Autres versions
Vous êtes ici : Développer dans K-Sup → Connecteurs SI → Connecteur LDAP
Synchronisation des groupes depuis le LDAP
Documentation de paramétrage pour la synchronisation des utilisateurs depuis un annuaire LDAP
Cette page détaille comment configurer le connecteur LDAP pour synchroniser une arborescence de groupes (à partir de votre organisation ou de vos groupes) depuis votre annuaire vers votre application K-Portal ou K-Sup.
Introduction
Il existe deux façons de faire des regroupements de personnes dans un annuaire LDAP :- soit en utilisant des groupes : ces groupes contiennent la liste de leurs membres. Les membres des groupes peuvent être des sous-groupes ou bien des personnes, elles-mêmes des entrées de l'annuaire ;
- soit en utilisant les organisations de la hiérarchie : chaque personne possède un ou plusieurs attributs qui contiennent les DN des organisations auxquelles elle appartient.
Note : la synchronisation des groupes peut se faire au même titre que les utilisateurs sur plusieurs annuaires LDAP, vous avez donc la possibilité de créer plusieurs configurations pour la récupération des groupes, en utilisant le même mécanisme d'alias que pour la synchronisation d'utilisateurs : "ldapPers", "ldapEtu"...
Types de synchronisation
Il est tout d'abord indispensable de pouvoir identifier le paramétrage propre à chacune des synchronisations. Pour cela, si vous avez plusieurs synchronisations de groupes à créer sur le même alias LDAP, renseignez le paramètre suivant :| Propriété | Valeurs possibles | Valeur par défaut | Exemple |
|---|---|---|---|
| ldap.groupe.alias | Liste d'alias séparés par une virgule. Ce paramètre n'est pas requis si vous n'avez qu'une configuration à déclarer. | Si vous n'avez qu'un alias à déclarer, le nom de l'alias sera "groupe". | ldap.groupe.alias=synchro-gon,synchro-ou Ainsi, votre configuration pour les groupes GON sera toujours préfixée de la façon suivante : ldap.synchro-gon.parametre1=... Et pour les groupes de type OU : ldap.synchro-ou.parametre1=... Si vous n'avez qu'un alias, votre configuration sera de la forme : ldap.groupe.parametre1= |
Ajoutez ensuite le paramètre suivant pour définir le type de synchronisation :
| Propriété | Valeurs possibles | Exemple |
|---|---|---|
| ldap.groupe.typesynchro | GON (pour les groupes dit "GroupOfNames") OU (pour les groupes de type OrganizationalUnit) |
ldap.synchro-ou.typesynchro=OU ldap.synchro-gon.typesynchro=GON |
Sélection des groupes
Pour la synchronisation des groupes, il est indispensable de connaître quels sont les groupes de l'annuaire que l'on souhaite importer. Ainsi, il faut définir :| Propriété | Valeurs possibles | Exemple |
|---|---|---|
| ldap.groupe.searchdn | La classe d'objet i.e. le type d'objet LDAP définissant un groupe | ldap.synchro-gon.searchdn=ou=GroupOfName,dc=marmotte,c=fr ldap.synchro-ou.searchdn=ou=structures,o=orga,dc=marmotte,c=fr |
| ldap.groupe.objectsearchdn | Le domaine de recherche i.e. le domaine de la hiérarchie où sont situés les groupes à synchroniser | ldap.synchro-gon.objectsearchdn=GroupOfNames ldap.synchro-ou.objectsearchdn=organizationalUnit |
| ldap.groupe.searchcritere | Pour affiner la séléction des groupes, il est également possible de définir une requête LDAP comportant des critères supplémentaires (facultatif) | |
| ldap.groupe.resultatparpage | Pour des raisons de performance, il est possible d'utiliser la pagination des résultats. Valeur attendue : un nombre (facultatif) | ldap.groupe.resultatparpage=500 |
Paramétrage des attributs à synchroniser
Vous pouvez ensuite définir un ensemble de paramètres qui vont permettre l'alimentation automatique des données de chaque groupe :| Propriété | Valeurs possibles | Exemple |
|---|---|---|
| ldap.groupe.libelle | nom de l'attribut LDAP pour renseigner le nom du groupe | ldap.groupe.libelle=cn |
| ldap.groupe.type | nom de l'attribut LDAP pour renseigner le type du groupe (*) | |
| ldap.groupe.code_page_tete | nom de l'attribut LDAP pour renseigner le code de la page d'accueil (*) | |
| ldap.groupe.roles | nom de l'attribut LDAP pour renseigner les rôles (*) | |
| ldap.groupe.code_structure | nom de l'attribut LDAP pour renseigner la structure de rattachement du groupe |
! Important Le code du groupe sera alimenté automatiquement à partir de son DN.
