MyQ X offre une synchronisation depuis Active Directory via le protocole LDAP. L'administrateur peut ainsi définir les unités organisationnelles qu'il souhaite synchroniser, synchroniser non seulement les informations des utilisateurs, mais aussi leur appartenance à des groupes, et même synchroniser des utilisateurs provenant de plusieurs domaines.
Avant de commencer à synchroniser les utilisateurs Active Directory, vous devez déterminer les spécificités de l'authentification des travaux d'impression dans votre environnement.
Présentation
Pour synchroniser les utilisateurs depuis Active Directory, procédez comme suit :
-
Détection des utilisateurs à partir des travaux d'impression : Déterminez comment authentifier de manière optimale les travaux d'impression entrants dans MyQ.
-
Configurer la synchronisation Active Directory : créez une ou plusieurs sources de synchronisation LDAP pour importer des utilisateurs depuis AD vers MyQ.
-
Adaptez la synchronisation à votre environnement : synchronisez des informations supplémentaires sur les utilisateurs pour identifier correctement les travaux d'impression, autorisez la synchronisation avec les badges stockés dans Active Directory, et plus encore.
Choisissez la méthode de détection des utilisateurs
Suivez les recommandations de la section « Identifier la méthode d'authentification des travaux » pour déterminer comment vos utilisateurs sont reconnus. Cette étape est essentielle pour garantir la réussite de la configuration de la synchronisation des utilisateurs.
Si l'utilisateur détecté lors de votre test correspond à l'utilisateur sAMAccountName, vous êtes prêt à synchroniser les utilisateurs.
Si le nom d'utilisateur détecté diffère, vérifiez les attributs AD pour identifier le bon. Découvrez ci-dessous les étapes à suivre si l'identifiant est le userPrincipalName ou un autre attribut AD.
Configurer la synchronisation Active Directory
Pour commencer à synchroniser les utilisateurs dans MyQ X, vous devez configurer les éléments suivants :
-
Créer un serveur d'authentification LDAP Active Directory : cela implique d'ajouter le serveur et ses informations de connexion dans MyQ.
-
Créer une source de synchronisation LDAP Active Directory : vous devez ici sélectionner le serveur d'authentification créé à l'étape 1 et configurer les options selon lesquelles vous souhaitez synchroniser les groupes et les utilisateurs.
Pour obtenir des instructions détaillées sur la configuration d'un serveur d'authentification LDAP et de la synchronisation, suivez ces guides :
-
Print Server : Synchronisation des utilisateurs à partir de serveurs LDAP
-
Central Server : Synchronisation des utilisateurs à partir de serveurs LDAP
DN de base
La syntaxe du DN de base dépend de votre configuration et du serveur LDAP cible. Il peut également être nécessaire ou préférable de le laisser vide.
Exemple de DN de base :
DC=company,DC=net
Mappage des attributs dans MyQ
Dans le cadre de la configuration, vous sélectionnerez les paramètres Active Directory qui seront synchronisés dans les profils utilisateur.
Si vous laissez les propriétés LDAP d'AD vides, MyQ utilisera par défaut ces attributs :
Propriétés par défaut
|
Propriété utilisateur MyQ |
Attribut AD |
|---|---|
|
Nom d'utilisateur |
|
|
Nom complet |
|
|
|
|
Les autres paramètres, tels que l'alias, le numéro personnel, les notes, la langue, l'espace de stockage de l'utilisateur, le badge et le code PIN, ne disposent pas de champs par défaut à partir desquels lire les valeurs.
Utilisez le nom principal de l'utilisateur (UPN), le pseudonyme de messagerie ou d'autres paramètres pour identifier les utilisateurs
Lors de la configuration de la synchronisation LDAP, vous avez peut-être remarqué qu'il n'existe aucune option permettant de définir l'attribut LDAP à utiliser comme nom d'utilisateur. En effet, comme mentionné précédemment, MyQ utilise toujours le sAMAccountName comme nom d'utilisateur.
Si vos expéditeurs de travaux sont reconnus par leur UPN (userPrincipalName), vous pouvez utiliser cet attribut dans le champ Alias, et une fois la synchronisation effectuée, l’UPN sera également utilisé pour l’authentification des travaux.
Authentification des utilisateurs avec un alias
Les utilisateurs de MyQ peuvent utiliser à la fois des noms d'utilisateur et des alias pour se connecter. Cela signifie que si vous définissez userPrincipalName comme alias pour les utilisateurs, ceux-ci peuvent également s’identifier à MyQ avec cet alias.
Dans de nombreux environnements, l'UPN correspond à l'adresse e-mail professionnelle. Il peut être pratique pour vos utilisateurs d'utiliser leur UPN plutôt que de devoir mémoriser un identifiant différent, par exemple sAMAccountName si celle-ci diffère des identifiants qu’ils utilisent dans d’autres systèmes de l’entreprise.
De même, un paramètre contenant une adresse e-mail peut être utilisé comme alias de l'utilisateur.
