Skip to main content
Skip table of contents

Mise en place d’une synchronisation LDAP

La configuration se compose de trois parties : la création de la synchronisation dans l'onglet Général, la configuration de l'importation des utilisateurs dans l'onglet Utilisateurs et la configuration de l'importation des groupes dans l'onglet Groupes. Vous pouvez passer d'un onglet à l'autre à l'aide de la barre située dans le coin supérieur gauche du panneau des propriétés de synchronisation LDAP.

image-20241125-115510.png

Onglet Général

Dans l'onglet Général, définissez les propriétés générales de la synchronisation : activez ou désactivez la synchronisation, sélectionnez le domaine du serveur LDAP, saisissez le nom d'utilisateur et le mot de passe pour accéder au serveur, et choisissez éventuellement d'exporter les utilisateurs importés vers un fichier CSV. Consultez la liste ci-dessous pour une description des différents paramètres.

LDAP sync general tab settings

 

  • Activé : vous pouvez ici activer ou désactiver la synchronisation.

  • Serveur LDAP : vous pouvez ici sélectionner le domaine à partir duquel vous souhaitez effectuer la synchronisation.

  • Utilisateur : saisissez le nom d'utilisateur pour accéder au serveur de domaine LDAP.

  • Mot de passe : saisissez le mot de passe pour accéder au serveur du domaine LDAP.

  • Activé : si vous activez l'option Exporter vers CSV après une importation réussie, MyQ crée un fichier CSV contenant les utilisateurs importés après la synchronisation.

  • Fichier : sélectionnez le dossier dans lequel vous souhaitez enregistrer le fichier créé.

Une fois que vous avez correctement défini les paramètres de connexion (serveur LDAP, utilisateur et mot de passe) et enregistré les paramètres, le navigateur LDAP s'ouvre sur le côté droit de l'écran.

Dans le paramètre Utilisateur, un compte utilisateur de sous-domaine disposant de droits suffisants peut également être utilisé pour l'authentification, mais le sous-domaine doit être spécifié dans le nom d'utilisateur.

Par exemple, l'utilisateur Administrator se connecte au serveur LDAP testAD.local, mais son compte se trouve dans le sous-domaine cz.testAD.local. Pour que l'authentification aboutisse, le nom d'utilisateur saisi doit être :
Administrator@cz.testAD.local

Onglet Utilisateurs

Dans l'onglet Utilisateurs, sélectionnez un ou plusieurs DN de base (noms distinctifs) à partir desquels vous importez les utilisateurs. De plus, vous pouvez attribuer des attributs utilisateur du serveur LDAP aux propriétés utilisateur dans MyQ et sélectionner des options supplémentaires concernant la synchronisation.

image-20241002-111308.png

  • DN de base : vous pouvez ici sélectionner le ou les domaines de base à partir desquels vous importez les utilisateurs. Cliquez sur +Ajouter pour ajouter une zone de texte pour le nouveau DN de base, puis faites glisser un groupe depuis le navigateur de base de données et déposez-le dans la zone de texte. Vous pouvez ajouter plusieurs domaines de cette manière.

    image-20241125-115854.png

  • Propriétés : il s'agit des propriétés de chaque utilisateur individuel. MyQ trouvera et attribuera automatiquement le nom de compte SAM de l'utilisateur au nom d'utilisateur, cn au nom complet et mail à l'adresse e-mail (cela s'applique uniquement à Active Directory et OpenLDAP). La propriété « Nom d'utilisateur » est la seule qui ne peut pas être modifiée. Pour attribuer un attribut à une propriété, saisissez le nom de l'attribut dans la zone de texte de la propriété ou faites-le glisser depuis les attributs de n'importe quel utilisateur individuel et déposez-le dans la zone de texte. Les propriétés suivantes prennent en charge l'ajout de plusieurs valeurs, séparées par un point-virgule (;):

    • Alias

    • Code PIN

    • Badge

Par exemple, dans la propriété Alias, vous pouvez ajouter alias1;alias2;alias3.

Le nom de l'attribut AD ne doit pas contenir le caractère point-virgule (;). Si un point-virgule fait partie du nom de l'attribut, cet attribut ne sera pas synchronisé dans MyQ.

Pour les propriétés Badge et Code PIN, l'administrateur peut choisir l'une des options suivantes :

  1. Ne pas synchroniser : cette option ignore la synchronisation de ces valeurs.

  2. Synchronisation complète : cette option remplacera les valeurs existantes par les nouvelles valeurs provenant de LDAP, que la nouvelle valeur soit vide ou non.

