Paramètres de Directory Service
Si votre organisation utilise Microsoft Active Directory ou un fournisseur de service de répertoire conforme à LDAP comme Apache Active Directory, OpenLDAP Server, Oracle Unified Directory, etc. vous pouvez l'intégrer avec Server est exécuté sur un système d'exploitation basé sur Windows, vous pouvez choisir de l'intégrer avec FlowForce Server. En partant d'une perspective FlowForce Server, l'intégration avec un fournisseur Directory Service signifie :
•Les utilisateurs peuvent s'inscrire sur FlowForce Server avec leur nom d'utilisateur et mot de passe Windows.
•Les administrateurs peuvent soit autoriser aux utilisateurs de domaine existants de s'inscrire sur FlowForce Server avec leurs identifiants Windows (cela signifie qu'une importation d'utilisateur implicite a lieu), ou bien, ils peuvent importer explicitement des utilisateurs et des groupes de domaine dans FlowForce Server (voir Importer les utilisateurs de domaine et les rôles). Dans tous les cas, les comptes Windows importés sont visibles dans les pages d'administration de l'utilisateur de FlowForce Server. Cela permet aux administrateurs d'ajouter ou de révoquer des privilèges et des permissions dans les groupes Windows ou les comptes d'utilisateur, de la même manière que pour les comptes FlowForce Server intégrés (voir Comment fonctionnent les privilèges et Comment fonctionnent les permissions).
•Les administrateurs ne peuvent pas renommer ou changer le mot de passe des utilisateurs Windows qui ont été importés dans FlowForce Server.
•Les administrateurs ne peuvent pas renommer ou changer l'adhésion des groupes Windows qui ont été importés dans FlowForce Server.
•Les administrateurs peuvent supprimer des comptes Windows importés depuis FlowForce Server. Cela ne permet pas de supprimer les comptes du domaine Windows et ne modifie aucunement les privilèges Windows associés.
•Si des privilèges et des permissions FlowForce Server ont été attribués aux comptes Windows importés, ceux-ci sont affichés dans des rapports de privilège (voir Consulter les rapports de Privilège).
Pour modifier les paramètres de Directory Service
1.Se connecter à l'interface d'administration FlowForce Web
2.Aller au menu Administration et cliquer sur Paramètres.
Les paramètres disponibles sont les suivants :
Activer
Choisir cette case à cocher pour permettre aux utilisateurs de s'inscrire sur FlowForce Server avec leur nom d'utilisateur et leur mot de passe de domaine. Si vous cochez cette case, vous devez choisir soit l'option Active Directory ou Lightweight Directory Access Protocol (LDAP), comme décrit ci-dessous.
Si vous choisissez l'option Lightweight Directory Access Protocol (LDAP), veuillez vous assurer que les détails de connexion (comme le nom d'utilisateur, le mot de passe, etc.) sont corrects. Lorsque vous cliquez sur Enregistrer, FlowForce tente de communiquer avec le serveur LDAP spécifié et montre une erreur si les détails de connexion ne sont pas valides. Veuillez noter que FlowForce Server doit pouvoir se connecter au serveur LDAP avec succès avant de pouvoir enregistrer les paramètres LDAP.
Si vous choisissez l'option Active Directory, l'appareil sur lequel FlowForce Server est exécuté doit faire partie d'un domaine contrôlé par Active Directory.
Après avoir activé l'authentification directory service, une liste déroulante supplémentaire apparaît dans la page de connexion FlowForce Server, appelée Login. La liste déroulante Login permet aux utilisateurs de sélectionner l'option d'authentification et contient les éléments suivants :
•Directement. Il s'agit de l'option d'authentification par défaut de FlowForce Server. Pour se connecter, les utilisateurs doivent fournir leur nom d'utilisateur et leur mot de passe.
•[Un domaine spécifique], selon le serveur LDAP configuré. Pour se connecter, les utilisateurs doivent indiquer leur nom d'utilisateur et mot de passe du domaine. Ceux-ci sont gérés par le serveur LDAP.
Voir aussi Se connecter sur FlowForce Server.
