Service de répertoire
Si votre organisation utilise Microsoft Active Directory ou un fournisseur de service de répertoire conforme à LDAP comme Apache Active Directory, OpenLDAP Server, Oracle Unified Directory, etc. vous pouvez l'intégrer avec Server est exécuté sur un système d'exploitation basé sur Windows, vous pouvez choisir de l'intégrer avec FlowForce Server. Depuis la perspective FlowForce Server, l’intégration avec Service de répertoire signifie la chose suivante :
•Les utilisateurs peuvent s'inscrire sur FlowForce Server avec leur nom d'utilisateur et mot de passe Windows.
•Les administrateurs peuvent soit autoriser aux utilisateurs de domaine existants de s'inscrire sur FlowForce Server avec leurs identifiants de domaine (cela signifie qu'une importation d'utilisateur implicite a lieu), ou bien, ils peuvent importer explicitement des utilisateurs et des groupes de domaine dans FlowForce Server. Dans les deux cas, les comptes importés sont visibles sur les pages de l’administration de l’utilisateur de FlowForce Server. Ceci permet aux administrateurs d’ajouter ou de révoquer les privilèges et permissions aux groupes ou aux comptes d’utilisateur, de la même manière que pour les comptes intégrés de FlowForce Server (voir Comment fonctionnent les privilèges et Comment fonctionnent les permissions). Les administrateurs peuvent aussi assigner les rôles de FlowForce Server aux groupes ou comptes (voir Assigner Rôles aux utilisateurs).
•Les administrateurs ne peuvent pas renommer ou changer le mot de passe des utilisateurs Windows qui ont été importés dans FlowForce Server.
•Les administrateurs ne peuvent pas renommer ou changer l'adhésion des groupes Windows qui ont été importés dans FlowForce Server.
•Les administrateurs peuvent supprimer des comptes Windows importés depuis FlowForce Server. Cela ne permet pas de supprimer les comptes du domaine Windows et ne modifie aucunement les privilèges Windows associés.
•Si les comptes de domaine importés ont des privilèges et permissions de FlowForce Server y attribués, ceux-ci sont affichés dans des rapports de privilège (voir Rapports).
Pour modifier les paramètres du Directory Service :
1.Se connecter à l'interface d'administration FlowForce Web.
2.Allez au menu Administration et cliquez sur Paramètres.
Les paramètres disponibles sont décrits ci-dessous.
Activer
Choisir cette case à cocher pour permettre aux utilisateurs de s'inscrire sur FlowForce Server avec leur nom d'utilisateur et leur mot de passe de domaine. Si vous cochez cette case, vous devez choisir soit l'option Active Directory ou Lightweight Directory Access Protocol (LDAP), comme décrit ci-dessous.
Si vous choisissez l'option Lightweight Directory Access Protocol (LDAP), veuillez vous assurer que les détails de connexion (comme le nom d'utilisateur, le mot de passe, etc.) sont corrects. Lorsque vous cliquez sur Enregistrer, FlowForce tente de communiquer avec le serveur LDAP spécifié et montre une erreur si les détails de connexion ne sont pas valides. Veuillez noter que FlowForce Server doit pouvoir se connecter au serveur LDAP avec succès avant de pouvoir enregistrer les paramètres LDAP.
Si vous choisissez l'option Active Directory, l'appareil sur lequel FlowForce Server est exécuté doit faire partie d'un domaine contrôlé par Active Directory.
Après avoir activé l'authentification directory service, une liste déroulante supplémentaire apparaît dans la page de connexion FlowForce Server, appelée Login. La liste déroulante Login permet aux utilisateurs de sélectionner l'option d'authentification et contient les éléments suivants :
•Directement. Il s'agit de l'option d'authentification par défaut de FlowForce Server. Pour se connecter, les utilisateurs doivent fournir leur nom d'utilisateur et leur mot de passe.
•[Un domaine spécifique], selon le serveur LDAP configuré. Pour se connecter, les utilisateurs doivent indiquer leur nom d'utilisateur et mot de passe du domaine.
Voir aussi Connexion à FlowForce Server.
utiliser Connect
Sélectionnez Active Directory pour permettre une intégration directe avec Active Directory. Ceci s’applique si FlowForce Server est exécutée sur Windows et l’appareil fait partie d’un domaine contrôlé par Active Directory.
