Pour synchroniser des utilisateurs à partir d'Active Directory ou d'une base de données LDAP (Lightweight Directory Access Protocol), vous devez ajouter une identité externe LDAP et créer une ou plusieurs requêtes.
Dans AuthPoint, les identités externes LDAP représentent des bases de données d'utilisateurs externes. Elles se connectent aux bases de données des utilisateurs pour obtenir des informations sur les comptes d'utilisateurs et valider les mots de passe. Les requêtes que vous ajoutez à une identité externe spécifient les utilisateurs à synchroniser à partir de votre base de données Active Directory ou LDAP. Elles extraient les informations des utilisateurs de la base de données et créent un compte d'utilisateur AuthPoint pour les utilisateurs.
Il y a deux façons d'extraire des utilisateurs :
- Synchronisation de Groupe — Sélectionnez les groupes LDAP dont vous souhaitez synchroniser les utilisateurs et AuthPoint crée la requête pour vous.
- Requêtes Avancées — Créez vos propres requêtes LDAP pour spécifier les groupes ou utilisateurs à synchroniser.
Lorsque vous configurez une synchronisation de groupe pour synchroniser les utilisateurs à partir d'Active Directory, vous pouvez activer l'option Créer de nouveaux groupes synchronisés pour créer de nouveaux groupes dans AuthPoint en fonction des groupes Active Directory à partir desquels vous synchronisez les utilisateurs.
L'option de création de nouveaux groupes synchronisés n'est disponible que lorsque vous créez une synchronisation de groupe. Vous ne pouvez pas utiliser cette fonctionnalité avec des requêtes avancées.
Avant de commencer, nous vous recommandons de vous familiariser avec certains objets LDAP courants :
- DC — Composant de Domaine
- CN — Nom Commun/Canonique
- OU — Unité d'Organisation
- DN — Nom Unique
Vous devez associer les identités externes LDAP à une Gateway, et AuthPoint Gateway doit être installée sur votre réseau d'entreprise à un emplacement doté d'un accès à Internet et capable de se connecter à votre serveur LDAP. La Gateway permet la communication entre WatchGuard Cloud et votre base de données Active Directory ou LDAP.
Pour une haute disponibilité, nous vous recommandons de configurer :
- Une identité externe avec une adresse redondante.
- Une Gateway principale et jusqu'à cinq Gateways secondaires (consultez À propos des Gateways).
Ne configurez pas plusieurs identités externes pour un même domaine.
Pour supprimer un utilisateur LDAP dans AuthPoint, la meilleure solution consiste à supprimer l'utilisateur de son groupe AD ou LDAP pour lui donner l'état de Quarantaine dans AuthPoint, puis à supprimer l'utilisateur dans AuthPoint. Pour plus d'informations, consultez Utilisateurs Mis en Quarantaine.
Ajouter une Identité Externe
- Sélectionnez Identités Externes.
- Dans la liste déroulante Choisir un Type d'Identité Externe sélectionnez LDAP. Cliquez sur Ajouter une Identité Externe.
- Dans la zone de texte Nom, tapez un nom descriptif pour l'identité externe.
- Dans la zone de texte Base de Recherche LDAP saisissez votre base de données LDAP. Dans cet exemple, le domaine est exemple.com donc nous entrons dc=exemple,dc=com. Astuce !Le format standard pour la configuration de la base de recherche est :
Pour plus d'informations sur la syntaxe LDAP et sur la façon d'utiliser une base de recherche pour limiter les répertoires sur le serveur d'authentification où l'identité externe peut rechercher des utilisateurs, consultez Trouver Votre Base de Recherche Active Directory.
- Dans les zones de texte Compte Système et Phrase Secrète, saisissez les informations d'identification d'un utilisateur qui a le droit d'effectuer des recherches LDAP et des liaisons. Si cet utilisateur ne figure pas dans le dossier Utilisateurs par défaut, activez l'option et saisissez le nom unique de l'utilisateur. Astuce !
Dans cet exemple, nous avons un utilisateur nommé administrateur qui se trouve dans une OU appelée AuthPoint (pas le dossier Utilisateurs par défaut). Nous devons donc activer l'option et saisir le nom unique de notre utilisateur ainsi : CN=administrateur, OU=AuthPoint, DC=exemple, DC=com.
Si l'utilisateur se trouve dans le dossier Utilisateurs et que le nom d'utilisateur est différent du nom de compte (sAMAccountName), vous devez saisir le nom de compte dans la zone de texte Compte Système.
- Dans la liste déroulante Intervalle de Synchronisation, indiquez à quelle fréquence vous souhaitez synchroniser la base de données LDAP. Si vous sélectionnez Toutes les 24 heures, vous devez également spécifier à quelle heure la synchronisation commence chaque jour.
