Présentation de l’intégration LDAP

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Une intégration LDAP permet à votre instance d’utiliser votre serveur LDAP existant comme source principale de données utilisateur.

    Conditions préalables de l’intégration LDAP

    • Le serveur des services de répertoire doit être conforme à la norme LDAP v3
    • L’accès au réseau entrant via le pare-feu doit être autorisé (au serveur LDAP)
    • Adresse IP externe ou nom du serveur LDAP
    • Informations d’identification de l’utilisateur avec accès en lecture seule
    • Pour LDAPS, un certificat PKI

    Minutage de l’intégration LDAP

    Les intégrations LDAP sont généralement effectuées avant la mise en service de l’instance, mais elles peuvent être intégrées à tout moment.

    Intégrité des données du serveur LDAP

    Certains utilisateurs craignent qu’un tiers (l’instance en l’occurrence) apporte des modifications (écriture) à votre serveur LDAP. Dans une intégration LDAP, votre instance n’écrit pas dans le répertoire LDAP interne. L’instance recherche des informations et met à jour sa base de données en conséquence.

    Aucune modification n’est apportée au serveur LDAP interne par l’instance. Le compte de service est en lecture seule.

    La plupart des changements (y compris les ajouts) apportés à votre serveur LDAP sont disponibles pour l’instance en quelques secondes, en fonction du nombre de composants de l’intégration LDAP complète en place.

    Pour maintenir les enregistrements LDAP synchronisés, planifiez une analyse périodique du serveur LDAP pour détecter les changements.

    L’instance ne synchronise pas les enregistrements du département. Les utilisateurs et les appartenances aux groupes sont tenus à jour par le mécanisme d’écoute LDAP et une navigation LDAP complète quotidienne, mais l’instance ne supprime aucune de ces entrées une fois qu’elles ont disparu de LDAP.

    Si une entrée devait être supprimée, tout l’historique serait également supprimé, et toute référence à celle-ci serait effacée ou supprimée. Les éléments de configuration (CI), les accords SLA, les licences de logiciel, les bons de commande et les entrées de Catalogue de services ont tous une référence au département, et si le département est supprimé, ces références sont effacées. Il existe de nombreuses références aux utilisateurs, et donc la suppression d’un utilisateur entraînerait la perte de tout historique de ce qu’il a fait. Actuellement, la décision de supprimer ou de ne pas supprimer est prise par nos clients.

    Sécurité

    La connexion se fait à partir d’une seule machine à l’aide d’une adresse IP fixe via un port spécifique de votre pare-feu. L’authentification se fait avec un compte LDAP en lecture seule de votre choix. Vous pouvez utiliser LDAP standard, ou charger le côté public d’un certificat SSL installé sur votre répertoire, auquel cas nous pouvons utiliser LDAPS. Pour ajouter une couche de sécurité supplémentaire, nous offrons également l’option d’un tunnel VPN IPSEC point à point. Adressez-vous à votre chargé de clientèle pour en savoir plus et connaître les tarifs.

    Tableau 1. Connexions LDAP sécurisées
    Connexion Description
    Serveur MID Pour protéger votre serveur LDAP du trafic réseau externe, installez un serveur MID sur le réseau local et configurez le système pour qu’il communique avec le serveur MID via un canal sécurisé.
    LDAPS (en anglais seulement) Pour établir une connexion LDAPS chiffrée, chargez le côté public du certificat SSL de votre serveur LDAP. L’intégration utilise le certificat pour chiffrer toutes les communications entre le serveur LDAP et l’instance.
    VPN Pour sécuriser le serveur LDAP avec un tunnel VPN IPSEC point à point chiffré, contactez votre chargé de clientèle pour plus de détails et pour connaître les tarifs.

    Un autre aspect de sécurité à prendre en compte est le partage de données dans une intégration LDAP. Pour limiter les données exposées à votre instance, spécifiez des attributs dans votre carte de transformation. Pour plus d'informations, consultez Cartes de transformation LDAP.