  3. Synchroniser si non vide : cette option remplacera les valeurs existantes uniquement si les nouvelles valeurs provenant de LDAP ne sont pas vides. Elle ne supprimera pas les valeurs existantes si la valeur correspondante dans LDAP est vide.

  4. Ajouter de nouvelles valeurs : cette option mettra à jour les valeurs existantes en ajoutant les nouvelles valeurs provenant de LDAP, sans remplacer celles existantes.

Pour attribuer des langues par défaut aux utilisateurs, vous devez utiliser un attribut du serveur LDAP dont les valeurs sont les abréviations des langues. Par exemple, vous pouvez créer et utiliser un attribut appelé lang avec les valeurs en pour l'anglais, hr pour le croate, etc. La liste des abréviations utilisées dans MyQ est disponible ici.

  • Options : pour une description des options de synchronisation courantes, consultez Informations et paramètres utilisateur. Les options de base communes à la synchronisation à partir de serveurs LDAP et à la synchronisation à partir de fichiers CSV sont les suivantes :

    • Désactiver les utilisateurs manquants : si vous sélectionnez cette option, MyQ supprime les utilisateurs importés depuis la source de synchronisation actuelle et qui ne figurent plus dans cette source. Pour supprimer les utilisateurs ajoutés à partir d'autres sources, sélectionnez l'option Ignorer la source de synchronisation en même temps que cette option.

    • Ajouter de nouveaux utilisateurs : si vous sélectionnez cette option, MyQ ajoute les nouveaux utilisateurs provenant de la source de synchronisation actuelle. Si vous ne la sélectionnez pas, MyQ met à jour les comptes des utilisateurs déjà présents dans MyQ, mais n'ajoute aucun nouvel utilisateur.

    • Convertir le nom d'utilisateur en minuscules : contrairement à certains autres systèmes qui ne font pas la distinction entre deux mots comportant les mêmes lettres mais de majuscules différentes (tels que « Pear » et « pear »), MyQ est sensible à la casse. Vous pouvez utiliser l'option Convertir le nom d'utilisateur en minuscules pour éviter de créer plusieurs comptes pour un même utilisateur.

    • Utiliser un serveur d'authentification : si vous sélectionnez cette option et qu'un utilisateur se connecte en saisissant son nom d'utilisateur et son mot de passe, les identifiants ne sont pas authentifiés par rapport à la base de données MyQ, mais par rapport à un serveur LDAP ou Radius. Si vous synchronisez les utilisateurs via LDAP, le serveur LDAP source est automatiquement désigné comme
      serveur d'authentification. Si vous synchronisez les utilisateurs via CSV, vous pouvez sélectionner le serveur d'authentification dans la liste des serveurs d'authentification prédéfinis.

    • Appairer par numéro personnel : si vous sélectionnez cette option, MyQ identifie les utilisateurs par leur numéro personnel plutôt que par leur nom d'utilisateur. De cette manière, vous pouvez suivre un même utilisateur ayant des noms différents dans différentes sources ou un utilisateur dont le nom a changé pour une raison quelconque. Par exemple, si cette option est activée et qu'un nom d'utilisateur dans LDAP passe de cat.stevens à yusuf.islam, MyQ ne crée pas de nouveau compte utilisateur, mais reconnaît l'ancien utilisateur grâce à son numéro personnel.

    • Ignorer la source de synchronisation : si cette option n'est pas sélectionnée, MyQ reconnaît deux utilisateurs provenant de sources de synchronisation différentes comme deux entités distinctes. Cela peut entraîner des conflits lors des synchronisations à partir de plusieurs sources. Si elle est sélectionnée, MyQ ignore les sources de synchronisation et traite tous les utilisateurs de la même manière, quelle que soit leur source de synchronisation. Par exemple, si vous lancez une synchronisation et que MyQ doit importer/mettre à jour un utilisateur qui a déjà été ajouté à partir d'une autre source de synchronisation, il ne met pas à jour l'utilisateur. À la place, il affiche le message « Le nom/alias « X » est déjà utilisé par l'utilisateur « X » » parmi les résultats de la synchronisation. Une fois l'option Ignorer la source de synchronisation sélectionnée, l'utilisateur est mis à jour par la dernière synchronisation.
      Si vous sélectionnez cette option en même temps que l'option Désactiver les utilisateurs manquants, tous les utilisateurs qui ont été ajoutés à partir de sources différentes et qui ne figurent pas dans la source de synchronisation actuelle sont supprimés lors de la synchronisation.