Pour chacun de ces paramètres, il est possible d'appliquer des règles :
- Définition d'une valeur par défaut si l'attribut n'est pas renseigné
- Récupération de la première valeur si jamais l'attribut est multivalué dans l'annuaire
- Concaténation de plusieurs attributs pour composer la valeur souhaitée
- Création d'une table de correspondance si les attributs du LDAP doivent être transformés avant d'être importés dans votre application
- Découpage de la valeur récupérée avant de l'importer
Définition de la hiérarchie
Cas des groupes de type "GON"
Dans l'annuaire LDAP, à l'inverse de K-Sup ou K-Portal, chaque groupe dispose de la liste des ses membres : personnes et groupes fils.Ainsi, le connecteur a besoin des informations suivantes :| Propriété | Valeurs possibles | Exemple |
|---|---|---|
| ldap.groupe.membreUtilisateur | Nom de l'attribut LDAP des groupes qui renseigne les membres d'un groupe | ldap.synchro-gon.membreUtilisateur=member |
| ldap.groupe.membreGroupe | Nom de l'attribut LDAP des groupes qui renseigne les sous-groupes d'un groupe | ldap.synchro-gon.membreGroupe=member |
| ldap.groupe.personnclass | Classe d'objet définissant une personne | ldap.synchro-gon.personnclass=person |
| ldap.groupe.userid | L'attribut LDAP qui désigne l'identifiant d'un utilisateur | ldap.synchro-gon.userid=employeeNumber |
Cas des groupes de type "OU"
Dans l'annuaire LDAP, les organisations sont également hiérarchisées. Afin de générer les rattachements entre les utilisateurs et les organisations, le connecteur a besoin de connaître la liste des attributs d'un utilisateur LDAP qui renseigne le DN des organisations auxquelles appartient la personne :| Propriété | Valeurs possibles | Exemple |
|---|---|---|
| ldap.groupe.attributsutilisateur | Liste des attributs LDAP qui désigne les organisations auxquelles sont rattachés les utilisateurs | ldap.synchro-ou.attributsutilisateur=eduPersoOrgUnitDn |
Autres options
| Propriété | Valeurs possibles | Exemple |
|---|---|---|
| ldap.groupe.code_racine | Code d'un groupe existant dans votre application K-Portal ou K-Sup | ldap.groupe.code_racine=GRPLDAP |
Options spécifiques aux synchronisations de type GON
| Propriété | Valeurs possibles | Exemple |
|---|---|---|
| ldap.groupe.groupeuid | Il est possible de spécifier un attribut du LDAP pour remplacer le DN comme identifiant du groupe. | ldap.synchro-gon.groupeuid=attributid |
| ldap.groupe.recursiveMember | Il est possible de synchroniser uniquement le premier niveau de groupe ( i.e. uniquement ceux répondant à la requête de recherche), tout en collectant récursivement les membres dans l'ensemble des sous-groupes. Valeur possible : 1 |
ldap.synchro-gon.recursiveMember=1 |
| ldap.groupe.rangeMember | Dans le cas d'un annuaire Active Directory et de groupe ayant un nombre de membres très important, Active Directory utilise un type d'attribut « range ». Cet attribut permet de renvoyer les membres d'un groupe par paquet de 1000 membres. Ceci permet de ne pas surcharger le serveur. Pour activer ce paramètre, il suffit de positionner ce paramètre avec la valeur 1. | ldap.synchro-gon.rangeMember=1 |
Groupes dynamiques
Si vous souhaitez activer et gérer des groupes dynamiques LDAP, veuillez vous reporter à la documentation correspondante.Mis à jour le 19 décembre 2017
Cet article n'est pas à jour ?
Connectez-vous (avec vos identifiants Communauté) pour suggérer une correction ou un complément :