Définir des unités organisationnelles LDAP

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Une définition d’unité organisationnelle (OU) spécifie les répertoires sources LDAP disponibles pour l’intégration.

    Avant de commencer

    Rôle requis : admin.

    Pourquoi et quand exécuter cette tâche

    Les définitions d’unités organisationnelles peuvent contenir des emplacements, des personnes ou des groupes d’utilisateurs. Chaque définition de serveur LDAP contient deux exemples de définitions d’unités organisationnelles : l’une pour l’importation de groupes dans le système et l’autre pour les utilisateurs.

    Procédure

    1. Accédez à la Tout > Système LDAP > Serveurs LDAP.
    2. Sélectionnez le serveur LDAP à configurer.
    3. Dans la liste connexe Définitions d’UO LDAP , sélectionnez l’exemple de définition d’UO Groupes ou Utilisateurs .
    4. Remplissez le formulaire Définition d’UO LDAP (voir table).
    5. Cliquez sur Mettre à jour.
      Le système teste automatiquement la connexion au serveur LDAP.
    6. Sous Liens connexes, cliquez sur Parcourir pour afficher les enregistrements du répertoire LDAP renvoyés par la définition d’OU.
      Formulaire de définition LDAP OU
      Tableau 1. Formulaire de définition d’unité organisationnelle
      Champ Description
      Nom Spécifiez le nom que l’intégration utilise lorsqu’elle fait référence à cette unité organisationnelle. Le nom que vous entrez ici devient une cible LDAP dans l’enregistrement de source de données.
      Nom distinct relatif à traiter Spécifiez le nom distinct relatif du sous-répertoire dans lequel vous souhaitez effectuer la recherche. Ce RDN est combiné avec le répertoire de démarrage de recherche de la définition du serveur LDAP afin d’identifier le sous-répertoire contenant des informations pour cette unité organisationnelle. Par exemple, l’exemple de définition d’OU utilise la valeur RDN de CN=Users pour rechercher le répertoire LDAP CN=Users,DC=service-now,DC=com et tout répertoire en dessous de ce point. Ce champ doit correspondre à un sous-répertoire de votre système LDAP.
      Champ d'interrogation Spécifiez le nom de l’attribut dans le serveur LDAP pour interroger les enregistrements. Le champ de requête doit être unique dans les instances de domaine unique et multiple. Pour de meilleurs résultats, utilisez des adresses e-mail ou d’autres informations d’identification qui identifient de façon unique l’utilisateur dans une instance à domaines multiples. Active Directory utilise l’attribut sAMAccountName . D’autres serveurs LDAP ont tendance à utiliser l’attribut cn .
      Remarque :
      Le champ Requête doit être mappé au champ ID d’utilisateur dans la table Utilisateur [sys_user]. Par exemple, si un utilisateur Active Directory se connecte en tant que joe.example, il doit avoir un enregistrement utilisateur avec la valeur d’ID d’utilisateurjoe.example et un enregistrement LDAP avec la valeur sAMAccountNamejoe.example.
      Actif Cochez cette case pour activer la définition d’OU et permettre aux administrateurs de tester l’importation de données. Toutefois, l’intégration ne peut apporter des données dans le système qu’à partir de définitions d’unités organisationnelles actives.
      Table Spécifiez la table qui reçoit les données mappées de votre serveur LDAP. Pour les utilisateurs, sélectionnez Utilisateur (sys_user) et pour les groupes, sélectionnez Groupe (sys_group).
      Filtre Entrez une chaîne de filtre LDAP pour sélectionner des enregistrements spécifiques à importer à partir de l’OU. Plus la requête de filtre LDAP est spécifique, plus la requête est efficace.

      Par exemple, la définition LDAP OU des utilisateurs utilise le filtre suivant pour sélectionner les enregistrements qui sont classifiés comme une personne, qui ont une valeur d’attribut sn , qui ne sont pas des ordinateurs et qui ne sont pas marqués comme inactifs :

      (&(objectClass=person)(sn=*)( !( objectClass=ordinateur)) ( !( userAccountControl :1.2.840.113556.1.4.803 :=2)))

      Vous pouvez trouver une description de la syntaxe des filtres LDAP en recherchant sur Internet la RFC des filtres LDAP.

    Exemples de définitions d’unités organisationnelles

    Supposons que vous disposiez d’un serveur LDAP avec la structure de répertoires suivante :

    dc=mon-domaine,dc=com

    • ou=Groupes
      • cn=Développement
      • cn=RH
      • cn=Ventes
    • ou=Utilisateurs
      • ou=Développement
      • ou=RH
      • ou=Ventes

    Supposons en outre que vous souhaitiez exclure le groupe RH et les utilisateurs RH de l’application. Effectuez les actions suivantes :

    1. Créez un enregistrement de serveur LDAP avec un répertoire de recherche de départ de dc=mon-domaine,dc=com.
    2. Créez un enregistrement de définition d’OU pour ou=Groupes avec un filtre pour exclure cn=HR.
    3. Créez un enregistrement de définition d’OU pour ou=Utilisateurs avec un filtre permettant d’exclure ou=HR.

    Si vous ne spécifiez pas d’attributs ou de filtres supplémentaires avec une définition d’OU, la requête LDAP renvoie la sous-arborescence complète du répertoire de départ et du RDN.

    Dans ces exemples, une définition d’OU avec la valeur RDN ou=Groups et sans filtre aurait renvoyé tous les groupes. De même, une définition d’OU avec la valeur RDN ou=Users et sans filtre aurait renvoyé tous les utilisateurs et les unités organisationnelles enfants.