    • Ajouter le nom de domaine au nom d'utilisateur (username@domain.local) : lorsque cette option est sélectionnée, le nom du domaine peut être récupéré à partir du nom d'utilisateur MyQ. Les informations relatives au domaine peuvent être nécessaires, par exemple, lorsque la numérisation vers les dossiers personnels des utilisateurs est utilisée sur un terminal intégré.

  • Filtre : vous pouvez filtrer l'importation des utilisateurs en spécifiant les valeurs des attributs. Ajoutez les conditions sous la forme d'une syntaxe de filtre LDAP. Les utilisateurs dont la valeur de cet attribut est différente ne sont pas acceptés et sont filtrés lors de l'importation. Par exemple :

Filtre de recherche

Description

(objectClass=*)

Tous les objets.

(&(objectCategory=person)(objectClass=user)(!(cn=andy)))

Tous les objets utilisateur sauf « andy ».

(sn=sm*)

Tous les objets dont le nom de famille commence par « sm ».

(&(objectCategory=person)(objectClass=contact)(|(sn=Smith)(sn=Johnson)))

Tous les contacts dont le nom de famille est « Smith » ou « Johnson ».

Pour les attributs dont les valeurs sont des chaînes de caractères, tels que l'attribut cn, vous pouvez utiliser le caractère générique * pour rechercher des sous-chaînes.

image-20241125-124947.png

Les attributs DN (tels que memberOf) n'acceptent pas la recherche avec le caractère générique * et doivent être recherchés par la chaîne complète.

Si le champ de filtre est laissé vide, le filtre par défaut actuel pour le type de source LDAP correspondant est appliqué automatiquement.

Gestion des caractères spéciaux dans les requêtes LDAP brutes

Lors de la construction de requêtes LDAP brutes, il est essentiel d'échapper correctement les caractères spéciaux dans les valeurs d'attribut afin de garantir un traitement précis de la requête par le serveur LDAP. Les caractères spéciaux tels que les barres obliques inversées (\), les points-virgules (;), les astérisques (*), les parenthèses (( et )) et les caractères nuls (\0) doivent être échappés uniquement lorsqu'ils apparaissent dans les valeurs d'attribut (par exemple, les attributs de l'utilisateur : email, department, memberOf, etc.), et non lorsqu'ils font partie de la syntaxe de la requête LDAP.

Règles d'échappement :

  • \ (barre oblique inversée) est échappé en \5c

  • ; (point-virgule) est échappé en \3b

  • * (astérisque) est échappé en \2a

  • ( (parenthèse gauche) est échappé en \28

  • ) (parenthèse droite) échappe vers \29

  • \0 (caractère nul) est remplacé par \00

  • Transformation : cette fonctionnalité permet aux administrateurs de définir des expressions régulières (RegEx) pour transformer les données utilisateur pendant le processus de synchronisation ; plus de détails sont disponibles ici.

Onglet Groupes

Dans cet onglet, vous pouvez importer des groupes et la structure des groupes depuis la source LDAP. Il existe quatre façons différentes de spécifier quels groupes sont importés. Vous pouvez utiliser plusieurs méthodes différentes simultanément et, pour chaque méthode, créer différents groupes d'utilisateurs. Vous pouvez également choisir d'importer les groupes sous un groupe existant dans MyQ.

LDAP sync groups tab

  • Ne pas modifier le groupe par défaut : un utilisateur peut être membre de plusieurs groupes, mais toutes ses impressions, copies et numérisations sont comptabilisées dans un seul groupe : le groupe par défaut (de comptabilité) de l'utilisateur. Si vous sélectionnez cette option, le groupe par défaut de l'utilisateur sélectionné ne change pas pendant la synchronisation.

  • Importer les groupes sous ce groupe : vous pouvez sélectionner un groupe existant dans MyQ sous lequel vous importez les groupes de la base de données LDAP.

  • Groupes stockés dans l'attribut de l'utilisateur :

    • Attribut : vous pouvez sélectionner cette option si vous souhaitez utiliser un attribut qui définit des groupes dans la base de données LDAP. Pour l'ajouter, saisissez le nom de l'attribut dans la zone de texte Propriété ou faites glisser l'attribut depuis n'importe quel utilisateur individuel et déposez-le dans la zone de texte Attribut.

      image-20241125-120217.png

      Vous pouvez également créer des groupes en combinant plusieurs attributs. Pour créer de tels groupes, placez chacun des attributs entre deux signes pourcentage (%). Par exemple, la combinaison d'attributs %attribut1%_%attribut2% importe un nouveau groupe nommé valeur1_valeur2.

      image-20241125-120503.png

      De plus, vous pouvez créer des structures arborescentes de groupes en séparant les attributs par des barres verticales. Par exemple, la combinaison d'attributs %attribut1%|%attribut2% importe un groupe value1 et son sous-groupe value2.

