Comprendre l’intégration LDAP

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 5 minutes de lecture

    • Une intégration LDAP permet à votre instance d’utiliser votre serveur LDAP existant comme source principale de données utilisateur.

    Prérequis de l’intégration LDAP

    • Le serveur des services de répertoire doit être compatible LDAP v3
    • L’accès au réseau entrant via le pare-feu doit être autorisé (vers le serveur LDAP)
    • Adresse IP externe ou nom du serveur LDAP
    • Informations d’identification de l’utilisateur avec accès en lecture seule
    • Pour LDAPS, un certificat PKI

    Synchronisation de l’intégration LDAP

    Les intégrations LDAP se font généralement avant la mise en service de l’instance, mais peuvent être intégrées à tout moment.

    Intégrité des données du serveur LDAP

    Certains utilisateurs s’inquiètent du fait qu’un tiers (l’instance dans ce cas) apporte des modifications (écriture) à votre serveur LDAP. Dans une intégration LDAP, votre instance n’écrit pas dans le répertoire LDAP interne. L’instance interroge des informations et met à jour sa base de données en conséquence.

    Aucune modification n’est apportée au serveur LDAP interne par l’instance. Le compte de service est en lecture seule.

    La plupart des changements (y compris les ajouts) apportés à votre serveur LDAP sont disponibles en quelques secondes pour l’instance, en fonction du nombre de composants de l’intégration LDAP complète en place.

    Pour maintenir les enregistrements LDAP synchronisés, planifiez une analyse périodique du serveur LDAP pour détecter les changements.

    L’instance ne synchronise pas les enregistrements de département. Les utilisateurs et les appartenances aux groupes sont tenus à jour par le mécanisme d’écoute LDAP et une navigation LDAP quotidienne complète, mais l’instance ne supprime aucune de ces entrées une fois qu’elles ont disparu de LDAP.

    Si une entrée devait être supprimée, tout l’historique serait également supprimé, et toute référence à celle-ci serait effacée ou supprimée. Les éléments de configuration (CI), les accords SLA, les licences de logiciels, les bons de commande et les entrées de Service Catalog ont tous une référence au département, et si le département est supprimé, ces références sont effacées. Il y a beaucoup de références aux utilisateurs, et donc supprimer un utilisateur perdrait tout l’historique de ce qu’il a fait. Actuellement, la décision de supprimer ou non est prise par nos clients.

    Sécurité

    La connexion est établie à partir d’une seule machine à l’aide d’une adresse IP fixe via un port spécifique sur votre pare-feu. L’authentification est effectuée avec un compte LDAP en lecture seule de votre choix. Vous pouvez utiliser LDAP standard, ou charger la face publique d’un certificat SSL installé sur votre annuaire, auquel cas nous pouvons utiliser LDAPS. Pour ajouter une autre couche de sécurité, nous offrons également l’option d’un tunnel VPN IPSEC point à point. Contactez votre chargé de clientèle pour plus de détails et de tarification.

    Tableau 1. Connexions LDAP sécurisées
    Connexion Description
    Serveur MID Pour protéger votre serveur LDAP du trafic réseau externe, installez un serveur MID sur le réseau local et configurez le système pour qu’il communique avec le serveur MID via un canal sécurisé.
    LDAPS Pour établir une connexion LDAPS chiffrée, chargez le côté public du certificat SSL de votre serveur LDAP. L’intégration utilise le certificat pour chiffrer toutes les communications entre le serveur LDAP et l’instance.
    VPN Pour sécuriser le serveur LDAP avec un tunnel VPN IPSEC point à point chiffré, contactez votre chargé de clientèle pour plus de détails et de tarifs.

    Un autre aspect de la sécurité à prendre en compte est les données partagées dans une intégration LDAP. Pour limiter les données exposées à votre instance, spécifiez des attributs dans votre carte de transformation. Pour plus d'informations, consultez Cartes de transformation LDAP.