Synchroniser le dossier personnel de l’utilisateur
Si les utilisateurs de votre organisation disposent de leur propre dossier local sécurisé dédié, vous pouvez synchroniser ces chemins d’accès pour chaque utilisateur dans l’attribut MyQ « Stockage de l’utilisateur ». Ces informations peuvent être stockées dans l’ HomeDrive attribut AD.
Une fois synchronisé, ce dossier peut être utilisé à divers endroits dans MyQ, notamment dans les paramètres des actions du terminal. Vous pouvez configurer Easy Print à partir du stockage de l’utilisateur ainsi que Easy Scan vers le stockage de l’utilisateur. Ces actions utiliseront automatiquement le stockage de l’utilisateur actuellement connecté lors de l’impression et de la numérisation sur le terminal intégré.
Domaines AD multiples pour la synchronisation et l’authentification
MyQ X vous permet d’ajouter jusqu’à 5 serveurs d’authentification LDAP. Cela peut s’avérer utile pour les organisations disposant d’une infrastructure plus complexe.
Nous avons consacré un article à ces scénarios, dans lequel nous expliquons comment configurer cette synchronisation et éviter les conflits de noms d'utilisateur. Voir Environnementslocaux multi-domaines (Active Directory).
Synchronisation des attributs à partir de champs à valeurs multiples
Parfois, des données telles que les numéros de badge ou les numéros personnels peuvent être combinées en un seul attribut Active Directory. Dans ce cas, il est possible d'appliquer une transformation à l'aide d'expressions régulières sur ces champs dans les paramètres de la source de synchronisation – section Transformation.
Exemple :
Si le numéro de badge est stocké avec le numéro personnel de l'utilisateur, par exemple 288373;736, utilisez la transformation pour extraire uniquement la valeur située avant ; dans le champ à utiliser comme badge.
Pour une configuration détaillée et des exemples de paramètres d'expressions régulières, veuillez consulter Transformation par expressions régulières pour la synchronisation des utilisateurs.
Recommandations de sécurité pour Active Directory
Active Directory (AD) et le protocole LDAP (Lightweight Directory Access Protocol) sont des technologies essentielles pour la gestion des identités, de l'authentification et de l'autorisation dans de nombreuses organisations. La sécurisation de ces systèmes est cruciale pour protéger les informations sensibles et préserver l'intégrité des infrastructures informatiques.
En tant que fonctionnalités de sécurité clés, les organisations doivent se concentrer sur le chiffrement, le contrôle d'accès, l'audit et la surveillance, ainsi que sur le principe du privilège minimal.
Chiffrement et sécurité des communications
LDAPS (LDAP sur SSL/TLS) est fortement recommandé. Il peut être activé dans les paramètres du serveur d'authentification dans MyQ X. Une autre option disponible est StartTLS, une commande qui transforme une connexion LDAP standard non sécurisée (généralement sur le port 389) en une connexion sécurisée en négociant l'utilisation de TLS (Transport Layer Security).
Lorsque la communication via TLS est prévue, le serveur sur lequel MyQ X est exécuté doit être en mesure de vérifier l'émetteur du certificat AD afin de faire confiance à son certificat et de permettre une communication sécurisée. Pour ce faire, vous devez installer l'autorité de certification racine émettrice dans le magasin de certificats du serveur sur lequel MyQ est exécuté.
Attributs confidentiels et extensions de schéma
AD propose de nombreux attributs utilisateur susceptibles de stocker des informations sensibles ou privées concernant l'individu. Cela s'applique en particulier aux attributs qui stockent des identifiants utilisateur, par exemple des numéros de badge ou même des codes PIN – MyQ X permet l'importation de ces valeurs depuis AD via LDAP(S).
Sans modifications supplémentaires de la sécurité de votre AD, tout utilisateur du domaine pourrait potentiellement utiliser ses identifiants de domaine pour lire ces valeurs dans l'annuaire pour n'importe quel utilisateur. Par conséquent, les organisations doivent sécuriser ce type de données et empêcher cela.
C'est là que les attributs confidentiels entrent en jeu. Certains attributs peuvent être désignés comme confidentiels, avec un accès limité accordé uniquement à des administrateurs spécifiques, tout en restant entièrement masqués pour tous les autres utilisateurs du domaine. Ce compte d'utilisateur administrateur peut ensuite être fourni à des tiers, y compris dans les paramètres des serveurs d'authentification de MyQ X, pour la synchronisation des utilisateurs.
Les attributs standard du schéma Active Directory peuvent être protégés à l'aide de cette méthode.
Cependant, pour une protection encore plus efficace, l'indicateur de confidentialité peut être appliqué aux propriétés d'extension personnalisées, qui sont des champs non inclus dans le schéma standard. Ces propriétés personnalisées sont plus difficiles à interpréter en raison de leur nature personnalisable.
Veuillez tenir compte de l'impact sur votre environnement. L'extension du schéma AD constitue un changement important et doit être effectuée avec prudence. Une fois ajoutés, les attributs personnalisés ne peuvent pas être supprimés ; une planification minutieuse est donc essentielle. Il est recommandé de tester les modifications dans un environnement de laboratoire avant de les appliquer à un environnement de production.