Skip to main content
Skip table of contents

Mise en place d’une synchronisation LDAP

L'installation se compose de trois parties : la création de la synchronisation sur le serveur Général la définition de l'importation d'utilisateurs dans l'onglet Utilisateurs et la définition de l'importation de groupes dans l'onglet Groupes (onglet). Vous pouvez passer d'un onglet à l'autre sur la barre située dans le coin supérieur gauche du panneau des propriétés de la synchronisation LDAP.

image-20241125-115510.png

Onglet Général

Sur le site Général définir les propriétés générales de la synchronisation : activer ou désactiver la synchronisation, sélectionner le domaine du serveur LDAP, saisir le nom d'utilisateur et le mot de passe pour l'accès au serveur, et enfin choisir d'exporter les utilisateurs importés dans un fichier CSV. Voir la liste ci-dessous pour une description des différents paramètres.

LDAP sync general tab settings

 

  • Activé: Vous pouvez ici activer ou désactiver la synchronisation.

  • Serveur LDAP: Vous pouvez ici sélectionner le domaine à partir duquel vous souhaitez effectuer la synchronisation.

  • Utilisateur: Entrez le nom d'utilisateur pour l'accès au serveur de domaine LDAP.

  • Mot de passe: Entrez le mot de passe pour l'accès au serveur de domaine LDAP.

  • Activé: Si vous activez l'option Exportation au format CSV après une importation réussie MyQ crée un fichier CSV avec les utilisateurs importés après la synchronisation.

  • Fichier: Sélectionnez le dossier dans lequel vous souhaitez enregistrer le fichier créé.

Après avoir correctement défini les paramètres de connexion (serveur LDAP, utilisateur et mot de passe) et sauvegardé les réglages, le navigateur LDAP s'ouvre sur le côté droit de l'écran.

Dans le cadre de la Utilisateur un compte d'utilisateur de sous-domaine disposant de droits suffisants peut également être utilisé pour l'authentification, mais le sous-domaine doit être spécifié dans le nom d'utilisateur.

Par exemple, l'utilisateur Administrateur se connecte à la testAD.local mais leur compte se trouve dans le serveur LDAP. cz.testAD.local sous-domaine. Pour une authentification réussie, le nom d'utilisateur rempli doit être :
Administrator@cz.testAD.local

Onglet Utilisateurs

Sur le site Utilisateurs sélectionnez un ou plusieurs DN (noms distinctifs) de base à partir desquels vous importez les utilisateurs. En outre, vous pouvez attribuer des attributs d'utilisateur du serveur LDAP à des propriétés d'utilisateur dans MyQ et sélectionner d'autres options concernant la synchronisation.

image-20241002-111308.png

  • Base DN: Vous pouvez ici choisir le ou les domaines de base à partir desquels vous importez des utilisateurs. Cliquez sur +Ajouter pour ajouter une zone de texte pour le nouveau DN de base, puis faites glisser un groupe depuis le navigateur de base de données et déposez-le dans la zone de texte. Vous pouvez ajouter plusieurs domaines de cette manière.

    image-20241125-115854.png

  • Propriétés: Il s'agit des propriétés de chaque utilisateur. MyQ trouvera et attribuera automatiquement les propriétés de l'utilisateur. Nom du compte SAM à nom d'utilisateur, cn à nom complet et courrier à Courriel (ceci s'applique uniquement à Active directory et OpenLDAP). La propriété du nom d'utilisateur est la seule qui ne peut pas être modifiée. Pour attribuer un attribut à une propriété, écrivez le nom de l'attribut dans la zone de texte de la propriété ou faites-le glisser à partir des attributs d'un utilisateur individuel et déposez-le dans la zone de texte. Les propriétés suivantes permettent d'ajouter plusieurs valeurs, séparées par un point-virgule ( ;):

    • Alias

    • PIN

    • Carte

Par exemple, dans le Alias vous pouvez ajouter alias1;alias2;alias3.

Le nom de l'attribut AD ne doit pas contenir le caractère point-virgule ( ;). Si un point-virgule fait partie du nom de l'attribut, cet attribut ne sera pas synchronisé dans MyQ.

Pour les Carte et PIN l'administrateur peut choisir l'une des options suivantes :

  1. Ne pas synchroniser : Cette option permet d'ignorer la synchronisation de ces valeurs.

  2. Synchronisation complète : Cette option remplace les valeurs existantes par les nouvelles valeurs provenant de LDAP, que la nouvelle valeur soit vide ou non.

