Intégration LDAP

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Une intégration LDAP permet à votre instance d’utiliser votre serveur LDAP existant comme source principale de données utilisateur.

    Les administrateurs s’intègrent à un répertoire LDAP (Lightweight Directory Access Protocol) pour rationaliser le processus de connexion de l’utilisateur et automatiser les tâches administratives telles que la création d’utilisateurs et leur affectation de rôles. Une intégration LDAP permet au système d’utiliser votre serveur LDAP existant comme source principale de données utilisateur. En règle générale, une intégration LDAP fait également partie d’une implémentation d’authentification unique.

    L’intégration utilise les informations d’identification du compte de service LDAP pour récupérer le nom unique (ND) de l’utilisateur sur le serveur LDAP. En fonction de la valeur DN de l’utilisateur, l’intégration se relie ensuite à LDAP avec le ND et le mot de passe de l’utilisateur. Le mot de passe saisi par l’utilisateur est entièrement contenu dans la session HTTPS. L’intégration ne stocke jamais les mots de passe LDAP.

    L’intégration utilise une connexion en lecture seule qui n’écrit jamais dans l’annuaire LDAP. L’intégration se contente de demander des informations, puis met à jour sa base de données interne en conséquence.

    Remarque :
    Pour en savoir plus sur la configuration de l’intégration, reportez-vous à la section Configuration de l’intégration LDAP.
    Remarque :
    Si votre instance utilise une intégration LDAP et que les paramètres Active Directory exigent que les utilisateurs réinitialisent leur mot de passe lors de la connexion, vos utilisateurs ne seront pas en mesure de se connecter à l’instance. L’instance ne peut pas modifier le mot de passe Active Directory d’un utilisateur.

    Fonctionnalités de l’intégration LDAP

    Les fonctionnalités d’intégration LDAP sont les suivantes.

    Actualisation LDAP planifiée

    Une analyse planifiée de votre serveur LDAP est généralement exécutée une fois par nuit. Il interroge tous les attributs des enregistrements d’utilisateurs applicables et les compare avec le compte sur nos serveurs. S’il y a une différence, nous modifions notre enregistrement d’utilisateur avec l’attribut modifié. La charge placée sur le serveur LDAP pendant l’actualisation dépend du nombre d’enregistrements interrogés et du nombre d’attributs comparés. Nous vous recommandons de programmer l’actualisation en dehors des heures de pointe. Une opération d’actualisation importante peut affecter d’autres opérations planifiées, telles que l’exécution de rapports, et doit être planifiée de manière à minimiser les conflits.

    Écouteur LDAP

    L’écouteur LDAP est notre version d’une requête persistante (ou recherche persistante). Nous émettons une requête permanente pour les modifications apportées à votre serveur LDAP et sommes constamment à l’écoute d’une réponse. En supposant que votre serveur prenne en charge une recherche persistante, toutes les modifications apportées à l’un de vos comptes LDAP applicables sont renvoyées à l’écouteur LDAP et envoyées à votre instance dans un délai d’environ 10 secondes. Il s’agit d’un outil extrêmement utile, qui nous permet d’avoir une copie presque en temps réel des détails du compte de vos utilisateurs, sans avoir à attendre la prochaine actualisation programmée.

    Connexion LDAP sur demande

    Une fois qu’une intégration LDAP est établie, l’instance peut autoriser de nouveaux utilisateurs à se connecter au système même s’ils n’ont pas encore de compte sur l’instance. Lorsqu’un nouvel utilisateur tente de se connecter à l’instance, l’intégration vérifie si cet utilisateur dispose d’un compte dans l’instance. Si l’intégration ne trouve pas de compte d’utilisateur existant, elle interroge automatiquement le serveur LDAP pour le nom d’utilisateur qui a été saisi. Si un compte LDAP correspondant est trouvé, l’intégration tente de s’authentifier avec le mot de passe entré par l’utilisateur. Si le mot de passe est valide, l’instance crée un compte pour l’utilisateur, remplit le compte avec toutes les informations LDAP applicables et connecte l’utilisateur à l’instance.

    La connexion à la demande utilise la carte de transformation d’importation d’utilisateur LDAP. Pour en savoir plus sur les exigences relatives aux cartes de transformation, reportez-vous à Cartes de transformation LDAP.

    Remplissage des données LDAP
    Remarque :
    La fonctionnalité décrite dans cette intégration n’est pas disponible par défaut. Cette intégration implique une personnalisation post-déploiement effectuée par un administrateur expérimenté ou par des consultants en ServiceNow services professionnels.

    Une intégration aux serveurs LDAP vous permet de remplir rapidement et facilement la base de données de l’instance avec des enregistrements utilisateur provenant de la base de données LDAP existante. Pour éviter les incohérences de données, vous pouvez créer, ignorer ou ignorer les enregistrements LDAP entrants.

    Vous pouvez également limiter les données importées par l’intégration en spécifiant des attributs LDAP, ce qui permet d’importer uniquement les données que vous souhaitez exposer à une instance. En règle générale, les attributs LDAP que vous spécifiez font partie de la carte de transformation d’intégration. Si vous ne spécifiez aucun attribut LDAP, l’intégration importe tous les attributs d’objet disponibles à partir du serveur LDAP. L’instance stocke les données LDAP importées dans des tables de jeu d’importation temporaires, donc plus vous importez d’attributs et plus le temps d’importation est long. Pour plus d'informations, consultez Spécifier les attributs LDAP.

    Authentification LDAP
    Utilisez l’authentification LDAP pour accéder à l’application à l’aide d’informations d’identification LDAP.
    Lorsqu’un utilisateur saisit ses informations d’identification réseau sur la page de connexion :
    1. L’instance transmet les informations d’identification à un serveur LDAP pour trouver l’instance.
    2. Avec les RDN, il valide la chaîne DN de l’utilisateur. Il valide uniquement si au moins une des configurations LDAP OU avec table=sys_user a un RDN configuré.
    3. Le serveur LDAP répond par un message autorisé ou non autorisé que le système utilise pour déterminer si l’accès doit être accordé.

    En s’authentifiant auprès de votre serveur LDAP, les utilisateurs accèdent à la plateforme avec les mêmes informations d’identification que celles qu’ils utilisent pour d’autres ressources internes sur votre domaine réseau. En outre, vous pouvez réutiliser les politiques de mot de passe et de sécurité existantes qui sont déjà en place. Par exemple, le serveur LDAP peut déjà avoir des stratégies de verrouillage de compte et d’expiration de mot de passe.

    Lorsque vous activez LDAP, le système met à jour les enregistrements utilisateur avec ces champs.

    Tableau 1. Mises à jour de l’enregistrement de l’utilisateur LDAP
    Champ Description
    Source Identifie si LDAP est utilisé ou non pour valider un utilisateur. Si la source commence par LDAP, l’utilisateur est validé via LDAP. Si la source ne commence pas par ldap, le mot de passe sur l’enregistrement utilisateur est utilisé pour valider l’utilisateur lors de la connexion.
    Serveur LDAP Identifie quel serveur LDAP authentifie l’utilisateur lorsqu’il existe plusieurs serveurs LDAP.
    Remarque :
    Le système ne prend pas en charge l’authentification par mot de passe LDAP via un serveur MID. Une instance doit pouvoir se connecter directement à un serveur LDAP pour prendre en charge l’authentification par mot de passe.