Intégration du protocole LDAP

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Une intégration LDAP permet à votre instance d’utiliser votre serveur LDAP existant comme source principale de données utilisateur.

    Les administrateurs s’intègrent à un répertoire LDAP (Lightweight Directory Access Protocol) pour rationaliser le processus de connexion de l’utilisateur et automatiser les tâches administratives telles que la création d’utilisateurs et leur affectation de rôles. Une intégration LDAP permet au système d’utiliser votre serveur LDAP existant comme source principale des données utilisateur. En règle générale, une intégration LDAP fait également partie d’une implémentation d’authentification unique.

    L’intégration utilise les informations d’identification du compte de service LDAP pour récupérer le nom distinct (ND) de l’utilisateur à partir du serveur LDAP. Compte tenu de la valeur DN pour l’utilisateur, l’intégration rétablit ensuite la liaison avec LDAP en utilisant le ND et le mot de passe de l’utilisateur. Le mot de passe que l’utilisateur entre est entièrement contenu dans la session HTTPS. L’intégration ne stocke jamais les mots de passe LDAP.

    L’intégration utilise une connexion en lecture seule qui n’écrit jamais dans le répertoire LDAP. L’intégration interroge uniquement les informations, puis met à jour sa base de données interne en conséquence.

    Remarque :
    Pour en savoir plus sur la configuration de l’intégration, reportez-vous à la rubrique Configuration de l’intégration LDAP.
    Remarque :
    Si votre instance utilise une intégration LDAP et que les paramètres Active Directory exigent que les utilisateurs réinitialisent leur mot de passe lors de la connexion, vos utilisateurs ne pourront pas se connecter dans l’instance. L’instance ne peut pas modifier le mot de passe Active Directory d’un utilisateur.

    Fonctionnalités de l’intégration LDAP

    Les fonctionnalités de l’intégration LDAP sont les suivantes.

    Actualisation LDAP planifiée

    Une analyse planifiée de votre serveur LDAP est généralement exécutée une fois par nuit. Il interroge tous les attributs des enregistrements utilisateur applicables et les compare avec le compte sur nos serveurs. S’il y a une différence, nous modifions notre enregistrement utilisateur avec l’attribut modifié. La charge placée sur le serveur LDAP lors de l’actualisation dépend du nombre d’enregistrements interrogés et du nombre d’attributs comparés. Nous vous recommandons de programmer l’actualisation en dehors des heures de pointe. Une opération d’actualisation importante peut affecter d’autres opérations planifiées, telles que l’exécution de rapports, et doit être planifiée de manière à minimiser les conflits.

    Écouteur LDAP

    L’écouteur LDAP est notre version d’une requête persistante (ou recherche persistante). Nous émettons une requête permanente pour les modifications apportées à votre serveur LDAP et sommes constamment à l’écoute d’une réponse. En supposant que votre serveur prenne en charge une recherche persistante, toutes les modifications apportées à l’un de vos comptes LDAP applicables sont renvoyées à l’écouteur LDAP et envoyées à votre instance dans un délai d’environ 10 secondes. Il s’agit d’un outil extrêmement utile, qui nous permet d’avoir une copie en temps quasi réel des détails du compte de vos utilisateurs, sans avoir à attendre la prochaine actualisation programmée.

    Connexion LDAP sur demande

    Une fois l’intégration LDAP établie, l’instance peut autoriser de nouveaux utilisateurs à se connecter au système, même s’ils n’ont pas encore de compte dans l’instance. Lorsqu’un nouvel utilisateur tente de se connecter à l’instance, l’intégration vérifie si cet utilisateur dispose d’un compte dans l’instance. Si l’intégration ne détecte pas de compte utilisateur existant, elle interroge automatiquement le serveur LDAP pour obtenir le nom d’utilisateur saisi. Si un compte LDAP correspondant est trouvé, l’intégration tente de s’authentifier avec le mot de passe entré par l’utilisateur. Si le mot de passe est valide, l’instance crée un compte pour l’utilisateur, remplit le compte avec toutes les informations LDAP applicables et connecte l’utilisateur à l’instance.

    La connexion à la demande utilise la carte de transformation LDAP User Import. Pour plus d’informations sur les exigences relatives aux cartes de transformation, reportez-vous à la section Cartes de transformation LDAP.

    Renseignement des données LDAP
    Remarque :
    La fonctionnalité décrite dans cette intégration n’est pas disponible par défaut. Cette intégration implique une personnalisation post-déploiement effectuée par un administrateur expérimenté ou par ServiceNow des consultants en services professionnels.

    Une intégration aux serveurs LDAP vous permet d’alimenter rapidement et facilement la base de données de l’instance avec des enregistrements utilisateur provenant de la base de données LDAP existante. Pour éviter les incohérences de données, vous pouvez créer, ignorer ou ignorer les enregistrements LDAP entrants.

    Vous pouvez également limiter les données importées par l’intégration en spécifiant des attributs LDAP, important ainsi uniquement les données que vous souhaitez exposer à une instance. En règle générale, les attributs LDAP que vous spécifiez font partie de la carte de transformation d’intégration. Si vous ne spécifiez aucun attribut LDAP, l’intégration importe tous les attributs d’objet disponibles à partir du serveur LDAP. L’instance stocke les données LDAP importées dans des tables d’ensembles de données à importer temporairement. Ainsi, plus vous importez d’attributs, plus le temps d’importation est long. Pour plus d'informations, consultez Spécifiez les attributs LDAP.

    Authentification LDAP
    Utilisez LDAP Authentication pour accéder à l’aide des informations d’identification LDAP.
    Lorsqu’un utilisateur saisit ses informations d’identification réseau dans la page de connexion :
    1. L’instance transmet les informations d’identification à un serveur LDAP pour trouver l’instance.
    2. Avec les NDR, il valide la chaîne DN de l’utilisateur. La validation n’est possible que si au moins une des configurations d’UO LDAP avec table=sys_user a un NDR configuré.
    3. Le serveur LDAP répond par un message d’autorisation ou de non-autorisation que le système utilise pour déterminer si l’accès doit être accordé.

    En s’authentifiant auprès de votre serveur LDAP, les utilisateurs accèdent à la plateforme avec les mêmes informations d’identification que celles qu’ils utilisent pour les autres ressources internes de votre domaine réseau. Vous pouvez également réutiliser les politiques de mot de passe et de sécurité existantes déjà en place. Par exemple, le serveur LDAP peut déjà avoir des politiques de verrouillage de compte et d’expiration de mot de passe.

    Lorsque vous activez LDAP, le système met à jour les enregistrements utilisateur avec ces champs.

    Tableau 1. Mises à jour de l’enregistrement utilisateur LDAP
    Champ Description
    Source Identifie si LDAP est utilisé ou non pour valider un utilisateur. Si la source commence par LDAP, l’utilisateur est validé via LDAP. Si la source ne commence pas par ldap, le mot de passe figurant sur l’enregistrement utilisateur est utilisé pour valider l’utilisateur lors de la connexion.
    Serveur LDAP Identifie le serveur LDAP qui authentifie l’utilisateur lorsqu’il existe plusieurs serveurs LDAP.
    Remarque :
    Le système ne prend pas en charge l’authentification par mot de passe LDAP via un serveur MID. Une instance doit pouvoir se connecter directement à un serveur LDAP pour prendre en charge l’authentification par mot de passe.