L'authentification LDAP

Modifié le 28/05/2022 10:54
Sommaire
Attention : Pour les clients SaaS, la configuration de l'authentification LDAP via l’interface Service Manager ne doit jamais être utilisée. Contactez le CMC EasyVista pour configurer le service SMOAuthService.
Definition

LDAP (Lightweight Directory Access Protocol) est un protocole reposant sur TCP/IP, dont le rôle est d'effectuer des requêtes sur un annuaire d'entreprise. Il est utilisé par les applications exécutant une procédure d'authentification des utilisateurs.

EndDefinition

Les méthodes d'authentification des utilisateurs dans Service Manager

3 méthodes d'authentification sont supportées par Service Manager.

Note : Chaque méthode peut être activée / désactivée à tout moment durant la vie du projet, et cumulée avec une ou plusieurs autres méthodes d’authentification.

  • Authentification via le système SSO (Single Sign-on). Service Manager supporte en standard SAML v2, CAS 2.0, ADFS.
  • Authentification via LDAP : un compte en lecture seule lit et parcourt les annuaires LDAP de l'entreprise, et valide les informations d’authentification des utilisateurs.
  • Authentification propriétaire interne de Service Manager, qui dispose de sa propre base de comptes utilisateurs : l'authentification s'effectue via le login/mot de passe des utilisateurs.
     

Ordre de traitement des méthodes d'authentification

  • Lorsque le SSO est activé, il devient la méthode d’authentification proposée par défaut.
  • L'appel à l'URL https://site/index.php peut être utile pour utiliser les authentifications LDAP et/ou propriétaire, en fonction des méthodes d’authentifications activées :
    • dans le cas de l’authentification réalisée avec les login/mot de passe via les annuaires d’entreprise ;
    • dans le cas de l’authentification propriétaire. L’utilisateur est recherché dans l'annuaire Service Manager via son login/mot de passe.

Méthodes de configuration de l'authentification LDAP

2 méthodes permettent de configurer l’authentification LDAP :

  • Via le service SMOAuthService, qui permet de :
    • gérer des annuaires multiples ;
    • modifier la configuration sans redémarrer l’ensemble de la plateforme.

Note : Le service ne porte pas l'habilitation. Celle-ci reste gérée par Service Manager.

  • Via Service Manager, qui permet de :
    • configurer l’authentification LDAP uniquement sur un annuaire ;
    • gérer les habilitations depuis l’annuaire uniquement en cas de connexion via LDAP.

Remarques

  • Quelle que soit la méthode d'authentification LDAP utilisée, les habilitations sont définies et gérées via les profils et domaines de Service Manager. Elles doivent être au préalable déclarées et configurées dans Service Manager.
  • La gestion des habilitations peut être déportée dans LDAP seulement si :
    • l’annuaire LDAP est configuré uniquement via Service Manager ;
    • un seul annuaire LDAP est interrogé ;
    • les habilitations ne sont pas adressées par les méthodes d’authentification SSO et propriétaire.
  • La gestion des habilitations via l’authentification LDAP ne met jamais à jour les habilitations internes au produit.
  • La gestion des habilitations et domaines externalisée dans l’annuaire LDAP s’applique uniquement dans le cadre d’une authentification LDAP configurée via l’interface Service Manager. Elle ne s'applique pas dans le cadre d'une authentification par SSO ou via le process interne Service Manager. Pour ces 2 méthodes, les habitations sont gérées dans Service Manager.
  • Pour les méthodes d’authentification SSO et propriétaire, la gestion des droits internes au produit est celle qui est prise en compte.
  • Le champ utilisé comme login (samAccoutNane, UPN, email, ...) doit être unique, quelle que soit la méthode d'authentification utilisée.
    • Ce champ est l’identifiant utilisé avec chaque méthode d’authentification.
    • Il réalise la liaison avec l’annuaire de Service Manager.

Bonnes pratiques

  • Configurez l'authentification LDAP via le service SMOAuthService, et non via Service Manager. Vous pourrez ainsi gérer plusieurs annuaires LDAP.

Description des écrans

Authentification LDAP via le service SMOAuthService

Note : Uniquement si vous êtes client OnPremise.

Si vous êtes client SaaS, contactez le CMC EasyVista pour configurer le service SMOAuthService.

          Configuration via SMOAuthService service.png

Accès : Lancez l'exécutable SMOAuthEditor.exe  - Open url.png voir Procédure

Host : Nom ou adresse IP de la machine hébergeant l’annuaire. 

Port : Port TCP utilisé pour la connexion à l’annuaire.

  • Généralement, ports 389 ou 686.

Login : Login du compte avec les droits de bind permettant de valider l’authentification des utilisateurs.

Password : Mot de passe du compte.

Base DN : Noeud à partir duquel s’effectue la recherche dans l'annuaire. 

  • Indiquez le sommet de l'arbre.

Attribut Login : Champ utilisé comme login, et qui permet de réaliser la liaison avec l’annuaire de Service Manager.

