples de définitions d’unités organisationnelles : l’une pour l’importation de groupes dans le système et l’autre pour les utilisateurs.

    Procédure

    1. Accédez à la Tous > Système LDAP > Serveurs LDAP.
    2. Sélectionnez le serveur LDAP à configurer.
    3. Dans la liste connexe Définitions d’unités organisationnelles LDAP , sélectionnez la définition d’exemple d’unité organisationnelle pour les groupes ou les utilisateurs .
    4. Remplissez le formulaire Définition LDAP OU (voir table).
    5. Cliquez sur Mettre à jour.
      Le système teste automatiquement la connexion au serveur LDAP.
    6. Sous Liens connexes, cliquez sur Parcourir pour afficher les enregistrements du répertoire LDAP que renvoie la définition d’OU.
      Formulaire de définition LDAP OU
      Tableau 1. Formulaire de définition d’unité organisationnelle
      Champ Description
      Nom Spécifiez le nom que l’intégration utilise lorsqu’elle fait référence à cette unité organisationnelle. Le nom que vous saisissez ici devient une cible LDAP dans l’enregistrement de source de données.
      Nom distinct relatif à traiter Spécifiez le nom distinct relatif du sous-répertoire que vous souhaitez rechercher. Ce RDN est combiné avec le répertoire de début de recherche de la définition du serveur LDAP afin d’identifier le sous-répertoire contenant des informations pour cette unité organisationnelle. Par exemple, l’exemple de définition d’OU utilise la valeur RDN CN=Users pour rechercher le répertoire LDAP CN=Users,DC=service-now,DC=com et tout répertoire en dessous de ce point. Ce champ doit correspondre à un sous-répertoire de votre système LDAP.
      Champ d'interrogation Spécifiez le nom de l’attribut dans le serveur LDAP pour interroger les enregistrements. Le champ de requête doit être unique dans les instances de domaine unique et multiple. Pour de meilleurs résultats, utilisez des adresses e-mail ou d’autres informations d’identification qui identifient de façon unique l’utilisateur dans une instance à domaines multiples. Active Directory utilise l’attribut sAMAccountName . D’autres serveurs LDAP ont tendance à utiliser l’attribut cn .
      Remarque :
      Le champ Requête doit être mappé au champ ID d’utilisateur dans la table Utilisateur [sys_user]. Par exemple, si un utilisateur Active Directory se connecte en tant que joe.example, il doit exister un enregistrement utilisateur avec la valeur d’ID d’utilisateurjoe.example et un enregistrement LDAP avec la valeur sAMAccountNamejoe.example.
      Actif Cochez cette case pour activer la définition d’unité organisationnelle et permettre aux administrateurs de tester l’importation de données. Toutefois, l’intégration ne peut apporter des données dans le système qu’à partir de définitions d’unités organisationnelles actives.
      Table Spécifiez la table qui reçoit les données mappées de votre serveur LDAP. Pour les utilisateurs, sélectionnez Utilisateur (sys_user) et pour les groupes, sélectionnez Groupe (sys_group).
      Filtre Entrez une chaîne de filtre LDAP pour sélectionner des enregistrements spécifiques à importer à partir de l’OU. Plus la requête de filtre LDAP est spécifique, plus elle est efficace.

      Par exemple, la définition d’UO LDAP d’utilisateurs utilise le filtre suivant pour sélectionner les enregistrements qui sont classifiés comme une personne, qui ont une valeur d’attribut sn , qui ne sont pas des ordinateurs et qui ne sont pas marqués comme inactifs :

      (&(objectClass=person)(sn=*)( !( objectClass=ordinateur)) ( !( userAccountControl :1.2.840.113556.1.4.803 :=2)))

      Vous pouvez trouver une description de la syntaxe du filtre LDAP en recherchant sur Internet la RFC des filtres LDAP.

    Exemples de définitions d’unités organisationnelles

    Supposons que vous disposiez d’un serveur LDAP avec la structure de répertoire suivante :

    dc=mon-domaine,dc=com

    • ou=Groupes
      • cn=Développement
      • cn=RH
      • cn=Ventes
    • ou=Utilisateurs
      • ou=Développement
      • ou=RH
      • ou=Ventes

    Supposons en outre que vous souhaitiez exclure le groupe RH et les utilisateurs RH de l’application. Effectuez les actions suivantes :

    1. Créez un enregistrement de serveur LDAP avec un répertoire de recherche de départ dc=mon-domaine,dc=com.
    2. Créez un enregistrement de définition OU pour ou=Groups avec un filtre pour exclure cn=HR.
    3. Créez un enregistrement de définition OU pour ou=Users avec un filtre excluant ou=HR.

    Si vous ne spécifiez pas d’attributs ou de filtres supplémentaires avec une définition d’OU, la requête LDAP renvoie la sous-arborescence complète du répertoire de départ et du RDN.

    Dans ces exemples, une définition OU avec la valeur RDN ou=Groups et sans filtre aurait renvoyé tous les groupes. De même, une définition OU avec la valeur RDN ou=Users et sans filtre aurait renvoyé tous les utilisateurs et les unités organisationnelles enfants.