- Pour Type, choisissez s'il s'agit d'un serveur Active Directory ou d'un autre type de base de données LDAP. Pour les autres bases de données, vous devez spécifier chaque valeur d'attribut. Vous n'avez pas à faire cela pour Active Directory car les valeurs d’attributs sont connues.
- Dans la zone de texte Domaine, saisissez votre nom de domaine LDAP.
- S'il ne s'agit pas d'un serveur Active Directory, saisissez une valeur pour chaque attribut.
Si vos utilisateurs Active Directory utilisent ADFS, vous devez conserver la valeur sAMAccountName par défaut pour l'attribut lié à la connexion de l'utilisateur.
- Dans la zone de texte Adresse du Serveur, entrez l'adresse IP de votre serveur LDAP.
- Dans la zone de texte Port du serveur, entrez le port de votre serveur.
- (Facultatif) Pour ajouter une adresse redondante à votre identité externe, cliquez sur Ajouter une Adresse Redondante puis saisissez une adresse et un port différents pour la même base de données LDAP.
- Cliquez sur Enregistrer.
Ajouter l'Identité Externe à la Configuration de la Gateway
Vous devez ajouter l'identité externe à la configuration d'une Gateway installée sur votre réseau d'entreprise et ayant accès au serveur LDAP. Après cela, vous pourrez tester la connexion à votre base de données LDAP.
Si vous n'avez pas de Gateway existante, vous devez en ajouter une. Pour plus d'informations, consultez À propos des Gateways.
Pour ajouter une identité externe à la configuration d'une Gateway :
- Dans le menu de navigation, sélectionnez Gateway.
- Cliquez sur le Nom de votre Gateway.
- Dans la section LDAP, dans la liste Sélectionner une identité externe LDAP, sélectionnez l'identité externe de votre serveur LDAP ou Active Directory.
- Cliquez sur Enregistrer.
Votre identité externe est maintenant connectée à votre Gateway. Ceci active la communication entre WatchGuard Cloud et votre base de données Active Directory ou LDAP.
Pour tester la connexion à votre identité externe :
- Dans le menu de navigation, sélectionnez Identités Externes.
- À côté de l'identité externe que vous avez ajoutée pour votre base de données LDAP, cliquez sur
et sélectionnez Vérifier la Connexion.Si votre test de connexion échoue et que NPS s'exécute sur le serveur Gateway, modifiez le port RADIUS utilisé par AuthPoint Gateway.
Synchroniser Vos Utilisateurs
Après avoir créé une identité externe pour votre base de données LDAP et avoir connecté l'identité externe à la configuration de votre Gateway, vous devez spécifier les utilisateurs à synchroniser depuis votre base de données LDAP.
Il y a deux façons d'extraire des utilisateurs :
Après avoir ajouté une requête pour trouver vos utilisateurs (manuellement ou avec la synchronisation de groupe), AuthPoint se synchronise avec votre base de données Active Directory ou LDAP au prochain intervalle de synchronisation et crée un compte d'utilisateur AuthPoint pour chaque utilisateur identifié par la requête. Si votre requête renvoie plus d'utilisateurs que ne le permettent vos licences AuthPoint, la synchronisation ne crée que le nombre d'utilisateurs permis par votre licence.
Les comptes d'utilisateur créés apparaissent sur la page Utilisateurs avec une icône de statut Activé verte à côté du nom d'utilisateur. L'icône d'état Activé indique que l'utilisateur a été créé et qu'il est actuellement actif (non bloqué). Vous pouvez identifier les utilisateurs synchronisés à partir d'une identité externe par l'étiquette LDAP dans la colonne Type de la liste des utilisateurs.
Chaque utilisateur reçoit un e-mail pour activer son jeton dans l'application mobile AuthPoint. Lorsqu'un utilisateur active son jeton, les informations relatives au jeton s'affichent dans la colonne Jeton avec une icône d'état Activé verte à côté du jeton.
Si un utilisateur ne reçoit pas d'e-mail d'activation de son jeton, vous pouvez lui envoyer un nouvel e-mail d'activation afin qu'il puisse activer son jeton. Pour connaître les étapes détaillées pour renvoyer l'e-mail d'activation, consultez Renvoyer l'E-mail d'Activation.
Avant de synchronizer les utilisateurs, assurez-vous que chaque compte d'utilisateur possède une adresse e-mail valide. Si l'adresse e-mail d'un compte d’utilisateur n'est pas correcte, l'utilisateur ne peut pas recevoir l’e-mail lui permettant d'activer un jeton.
Pour ajouter des utilisateurs LDAP à plusieurs groupes AuthPoint, vous devez créer une synchronisation de groupe ou une requête avancée distincte pour chaque groupe AuthPoint auquel vous souhaitez ajouter les utilisateurs LDAP synchronisés.