    Importation de données LDAP dans l’instance

    Il est recommandé de définir des attributs pour importer uniquement les données requises. Les attributs définis sont mappés dans la base de données des utilisateurs de l’instance.

    Nous ne pouvons pas répondre à la question de savoir quels attributs spécifiques sont nécessaires, car cela est déterminé par la portée du projet et les exigences de l’entreprise.

    Types de serveurs LDAP pris en charge

    L’instance s’est intégrée avec succès à Microsoft Active Directory, Novell, Domino (Lotus Notes) et Open LDAP. Nous utilisons JNDI pour l’interface avec le serveur LDAP. Tant que votre serveur LDAP est conforme à la norme LDAP v3, l’intégration est réussie.

    Authentification unique LDAP

    Outre la fonctionnalité de remplissage de données fournie avec l’importation LDAP, vous pouvez utiliser la fonctionnalité d’authentification externe prise en charge par l’application pour éviter que vos utilisateurs n’aient à se connecter à chaque fois.

    Plusieurs domaines LDAP

    Pour gérer plusieurs domaines, il est recommandé de créer un enregistrement de serveur LDAP distinct pour chaque domaine. Chaque enregistrement de serveur LDAP doit pointer vers un contrôleur de domaine pour ce domaine. Cela signifie que le réseau local doit autoriser les connexions à chacun des contrôleurs de domaine.

    Après l’extension à plusieurs domaines réseau, il est essentiel d’identifier les attributs LDAP uniques pour les noms d’utilisateur d’application et d’importer les valeurs de fusion. objectSid est un attribut de coalescence unique commun pour Active Directory. Les noms d’utilisateur uniques peuvent varier en fonction de la conception des données LDAP. Les attributs communs sont e-mail ou userPrincipalName.

    Gestion des limites de requête

    Par défaut, Active Directory 2000/2003 dispose d’une limite de requête LDAP (maxPageSize) de 1 000 objets pour empêcher les charges excessives et les attaques par déni de service. Nous avons deux méthodes pour faire face à cette limite.

    La méthode par défaut consiste à diviser la requête pour renvoyer moins de 1 000 objets à la fois. Par exemple, interrogez uniquement les objets commençant par la lettre « a », puis les objets « b ». La méthode la plus efficace pour les grands environnements consiste à activer la pagination. La pagination est prise en charge par défaut sur tous les serveurs Microsoft Active Directory. Il divise automatiquement les résultats en plusieurs ensembles de résultats, de sorte que nous n’avons pas à diviser la requête en plusieurs demandes.

    Type de requête LDAP

    Si un mot de passe LDAP est fourni, une liaison simple est effectuée. Si aucun mot de passe LDAP n’est fourni, « aucun » n’est utilisé, auquel cas le serveur LDAP doit autoriser la connexion anonyme.

    Authentification LDAP

    Nous utilisons les informations d’identification du compte de service fournies pour LDAP afin de récupérer le DN de l’utilisateur à partir du serveur LDAP. En fonction de la valeur DN de l’utilisateur, nous rétablissons la liaison avec LDAP en fonction du DN de l’utilisateur et du mot de passe fourni.

    Stockage des mots de passe

    Le mot de passe saisi par l’utilisateur est entièrement contenu dans sa session HTTPS. Nous ne stockons ce mot de passe nulle part.

    Configuration d’une authentification LDAP

    Les champs suivants de l’enregistrement utilisateur appartiennent à LDAP :

    • Source : le champ Source identifie si un utilisateur est validé ou non à l’aide de LDAP. Si le champ source commence par « ldap », l’utilisateur est validé via LDAP. Si le champ Source ne commence pas par « ldap », le mot de passe sur l’enregistrement utilisateur est utilisé pour valider l’utilisateur lors de la connexion.
    • Serveur LDAP : l’instance prend en charge plusieurs serveurs LDAP, de sorte que le champ Serveur LDAP détermine quel serveur doit être utilisé pour authentifier l’utilisateur.