  3. Synchroniser s'il n'est pas vide : Cette option ne remplacera les valeurs existantes que si les nouvelles valeurs du LDAP ne sont pas vides. Elle ne supprimera pas les valeurs existantes si la valeur correspondante dans LDAP est vide.

  4. Ajouter un nouveau : Cette option met à jour les valeurs existantes en ajoutant de nouvelles valeurs provenant de LDAP, sans remplacer les valeurs existantes.

Pour attribuer des langues par défaut aux utilisateurs, vous devez utiliser un attribut du serveur LDAP dont les valeurs sont les abréviations des langues. Par exemple, vous pouvez créer et utiliser un attribut appelé lang avec les valeurs fr pour l'anglais, hr pour le croate, etc. La liste des abréviations utilisées dans MyQ se trouve à l'adresse suivante ici.

  • Options: Pour une description des options de synchronisation courantes, voir Informations sur l'utilisateur et réglages. Les options de base communes à la synchronisation à partir de serveurs LDAP et à la synchronisation à partir de fichiers CSV sont les suivantes :

    • Désactiver les utilisateurs manquants: Si vous sélectionnez cette option, MyQ supprime les utilisateurs qui sont importés de la source de synchronisation actuelle et qui ne sont plus dans la source. Pour supprimer des utilisateurs qui ont été ajoutés à partir de différentes sources, sélectionnez l'option Ignorer la source de synchronisation en même temps que cette option.

    • Ajouter de nouveaux utilisateurs: Si vous sélectionnez cette option, MyQ ajoute de nouveaux utilisateurs à partir de la source de synchronisation actuelle. Si vous ne la sélectionnez pas, MyQ met à jour les comptes des utilisateurs qui sont déjà dans MyQ, mais n'ajoute pas de nouveaux utilisateurs.

    • Convertir le nom d'utilisateur en minuscules: Contrairement à d'autres systèmes qui ne font pas de différence entre deux mots ayant les mêmes lettres mais des majuscules différentes (comme "Pear", "poire"), MyQ est sensible à la casse. Vous pouvez utiliser le Convertir le nom d'utilisateur en minuscules pour empêcher la création de plusieurs comptes pour un même utilisateur.

    • Utiliser le serveur d'authentification: Si vous sélectionnez cette option et qu'un utilisateur se connecte en entrant son nom d'utilisateur et son mot de passe, les informations d'identification ne sont pas authentifiées par rapport à la base de données MyQ, mais par rapport à un serveur LDAP ou Radius. Si vous synchronisez les utilisateurs via LDAP, le serveur LDAP source est automatiquement assigné à la base de données MyQ.
      le serveur d'authentification. Si vous synchronisez les utilisateurs via CSV, vous pouvez sélectionner le serveur d'authentification dans la liste des serveurs d'authentification prédéfinis.

    • Pair par le numéro personnel: Si vous sélectionnez cette option, MyQ identifie les utilisateurs par leur numéro personnel au lieu de leur nom d'utilisateur. De cette manière, vous pouvez suivre un même utilisateur avec différents noms dans différentes sources ou un utilisateur dont le nom a changé pour une raison ou une autre. Par exemple, si cette option est activée et qu'un nom d'utilisateur dans LDAP passe de cat.stevens à yusuf.islamMyQ ne crée pas de nouveau compte utilisateur, mais reconnaît l'ancien utilisateur par son numéro personnel.

    • Ignorer la source de synchronisation: Si cette option n'est pas sélectionnée, MyQ reconnaît deux utilisateurs provenant de sources de synchronisation différentes comme deux entités différentes. Cela peut provoquer des conflits lors de synchronisations à partir de sources multiples. Si cette option est sélectionnée, MyQ ignore les sources de synchronisation et traite tous les utilisateurs de la même manière, quelle que soit leur source de synchronisation. Par exemple, si vous exécutez une synchronisation et que MyQ souhaite importer/mettre à jour un utilisateur qui a déjà été ajouté à partir d'une source de synchronisation différente, il ne met pas à jour l'utilisateur. Au lieu de cela, il affiche le message suivant Le nom/alias "X" est déjà utilisé par l'utilisateur "X" parmi les résultats de la synchronisation. Après avoir sélectionné les Ignorer la source de synchronisation l'utilisateur est mis à jour par la dernière synchronisation.
      Si vous sélectionnez cette option en même temps que l'option Désactiver les utilisateurs manquants tous les utilisateurs qui ont été ajoutés à partir de différentes sources et qui ne font pas partie de la source de synchronisation actuelle sont supprimés pendant la synchronisation.