Choisir Lightweight Directory Access Protocol (LDAP) pour permettre l'intégration avec un Directory Service conforme à LDAP. Remplir les détails comme suit :
•Hôte — Saisir le nom d'hôte, le nom de domaine ou l'adresse IP du serveur LDAP. Pour ajouter un numéro de port, ajoutez un caractère double point, suivi du numéro de port. Par exemple, somehost:10389
•User — Saisir un nom d'utilisateur possédant des droits administratifs pour demander le directory service. Le nom d'utilisateur peut être soit sous la forme de "Nom-distinctif" (par exemple cn=name,dc=domain,dc=com) soit un "Nom-Utilisateur-Principal" (par exemple, user@some.domain.com). Note : Le format "Nom-Utilisateur-Principal" s'applique uniquement au Active Directory ; pour les autres serveurs LDAP, utiliser le format "Nom-distinctif".
•Saisir le mot de passe de l'utilisateur. Note : Note : si vous vous trompez plusieurs fois, le serveur LDAP peut verrouiller votre compte. Dans ce cas, veuillez vous assurer que le compte n'est pas verrouillé avant de continuer.
•Utiliser SSL — Choisir cette case à cocher uniquement si le serveur LDAP a été configuré pour accepter des connexions chiffrées SSL depuis des clients. Si vous choisissez cette option, changez le numéro de port à celui utilisé par le serveur LDAP pour des connexions sûres (généralement le port 636). Si votre organisation utilise déjà le même certificat racine de confiance sur les deux appareils, il n’y a généralement pas d’instructions de configuration supplémentaires. Sinon, le certificat root (CA) due serveur LDAP doit être installé sur l'appareil sur lequel FlowForce Server est exécuté, comme suit :
a.Sur l'appareil sur lequel se trouve le serveur LDAP, exporter le certificat root depuis le magasin de certificat de confiance. Utiliser les outils spécifiques à votre système d'exploitation à cette fin (par exemple, Certificates Snap-In sur Windows).
b.Sur l'appareil sur lequel se trouve FlowForce Server, importez le certificat dans le magasin de certificat de confiance, comme décrit dans Importer des certificats root .
Note : Sur Windows, les erreurs SSL sont rapportées dans Windows Event Viewer | Windows Logs | System, où la Source est définie comme Schannel.
Dans certains cas, les serveurs LDAP peuvent posséder des schémas arbitraires qui ne rentrent pas dans un standard particulier. Si FlowForce Server ne peut pas détecter le schéma de votre fournisseur LDAP, une erreur de type "Directory Service a détecté un schéma LDAP invalide" s'affichera. Dans ce cas, copiez le fichier directoryservice.cfg vers le même répertoire que le programme d'exécution de FlowForce Server. Lorsque ce fichier y sera, FlowForce Server n'essaiera pas de détecter automatiquement le schéma du fournisseur LDAP.
Permettre à tout utilisateur de domaine de se connecter
Choisir cette case à cocher si le compte de domaine d'un utilisateur doit être importé dans la base de données de l'utilisateur FlowForce lorsque l'utilisateur s'inscrit sur FlowForce avec ses identifiants de domaine. Si cette option est désactivée, les utilisateurs du domaine peuvent se connecter à FlowForce Server uniquement si leur compte a déjá été importé dans FlowForce Server par un administrateur.
Domaine de connexion par défaut
Cette option est visible une fois que la case à cocher Activer a été sélectionnée et que les paramètres ont été enregistrés.
La liste déroulante affiche tous les domaines dont cet appareil est membre. La même liste des domaines sera visible aux utilisateurs dans la page de connexion FlowForce, si l'authentification Directory Service est activée (voir la première option ci-dessus).
Choisir la case à cocher Définir le login de domaine en tant que défaut si le domaine doit être sélectionné en tant que le choix par défaut dans la liste déroulante Login de la page d'authentification de FlowForce Server.
Si vous désactivez la case à cocher Définir login du domaine en tant que défaut, l'authentification intégrée FlowForce Server ("Directement") est le choix par défaut.