Lorsque vous créez une synchronisation de groupe pour les utilisateurs Active Directory, vous pouvez activer l'option Créer de nouveaux groupes synchronisés pour créer de nouveaux groupes dans AuthPoint en fonction des groupes Active Directory à partir desquels vous synchronisez les utilisateurs. Les utilisateurs se synchronisent aux nouveaux groupes en fonction de leur appartenance aux groupes dans Active Directory, en plus du groupe AuthPoint sélectionné. Nous recommandons cette option car elle facilite la gestion des groupes et ne nécessite qu'une seule synchronisation de groupe.
Synchronisation de Groupe
Avec la synchronisation de groupe, vous sélectionnez les groupes LDAP dont vous voulez synchroniser les utilisateurs et le groupe AuthPoint auquel les utilisateurs seront ajoutés. Nous vous recommandons d'utiliser la synchronisation de groupe pour synchroniser vos utilisateurs car elle crée une requête pour vous.
Avant de continuer, prenez en considération ces exigences :
- Si les groupes LDAP sélectionnés ont plus d'utilisateurs que ne le permettent vos licences AuthPoint, la synchronisation ne crée que le nombre d'utilisateurs permis par votre licence
- Les utilisateurs LDAP n'ayant pas de prénom, de nom d'utilisateur ou d'adresse e-mail ne sont pas inclus dans la synchronisation
Pour synchroniser des groupes LDAP :
- Sélectionnez Identités Externes.
- À côté de votre identité externe, cliquez sur et sélectionnez Synchronisation de Groupe.
- Sur la page Synchronisation de Groupe, cliquez sur Ajouter un Nouveau Groupe à Synchroniser.
- Dans la fenêtre Ajouter une Synchronisation de Groupe, dans la liste déroulante Sélectionner les Groupes LDAP à partir desquels Synchroniser les Utilisateurs, sélectionnez les groupes LDAP à partir desquels vous souhaitez synchroniser des utilisateurs. Vous pouvez sélectionner plusieurs groupes.
- Dans la liste déroulante Sélectionner un Groupe AuthPoint pour y Ajouter des Utilisateurs, sélectionnez le groupe AuthPoint auquel vous souhaitez ajouter les utilisateurs. Les utilisateurs synchronisés doivent être ajoutés à au moins un groupe AuthPoint.
Pour chaque synchronisation de groupe, tous les utilisateurs sont ajoutés au même groupe AuthPoint. Pour ajouter des utilisateurs à plusieurs groupes AuthPoint, vous devez créer une synchronisation de groupe pour chaque groupe AuthPoint auquel vous souhaitez ajouter les utilisateurs. Pour ajouter des utilisateurs de chaque groupe LDAP à des groupes AuthPoint distincts, vous devez créer une synchronisation de groupe distincte pour chaque groupe LDAP.
- Pour créer de nouveaux groupes dans AuthPoint en fonction des groupes Active Directory à partir desquels vous synchronisez les utilisateurs, activez l'option Créer de nouveaux groupes synchronisés. Si vous activez cette option, les utilisateurs sont synchronisés selon les nouveaux groupes en fonction de leur appartenance aux groupes de la base de données LDAP, en plus du groupe AuthPoint sélectionné.
Cette option est uniquement disponible pour les bases de données LDAP Active Directory et Azure Active Directory.
Pour utiliser cette fonctionnalité, vous devez installer la version 6.1 ou une version ultérieure de AuthPoint Gateway.
- Cliquez sur Enregistrer.
La fenêtre Ajouter une Synchronisation de Groupe se ferme.
AuthPoint se synchronise avec votre base de données Active Directory ou LDAP au prochain intervalle de synchronisation et crée un compte d'utilisateur AuthPoint pour chaque utilisateur identifié par la requête.
Pour lancer une synchronisation immédiatement, sur la page Identités Externes, à côté de l'identité externe, cliquez sur et sélectionnez Démarrer la Synchronisation.
Si un utilisateur est supprimé de votre base de données Active Directory ou LDAP, le compte d’utilisateur AuthPoint correspondant n'est pas supprimé. L'état Mis en quarantaine est appliqué à l'utilisateur. Pour plus d'informations, consultez Utilisateurs Mis en Quarantaine.
Si vous avez activé l'option Créer de nouveaux groupes synchronisés, les groupes synchronisés sont créés dans AuthPoint. Les groupes nouvellement créés figurent sur la page Groupes. Vous pouvez identifier les groupes synchronisés dans la liste Groupes par l'étiquette LDAP dans la colonne Type.
Si vous modifiez le nom d'un groupe synchronisé dans Active Directory, le nom du groupe synchronisé dans AuthPoint sera automatiquement mis à jour. Il est impossible de modifier les groupes synchronisés dans AuthPoint.