    • Ajouter le nom de domaine au nom d'utilisateur (username@domain.local) : Si cette option est sélectionnée, le nom du domaine peut être récupéré à partir du nom d'utilisateur MyQ. Les informations sur le domaine peuvent être nécessaires, par exemple, lorsque le balayage vers les dossiers personnels des utilisateurs est utilisé sur un terminal Embedded Terminal.

  • Filtre: Vous pouvez filtrer l'importation des utilisateurs en spécifiant les valeurs des attributs. Ajoutez les conditions sous la forme de Syntaxe du filtre LDAP. Les utilisateurs dont la valeur de cet attribut est différente ne sont pas acceptés et sont exclus de l'importation. Par exemple :

Filtre de recherche

Description

(objectClass=*)

Tous les objets.

(&(objectCategory=person)(objectClass=user)( !(cn=andy)))

Tous les objets utilisateurs sauf "andy".

(sn=sm*)

Tous les objets dont le nom de famille commence par "sm".

(&(objectCategory=person)(objectClass=contact)(|(sn=Smith)(sn=Johnson)))

Tous les contacts dont le nom de famille est égal à "Smith" ou "Johnson".

Pour les attributs dont les valeurs sont des chaînes, comme l'attribut cn, vous pouvez utiliser le symbole * pour rechercher les sous-chaînes.

image-20241125-124947.png

Les attributs DN (comme memberOf) n'acceptent pas les caractères génériques * et doivent être recherchés dans la chaîne entière.

Si le champ de filtre est vide, le filtre par défaut actuel pour le type de source LDAP correspondant est appliqué automatiquement.

Traitement des caractères spéciaux dans les requêtes LDAP brutes

Lors de l'élaboration de requêtes LDAP brutes, il est essentiel d'échapper correctement les caractères spéciaux dans les valeurs d'attribut afin de garantir un traitement précis de la requête par le serveur LDAP. Les caractères spéciaux tels que les barres obliques inversées (\N), les points-virgules ( ;), les astérisques (*), les parenthèses (( et )) et les caractères nuls (\N) doivent être échappés uniquement lorsqu'ils apparaissent dans les valeurs d'attribut (par exemple, l'attribut de l'utilisateur - courriel, département, membreOfetc.), mais pas lorsqu'ils font partie de la syntaxe de la requête LDAP.

Échapper aux règles :

  • \ (barre oblique inverse) s'échappe vers \5c

  • ; (point-virgule) s'échappe vers \3b

  • * (astérisque) s'échappe vers \2a

  • ( (parenthèse gauche) s'échappe vers \28

  • ) (parenthèse droite) s'échappe vers \29

  • \0 (caractère nul) s'échappe vers \00

  • TransformationCette fonction permet aux administrateurs de définir des expressions régulières (RegEx) pour transformer les données des utilisateurs au cours du processus de synchronisation. ici.

Onglet Groupes

Cet onglet permet d'importer des groupes et leur structure à partir de la source LDAP. Il existe quatre façons différentes de spécifier les groupes à importer. Vous pouvez utiliser plusieurs méthodes différentes ensemble et chaque méthode vous permet de créer différents groupes d'utilisateurs. Vous pouvez également choisir d'importer les groupes sous un groupe existant dans MyQ.

LDAP sync groups tab

  • Ne pas modifier le groupe par défaut: Un utilisateur peut être membre de plusieurs groupes, mais toutes ses impressions, copies et numérisations sont comptabilisées dans un seul groupe : le groupe par défaut (comptable) de l'utilisateur. Si vous sélectionnez cette option, le groupe par défaut de l'utilisateur sélectionné ne change pas pendant la synchronisation.

  • Importer des groupes sous ce groupe: Vous pouvez sélectionner un groupe existant dans MyQ sous lequel vous importez les groupes de la base de données LDAP.

  • Groupes stockés dans l'attribut de l'utilisateur:

    • Attribut: Vous pouvez sélectionner cette option si vous souhaitez utiliser un attribut qui définit les groupes dans la base de données LDAP. Pour l'ajouter, saisissez le nom de l'attribut dans la zone de texte de la propriété ou faites glisser l'attribut d'un utilisateur individuel et déposez-le dans la zone de texte de la propriété. Attribut zone de texte.

      image-20241125-120217.png

      Vous pouvez également créer des groupes en combinant plusieurs attributs. Pour créer de tels groupes, placez chacun des attributs entre deux signes de pourcentage (%). Par exemple, la combinaison des attributs %attribut1%_%attribut 2% , importe un nouveau groupe nommé valeur1_valeur2.

      image-20241125-120503.png

      En outre, vous pouvez créer des structures arborescentes de groupes en séparant les attributs par des barres verticales. Par exemple, la combinaison des attributs %attribut1%|%attribut2%importe un groupe valeur1et son sous-groupe valeur 2.

