Définir des unités organisationnelles LDAP

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Une définition d’unité organisationnelle (OU) spécifie les répertoires sources LDAP disponibles pour l’intégration.

    Avant de commencer

    Rôle requis : admin.

    Pourquoi et quand exécuter cette tâche

    Les définitions d’unités organisationnelles peuvent contenir des emplacements, des personnes ou des groupes d’utilisateurs. Chaque définition de serveur LDAP contient deux exemples de définitions d’unités organisationnelles : l’une pour l’importation de groupes dans le système et l’autre pour les utilisateurs.

    Procédure

    1. Accédez à la Tous > Système LDAP > Serveurs LDAP.
    2. Sélectionnez le serveur LDAP à configurer.
    3. Dans la liste connexe Définitions d’unités organisationnelles LDAP , sélectionnez l’exemple de définition d’unité organisationnelle Groupes ou Utilisateurs .
    4. Remplissez le formulaire Définition LDAP OU (voir table).
    5. Cliquez sur Mettre à jour.
      Le système teste automatiquement la connexion au serveur LDAP.
    6. Sous Liens connexes, cliquez sur Parcourir pour afficher les enregistrements de répertoire LDAP renvoyés par la définition d’UO.
      Formulaire de définition LDAP OU
      Tableau 1. Formulaire de définition d’une unité organisationnelle
      Champ Description
      Nom Spécifiez le nom que l’intégration utilise lorsqu’elle fait référence à cette UO. Le nom que vous entrez ici devient une cible LDAP dans l’enregistrement de source de données.
      Nom distinct relatif à traiter Spécifiez le nom distinct relatif du sous-répertoire que vous souhaitez rechercher. Ce NDR est combiné avec le répertoire de recherche de début de la définition du serveur LDAP pour identifier le sous-répertoire contenant des informations pour cette unité organisationnelle. Par exemple, l’exemple de définition d’unité organisationnelle utilise la valeur RDN CN=Users pour effectuer une recherche dans l’annuaire LDAP CN=Users,DC=service-now,DC=com et tout répertoire en dessous de ce point. Ce champ doit correspondre à un sous-répertoire dans votre système LDAP.
      Champ d'interrogation Spécifiez le nom de l’attribut dans le serveur LDAP pour interroger les enregistrements. Le champ de requête doit être unique dans les instances de domaine unique et multiple. Pour de meilleurs résultats, utilisez des adresses e-mail ou d’autres informations d’identification qui identifient de manière unique l’utilisateur dans une instance à domaines multiples. Active Directory utilise l’attribut sAMAccountName . D’autres serveurs LDAP ont tendance à utiliser l’attribut cn .
      Remarque :
      Le champ Requête doit être mappé au champ ID d’utilisateur dans la table Utilisateur [sys_user]. Par exemple, si un utilisateur Active Directory se connecte en tant que joe.example, il doit y avoir un enregistrement utilisateur avec une valeur d’ID d’utilisateurjoe.example et un enregistrement LDAP avec une valeur sAMAccountNamejoe.example.
      Actif Cochez cette case pour activer la définition d’OU et permettre aux administrateurs de tester l’importation des données. Toutefois, l’intégration ne peut apporter des données dans le système qu’à partir de définitions d’OU actives.
      Table Spécifiez la table qui reçoit les données mappées de votre serveur LDAP. Pour les utilisateurs, sélectionnez Utilisateur (sys_user) et pour les groupes, sélectionnez Groupe (sys_group).
      Filtre Saisissez une chaîne de filtre LDAP pour sélectionner les enregistrements spécifiques à importer à partir de l’UO. Plus la requête de filtre LDAP est spécifique, plus elle est efficace.

      Par exemple, la définition LDAP OU des utilisateurs utilise le filtre suivant pour sélectionner les enregistrements qui sont classifiés comme une personne, qui ont une valeur d’attribut sn , qui ne sont pas des ordinateurs et qui ne sont pas marqués comme inactifs :

      (&(objectClass=person)(sn=*)( !( objectClass=ordinateur)) ( !( userAccountControl :1.2.840.113556.1.4.803 :=2)))

      Vous pouvez trouver une description de la syntaxe du filtre LDAP en recherchant la RFC des filtres LDAP sur Internet.

    Exemples de définitions d’unités organisationnelles

    Supposons que vous ayez un serveur LDAP avec la structure de répertoire suivante :

    dc=mon-domaine,dc=com

    • ou=Groupes
      • cn=Développement
      • cn=RH
      • cn = Ventes
    • ou=Utilisateurs
      • ou=Développement
      • ou=RH
      • ou=Ventes

    Supposons également que vous souhaitiez exclure le groupe RH et les utilisateurs RH de l’application. Procédez comme suit :

    1. Créez un enregistrement de serveur LDAP avec le répertoire de recherche de départ dc=my-domain,dc=com.
    2. Créez un enregistrement de définition d’unité organisationnelle pour ou=Groupes avec un filtre permettant d’exclure cn=HR.
    3. Créez un enregistrement de définition d’unité organisationnelle pour ou=Utilisateurs avec un filtre permettant d’exclure ou=HR.

    Si vous ne spécifiez pas d’attributs ou de filtres supplémentaires avec une définition d’UO, la requête LDAP renvoie la sous-arborescence complète du répertoire de départ et du NDR.

    Dans ces exemples, une définition d’unité organisationnelle avec la valeur RDN ou=Groups et aucun filtre aurait renvoyé tous les groupes. De même, une définition d’unité organisationnelle avec la valeur RDN ou=Users et aucun filtre aurait renvoyé tous les utilisateurs et les unités organisationnelles enfants.