Se connecter en utilisant
Choisir Active Directory pour activer l'intégration directe avec l'Active Directory. Cela est applicable si FlowForce Server est exécuté sur Windows et l'appareil fait partie d'un domaine contrôlé par Active Directory.
Choisir Lightweight Directory Access Protocol (LDAP) pour permettre l'intégration avec un Directory Service conforme à LDAP. Remplir les détails comme suit :
•Hôte — Saisir le nom d'hôte, le nom de domaine ou l'adresse IP du serveur LDAP. Pour ajouter un numéro de port, ajouter un caractère double point, suivi du numéro de port. Par exemple, somehost:10389
•Utilisateur — Saisir un nom d'utilisateur possédant des droits administratifs pour demander le directory service. Le nom d'utilisateur peut être soit sous la forme de "Nom-distinctif" (par exemple cn=name,dc=domain,dc=com) soit un "Nom-Utilisateur-Principal" (par exemple, user@some.domain.com). Note : Le format "Nom-Utilisateur-Principal" s'applique uniquement au Active Directory ; pour les autres serveurs LDAP, utiliser le format "Nom-distinctif".
•Mot de passe — Le mot de passe de l'utilisateur. Note : si vous vous trompez plusieurs fois, le serveur LDAP peut verrouiller votre compte. Dans ce cas, veuillez vous assurer que le compte n'est pas verrouillé avant de continuer.
•Utiliser SSL — Choisir cette case à cocher uniquement si le serveur LDAP a été configuré pour accepter des connexions chiffrées SSL depuis des clients. Si vous choisissez cette option, changer le numéro de port à celui utilisé par le serveur LDAP pour des connexions sûres (généralement le port 636). Si votre organisation utilise déjà le même certificat root de confiance sur les deux appareils, il n'y a généralement pas d'instructions de configuration supplémentaires. Sinon, le certificat root (CA) due serveur LDAP doit être installé sur l'appareil sur lequel FlowForce Server est exécuté, comme suit :
a.Sur l'appareil sur lequel se trouve le serveur LDAP, exporter le certificat root depuis le magasin de certificat de confiance. Utiliser les outils spécifiques à votre système d'exploitation (par exemple Certificates Snap-In sur Windows).
b.Sur l'appareil sur lequel se trouve FlowForce Server, importer le certificat dans le magasin de certificat de confiance, comme décrit dans Importer des certificats root .
Dans certains cas, les serveurs LDAP peuvent posséder des schémas arbitraires qui ne rentrent pas dans un standard particulier. Si FlowForce Server ne peut pas détecter le schéma de votre fournisseur LDAP, une erreur de type "Directory Service a détecté un schéma LDAP invalide" s'affichera. Dans ce cas, copier le fichier directoryservice.cfg vers le même répertoire que le programme d'exécution de FlowForce Server. Lorsque ce fichier y sera, FlowForce Server n'essaiera pas de détecter automatiquement le schéma du fournisseur LDAP.
Permettre à tout utilisateur de domaine de se connecter
Choisir cette case à cocher si le compte de domaine d'un utilisateur doit être importé dans la base de données de l'utilisateur FlowForce lorsque l'utilisateur s'inscrit sur FlowForce avec ses identifiants de domaine.
Si cette option est désactivée, les utilisateurs de domaine peuvent s'inscrire sur FlowForce Server uniquement si leur compte est déjà importé dans FlowForce Server par un administrateur, voir Importer les utilisateurs et les rôles de domaine.
Domaine de connexion par défaut
Cette option est visible une fois que la case à cocher Activer a été sélectionnée et que les paramètres ont été enregistrés.
La liste déroulante affiche tous les domaines dont cet appareil est membre. La même liste des domaines sera visible aux utilisateurs dans la page de connexion FlowForce, si l'authentification Directory Service est activée (voir la première option ci-dessus).
Choisir la case à cocher Définir le login de domaine en tant que défaut si le domaine doit être sélectionné en tant que le choix par défaut dans la liste déroulante Login de la page d'authentification de FlowForce Server.
Si vous désactivez la case à cocher Définir login du domaine en tant que défaut, l'authentification intégrée FlowForce Server ("Directement") est le choix par défaut.