    • Rendre par défaut: Si vous sélectionnez cette option, le groupe devient le groupe par défaut de l'utilisateur importé.

  • Groupe stocké dans le DN de l'utilisateur:

    • Indice de composante OU: Vous pouvez ici sélectionner un groupe en fonction de son indice OU (unité d'organisation) parmi les composants DN. L'index est compté de droite à gauche : le premier groupe OU en partant de la droite a l'index 1le deuxième en partant de la droite a l'indice 2 et ainsi de suite.

      image-20241125-123022.png

      Sur l'image ci-dessus, il y a deux groupes d'OU : test_users a un indice 1 (car il s'agit du premier groupe d'OU en partant de la droite), arbre1 a un indice 2. Les autres composants ne sont pas des OU et n'ont donc pas d'index.

    • Rendre par défaut: Si vous sélectionnez cette option, le groupe devient le groupe par défaut de l'utilisateur importé.

  • Groupe d'arbres stocké dans le DN de l'utilisateur: Vous pouvez ici importer l'arborescence complète des groupes. Vous pouvez limiter l'importation à une partie de la structure en retirant les composants DN de la gauche et de la droite. Dans les zones de texte correspondantes, entrez le nombre de composants à retirer de la gauche et de la droite.
    du côté droit. Vous devez retirer au moins un composant de gauche (le composant CN de l'utilisateur) et un composant de droite (le composant DC le plus à droite).

    image-20241125-124555.png

    Sur l'image ci-dessus, il y a six composants. Si vous enlevez un composant de la gauche et un de la droite, vous importez la structure de groupes suivante : MYQTESTLAB > test_users > tree1 > tree3. En éliminant les composants de gauche, vous supprimez les groupes de bas en haut de la structure. En retirant les composants de la droite, vous retirez les groupes du haut vers le bas de la structure.

    • Rendre par défaut: Si vous sélectionnez cette option, le groupe inférieur de la structure importée devient le groupe par défaut de l'utilisateur importé.

  • Groupe stocké dans l'attribut memberOf de l'utilisateur:

    • Base du groupe DN: MyQ peut importer les groupes de sécurité et de distribution stockés dans le répertoire de l'utilisateur. membreOf attribut. Les groupes de sécurité sont utilisés pour définir les autorisations d'accès accordées à leurs membres. Les groupes de distribution peuvent être utilisés pour envoyer des courriels à un groupe d'utilisateurs. Pour spécifier quels groupes doivent être pris en compte lors de l'importation, vous devez insérer le DN de base des groupes. MyQ n'importe que les groupes qui sont inclus dans le DN de base ; les autres groupes stockés dans le fichier membreOf sont ignorés. Le DN de base du groupe ne doit pas nécessairement se trouver dans la même unité organisationnelle que le domaine de base de l'utilisateur. Si un utilisateur est membre de plusieurs groupes sur le serveur LDAP, tous les groupes sont stockés dans le DN de base du groupe. membreOf attribut. Par conséquent, l'attribut Rendre par défaut qui nécessite une seule valeur, n'est pas disponible pour cette méthode d'importation.
      Pour ajouter le DN de base des groupes, faites-le glisser depuis le navigateur de base de données et déposez-le dans le champ Base du groupe DN zone de texte.

    • Filtre: Vous pouvez filtrer cette importation en spécifiant les valeurs des attributs. Ajoutez les conditions dans le formulaire : Attribut=Valeur. Les groupes dont la valeur de cet attribut est différente ne sont pas acceptés et sont filtrés lors de l'importation. Vous pouvez utiliser l'attribut * pour rechercher des sous-chaînes. Le symbole peut être ajouté des deux côtés. Par exemple, si vous ajoutez un cn=*en* seuls les utilisateurs dont l'attribut du nom commun contient "en"sont acceptées. Vous pouvez ajouter une condition par ligne. Les groupes sont acceptés s'ils remplissent au moins une condition.

      image-20241125-125316.png

      • Importer des groupes vides: Si vous sélectionnez cette option, les groupes de la Base du groupe DN sont importés même si aucun utilisateur ne les a dans son dossier. membreOf attribut.

      • Importation d'une arborescence de groupes: Si vous sélectionnez cette option, toute l'arborescence est importée. Dans le cas contraire, tous les groupes sont ajoutés séparément et non en tant que partie d'une structure arborescente.

 

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close