    Importation de données LDAP dans l’instance

    Il est recommandé de définir les attributs pour importer uniquement les données requises. Les attributs définis sont mappés dans la base de données de l’utilisateur d’instance.

    Nous ne pouvons pas répondre à la question de savoir quels attributs spécifiques sont nécessaires, car cela est déterminé par la portée du projet et les exigences de l’entreprise.

    Types de serveurs LDAP pris en charge

    L’instance s’est intégrée avec succès à Microsoft Active Directory, Novell, Domino (Lotus Notes) et Open LDAP. Nous utilisons JNDI pour nous interfacer avec le serveur LDAP. Tant que votre serveur LDAP est conforme à la norme LDAP v3, l’intégration est réussie.

    Authentification unique LDAP

    Outre la fonctionnalité de remplissage de données fournie avec l’importation LDAP, vous pouvez utiliser la fonctionnalité d’authentification externe prise en charge par l’application pour empêcher vos utilisateurs d’avoir à se connecter à chaque fois.

    Plusieurs domaines LDAP

    La méthode recommandée pour gérer plusieurs domaines consiste à créer un enregistrement de serveur LDAP distinct pour chaque domaine. Chaque enregistrement de serveur LDAP doit pointer vers un contrôleur de domaine pour ce domaine. Cela signifie que le réseau local doit autoriser les connexions à chacun des contrôleurs de domaine.

    Après l’extension à plusieurs domaines réseau, il est essentiel d’identifier les attributs LDAP uniques pour les noms d’utilisateur de l’application et d’importer les valeurs de fusion. Un attribut de fusion unique commun pour Active Directory est objectSid. Les noms d’utilisateur uniques peuvent varier en fonction de la conception des données LDAP. Les attributs communs sont email ou userPrincipalName.

    Gestion des limites de requête

    Par défaut, Active Directory 2000/2003 dispose d’une limite de requêtes LDAP (maxPageSize) de 1 000 objets pour éviter les charges excessives et les attaques par déni de service. Nous avons deux méthodes pour faire face à cette limite.

    La méthode par défaut consiste à diviser la requête pour renvoyer moins de 1 000 objets à la fois. Par exemple, interrogez uniquement les objets commençant par la lettre « a », puis les objets « b ». La méthode la plus efficace pour les grands environnements est d’activer la pagination. La pagination est prise en charge par défaut sur tous les serveurs Microsoft Active Directory. Il divise automatiquement les résultats en plusieurs ensembles de résultats, de sorte que nous n’avons pas à diviser la requête en plusieurs demandes.

    Type de requête LDAP

    Si un mot de passe LDAP est fourni, une « liaison simple » est effectuée. Si aucun mot de passe LDAP n’est fourni, la valeur « aucun » est utilisée, auquel cas le serveur LDAP doit autoriser la connexion anonyme.

    Authentification LDAP

    Nous utilisons les informations d’identification de compte de service fournies pour LDAP afin de récupérer le ND de l’utilisateur à partir du serveur LDAP. Compte tenu de la valeur DN de l’utilisateur, nous rétablissons la liaison avec LDAP compte tenu du DN de l’utilisateur et du mot de passe fourni.

    Stockage des mots de passe

    Le mot de passe que l’utilisateur entre est entièrement contenu dans sa session HTTPS. Nous ne stockons ce mot de passe nulle part.

    Configuration de l’authentification LDAP

    Ces champs de l’enregistrement utilisateur se rapportent au LDAP :

    • Source : le champ Source identifie si un utilisateur est validé ou non à l’aide de LDAP. Si le champ source commence par « ldap », l’utilisateur est validé via LDAP. Si le champ Source ne commence pas par « ldap », le mot de passe figurant sur l’enregistrement utilisateur est utilisé pour valider l’utilisateur lors de la connexion.
    • Serveur LDAP : l’instance prend en charge plusieurs serveurs LDAP, de sorte que le champ Serveur LDAP détermine quel serveur doit être utilisé pour authentifier l’utilisateur.