    • Définir comme groupe par défaut : si vous sélectionnez cette option, le groupe devient le groupe par défaut de l'utilisateur importé.

  • Groupe stocké dans le DN de l'utilisateur :

    • Index du composant OU : ici, vous pouvez sélectionner un groupe par son index OU (unité organisationnelle) parmi les composants du DN. L'index est compté de droite à gauche : le premier groupe OU à partir de la droite a l'index 1, le deuxième à partir de la droite a l'index 2, et ainsi de suite.

      image-20241125-123022.png

      Sur l'image ci-dessus, il y a deux groupes d'OU : test_users a l'index 1 (car c'est le premier groupe d'OU à partir de la droite), tree1 a l'index 2. Les autres composants ne sont pas des OU et n'ont donc pas d'index.

    • Définir comme groupe par défaut : si vous sélectionnez cette option, le groupe devient le groupe par défaut de l'utilisateur importé.

  • Groupe d'arborescence stocké dans le DN de l'utilisateur : ici, vous pouvez importer l'intégralité de la structure arborescente des groupes. Vous pouvez limiter l'importation à n'importe quelle partie de la structure en supprimant les composants du DN à gauche et à droite. Dans les zones de texte correspondantes, entrez le nombre de composants à supprimer à gauche et
    à droite. Vous devez supprimer au moins un composant à gauche (le composant CN de l'utilisateur) et un composant à droite (le composant DC le plus à droite).

    image-20241125-124555.png

    Sur l'image ci-dessus, il y a six composants. Si vous supprimez un composant à gauche et un à droite, vous importez la structure de groupes suivante : MYQTESTLAB > test_users > tree1 > tree3. En supprimant des composants à gauche, vous supprimez les groupes du bas vers le haut de la structure. En supprimant des composants à droite, vous supprimez les groupes du haut vers le bas de la structure.

    • Définir comme groupe par défaut : si vous sélectionnez cette option, le groupe situé au bas de la structure importée devient le groupe par défaut de l'utilisateur importé.

  • Groupe stocké dans l'attribut memberOf de l'utilisateur :

    • DN de base du groupe : MyQ peut importer les groupes de sécurité et de distribution stockés dans l'attribut memberOf de l'utilisateur. Les groupes de sécurité servent à définir les autorisations d'accès accordées à leurs membres. Les groupes de distribution peuvent être utilisés pour envoyer des e-mails à un groupe d'utilisateurs. Pour spécifier les groupes à prendre en compte lors de l'importation, vous devez insérer le DN de base des groupes. MyQ importe uniquement les groupes inclus dans le DN de base ; les autres groupes stockés dans l'attribut memberOf sont ignorés. Le DN de base des groupes ne doit pas nécessairement se trouver dans la même unité organisationnelle que le domaine de base des utilisateurs. Si un utilisateur est membre de plusieurs groupes sur le serveur LDAP, tous ces groupes sont stockés dans l'attribut memberOf. Par conséquent, l'option Définir par défaut, qui nécessite une valeur unique, n'est pas disponible pour cette méthode d'importation.
      Pour ajouter le DN de base des groupes, faites-le glisser depuis le navigateur de base de données et déposez-le dans la zone de texte DN de base des groupes.

    • Filtre : vous pouvez filtrer cette importation en spécifiant les valeurs des attributs. Ajoutez les conditions sous la forme : Attribut=Valeur. Les groupes dont la valeur de cet attribut est différente ne sont pas acceptés et sont filtrés hors de l'importation. Vous pouvez utiliser le symbole * pour rechercher des sous-chaînes. Le symbole peut être ajouté des deux côtés. Par exemple, si vous ajoutez une condition cn=*in*, seuls les utilisateurs dont l'attribut « nom commun » contient « in » sont acceptés. Vous pouvez ajouter une condition par ligne. Les groupes sont acceptés s'ils satisfont au moins une condition.

      image-20241125-125316.png

      • Importer les groupes vides : si vous sélectionnez cette option, les groupes du DN de base du groupe sont importés même si aucun utilisateur ne les possède dans son attribut memberOf.

      • Importer l'arborescence des groupes : si vous sélectionnez cette option, l'arborescence complète est importée. Sinon, tous les groupes sont ajoutés séparément, et non en tant que partie d'une arborescence.

 

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close