  • Le champ doit être un identifiant unique : samAccoutNane, UPN, email, ...

Protocol Version : Version du protocole LDAP permettant de se connecter à l’annuaire.

  • Mettez 2 ou 3 s'il est nécessaire de forcer la version du protocole LDAP.

Client Certificate : Chemin d'accès au certificat de l’annuaire, nécessaire pour accéder au serveur LDAP.

Host Recovery : Nom ou adresse IP de la machine secondaire hébergeant l’annuaire, utilisé si le host n'est plus accessible.

  • Les hosts sont définis dans SMOAuthEditor.

Account : Liste des comptes EasyVista de la plateforme autorisés à utiliser le serveur d'application et sur lesquels l'annuaire est actif.

  • Séparez les comptes par une virgule.

    exemple  50004, 50005

SSL : Indique si le protocole SSL est actif (case cochée) ou inactif (case non cochée).

  • Vous devez cocher la case pour activer le protocole.

Domain : Domaine à interroger sur l’annuaire.

  • Saisissez le domaine sous la forme @domaine.com.

Authentification LDAP via Service Manager

          Configuration via Service Manager.png

Accès menu : Administration > Paramètres > Authentification LDAP

Authentification LDAP : Informations nécessaires pour la connexion à l'annuaire d'entreprise

Actif : Indique si les éléments d'authentification utilisés sont ceux de l'annuaire LDAP (case cochée) ou ceux de Service Manager (case non cochée).

Serveur LDAP : Nom ou adresse IP de la machine hébergeant l’annuaire. 

Port : Port TCP utilisé pour la connexion à l’annuaire.

  • Généralement, ports 389 ou 686.

DN utilisateur : Chemin d’accès aux entrées de l’annuaire (FQDN ou Fully Qualified Domain Name) : CN=Administrator, CN=users, DC=easyvista, DC=priv

Mot de passe : Mot de passe pour la connexion à l’annuaire.

  • Dans la Vmware : valeur par défaut = staff.

Base DN : Noeud à partir duquel s’effectue la recherche dans l'annuaire.

Attribut de login : Login pour la connexion à l'annuaire.

  • Note : À renseigner uniquement si l’administrateur de l'annuaire a modifié l’attribut par défaut samAccoutNane.

 

Habilitation LDAP : Informations nécessaires au mapping des champs stockant les profils et domaines entre l'annuaire et Service Manager.

Actif : Indique si les habilitations utilisées sont celles de l'annuaire LDAP (case cochée) ou celles de Service Manager (case non cochée).

Attribut de profil : Dans l'annuaire, nom de la colonne où sont stockés les identifiants de profils. 

Attribut de domaine : Dans l'annuaire, nom de la colonne où sont stockés les identifiants de domaines. 

Procédures

Comment configurer le service SmoAuthenticate

Note : Uniquement si vous êtes client OnPremise.

Si vous êtes client SaaS, contactez le CMC EasyVista pour configurer le service SMOAuthService.

Notes :

  • Vous devez configurer le service SmoAuthenticate sur chaque serveur applicatif de la plateforme.
  • L'exécutable SMOAuthEditor.exe est disponible sur chacun des serveurs applicatifs de la plateforme, dans le répertoire des exécutables de Service Manager.
     

Étape 1 : Configuration du service SmoAuthenticate

1. Lancez l'exécutable SMOAuthEditor.exe.

2. Renseignez la configuration du service.

  • Cliquez sur la première ligne vierge du fichier.
  • Saisissez les informations de configuration  - Open url.png voir Description des champs
    Note : Vous devez cocher la case SSL pour activer le protocole SSL.
  • Cliquez sur Save.
    La configuration du service est sauvegardée.

3. Mettez à jour le serveur applicatif via Update configuration file.

4. Effectuez les mêmes actions pour configurer le service sur chaque serveur applicatif.

Étape 2 : Test du bon fonctionnement de l'authentification LDAP

1. Relancez le service SmoAuthenticate pour prendre en compte la nouvelle configuration sur chaque serveur applicatif.

2. Testez l'authentification LDAP sur chaque environnement Service Manager de la plateforme.

Que faire en cas d'erreur de connexion via le service SmoAuthenticate

1. Vérifiez les logs du service SmoAuthenticate et relevez les codes d’erreur LDAP.

2. Vérifiez que le service SmoAuthenticate est bien démarré sur les serveurs applicatifs de toutes les lignes. Redémarrez-le si nécessaire.

3. Vérifiez la configuration du fichier smoServer.ini.

  • Ouvrez le fichier smoServer.ini.
  • Vérifiez que la ligne Log_Type contient la valeur | LtAuthentication.
  • Ajoutez la ligne si nécessaire.
  • Relancez Service Manager.

4. Regardez si des erreurs sont présentes dans le fichier SmoServerAppAuthentication.xml.

Tags :
Powered by XWiki © EasyVista 2022