Si vous supprimez le groupe dans Active Directory ou si vous supprimez la synchronisation de groupe, le groupe synchronisé n'est pas supprimé dans AuthPoint. Vous devez supprimer manuellement le groupe synchronisé dans AuthPoint.
Ajouter une Requête Avancée
Avec les requêtes avancées, vous pouvez créer votre propre requête LDAP pour spécifier les groupes ou utilisateurs à synchroniser. Lorsque vous ajoutez et validez une requête avancée, des comptes d'utilisateurs AuthPoint sont créés pour chaque utilisateur identifié par la requête.
Avant de continuer, prenez en considération ces exigences :
- Si votre requête renvoie plus d'utilisateurs que ne le permettent vos licences, AuthPoint ne crée que le nombre d'utilisateurs permis par votre licence.
- Les utilisateurs LDAP n'ayant pas de prénom, de nom d'utilisateur ou d'adresse e-mail ne sont pas inclus dans la synchronisation
Pour ajouter une requête avancée :
- Sélectionnez Identités Externes.
- À côté de l'identité externe LDAP que vous avez ajoutée, cliquez sur et sélectionnez Requête Avancée.
- Sur la page Requête Avancée, cliquez sur Ajouter une Requête Avancée.
- Dans la zone de texte Nom, tapez un nom décrivant la requête.
- Dans la liste déroulante Groupe, sélectionnez le groupe AuthPoint auquel vous souhaitez ajouter les utilisateurs de cette requête. Les utilisateurs synchronisés doivent être ajoutés à au moins un groupe AuthPoint.
Pour chaque requête avancée, tous les utilisateurs sont ajoutés au même groupe AuthPoint. Pour ajouter des utilisateurs à plusieurs groupes AuthPoint, vous devez créer une requête avancée pour chaque groupe AuthPoint auquel vous souhaitez ajouter les utilisateurs. Pour ajouter des utilisateurs de chaque groupe LDAP à des groupes AuthPoint distincts, vous devez créer une requête avancée distincte pour chaque groupe LDAP.
- Dans la zone de texte Requête Avancée, saisissez votre requête. Dans la plupart des cas, votre requête sera memberOf= suivie du nom unique du groupe que vous voulez synchroniser avec la requête. Par exemple, le nom unique de votre groupe est CN=MyAuthGroup,CN=Users,DC=myorg,DC=local, votre requête est memberOf=CN=MyAuthGroup,CN=Users,DC=myorg,DC=local.Pour trouver le nom unique d'un groupe Active Directory :
- Ouvrez Active Directory.
- Sélectionnez Affichage > Fonctions Avancées.
- Faites un clic droit sur le groupe que vous voulez synchroniser, et sélectionnez Propriétés.
La fenêtre Propriétés s'ouvre. - Dans la fenêtre Propriétés, sélectionnez Éditeur d'Attributs.
- Sélectionnez la valeur distinguishedName et cliquez sur Afficher.
- Copiez la Valeur. Ajoutez « memberOf= » devant cette valeur pour obtenir votre requête avancée.
- Pour prévisualiser les résultats de votre requête, cliquez sur Valider la Requête Avancée. Vous pouvez voir le nombre d'utilisateurs que votre requête renvoie et un aperçu des 10 premiers utilisateurs.
Aucun utilisateur n'est synchronisé lorsque vous validez une requête. Les utilisateurs ne sont synchronisés qu'après avoir ajouté votre requête à l'identité externe et enregistré les modifications.
- Pour ajouter votre requête à l'identité externe, cliquez sur Ajouter.
AuthPoint se synchronise avec votre base de données Active Directory ou LDAP au prochain intervalle de synchronisation et crée un compte d'utilisateur AuthPoint pour chaque utilisateur identifié par la requête avancée.
Pour lancer une synchronisation immédiatement, sur la page Identités Externes, à côté de l'identité externe, cliquez sur et sélectionnez Démarrer la Synchronisation.
Si un utilisateur est supprimé de votre base de données Active Directory ou LDAP, le compte d’utilisateur AuthPoint correspondant n'est pas supprimé. L'état Mis en quarantaine est appliqué à l'utilisateur. Pour plus d'informations, consultez Utilisateurs Mis en Quarantaine.
Modifier une Requête Avancée
- Sélectionnez Identités Externes.
- À côté de l'identité externe LDAP que vous avez ajoutée, cliquez sur et sélectionnez Requête Avancée.
- Sur la page Requête Avancée, dans la liste des requêtes, cliquez sur le Nom de la requête que vous souhaitez modifier.
- Faites vos modifications dans la fenêtre Ajouter une Requête Avancée.
- Cliquez sur Mettre à Jour.
Voir Également
Tester la Connexion à une Identité Externe
Synchroniser des Utilisateurs à partir d'Azure Active Directory