Synchronisation avec un annuaire LDAP

Préambule

Ce qui est décrit ci-dessous concerne les versions antérieures à 2 de Kentika

Lorsqu'un annuaire LDAP est disponible, il peut être intéressant de synchroniser la table des personnes de Kentika avec cet annuaire. Ainsi, il est possible de faire en sorte qu'un nouvel utilisateur enregistré dans l'annuaire génère automatiquement la création d'une nouvelle fiche dans Kentika ; lorsqu'un utilisateur est supprimé sa fiche est "marquée" dans Kentika ; une modification de sa fiche dans l'annuaire peut être reportée dans sa fiche Kentika.

Pour accéder à l'annuaire, il est nécessaire d'en connaître l'adresse et d'avoir éventuellement un identifiant / mot de passe permettant de consulter les informations. Aucune mise à jour de Kentika vers l'annuaire n'est possible. Si une notion de groupe est définie dans l'annuaire, la mise en concordance avec les groupes de Kentika est possible via la mise au point d'un filtre d'importation.

Chaque annuaire LDAP est particulier. Aussi, si la mécanique générale est commune à toutes les installations, il convient de spécifier les critères de recherche et la mise en concordance des rubriques de l'annuaire et celles de la fiche utilisateur. Cette mise en concordance passe par la création d'un filtre d'import.

Un annuaire LDAP comporte, pour chaque personne, un identifiant unique appelé "uid" (userid). Si ce dernier est différent de l'identifiant attribué à un utilisateur dans Kentika, il est recommandé de créer une nouvelle rubrique pour recevoir cette information.

Paramétrage

L'interface de paramétrage, accessible depuis l'écran des préférences ( 1 ), permet de :

définir les paramètres d'accès et de recherche ( 2 ; 3 ; 4 ; 10 ) ;

accéder à la mise au point du filtre d'import ( 6 ; 7 ; 8 ) ;

programmer la synchronisation en batch ( 9 )

importer ponctuellement une personne ( 11 ) ou un ensemble d'utilisateurs ( 12 )

Ecran de paramétrage

Paramètres d'accès

( 2 ) Adresse : nom de l'annuaire

Nom / mot de passe : si une identification est nécessaire pour accéder à l'annuaire. Le mot de passe peut être exprimé en MD5. Il n'est pas stocké en clair dans la base et ne peut être copié (un clic sur le bouton "changer de mot de passe" est nécessaire pour le saisir.

( 3 ) Nb max : permet de fixer une limite en nombre d'enregistrements reçus dans une requête

timeout : temps d'attente en seconde de réponse de la part du serveur LDAP

Mode de découpage : 1 par 1 ou global (n). Suivant le contenu de ce qui est retourné par votre annuaire un découpage un par un ou en global devra être sélectionné. Des tests préalables doivent être effectués pour sélectionner la bonne méthode.

Recherche d'un ensemble d'utilisateurs

( 4 ) Search base : point de départ de la recherche (dans l'exemple ci-dessus : nom de l'organisation)

Search filter : équation de recherche. Elle doit être exprimée entre parenthèses, peut comporter plusieurs arguments (exemple : "| (sn=ta*) (sn=ti*)" recherche les utilisateurs dont le nom commence par "ta" ou par "ti"). Le joker s'exprime par "*" (exemple : "(givenName=*john*)" recherche tous les utilisateurs ayant "john" dans le prénom).

Scope : permet de limiter le champ de la recherche (en général, l'option "wholeSubtree " sera sélectionnée).

( 5 ) Tester la recherche : utilise les paramètres saisis précédemment et tente de se connecter à l'annuaire. Si la connexion réussit et que des utilisateurs sont trouvés, ils apparaissent dans la zone située en dessous ( 6 ).

En sélectionnant un utilisateur de la liste, le détail des informations le concernant apparaît dans la liste située à gauche ( 7 ).

Dans le cas d'une utilisation ponctuelle, le résultat de la recherche peut être intégré directement (après avoir réglé le filtre d'import) grâce au bouton "Intégrer toutes les fiches" ( 12 ).

ATTENTION : l'import de données ne peut être annulé. Pour mettre au point un filtre d'import il est parfois préférable de faire des essais sur une copie de votre base de données.

Mettre au point le filtre d'import

Cette étape est nécessaire à l'importation des données issues de l'annuaire dans Kentika. Lorsqu'aucun filtre pour l'intégration de données LDAP n'a encore été créé, il suffit de demander l'option "Créer" pour mettre au point un filtre d'import ( 8 ).

Si il existe déjà un filtre d'import, pour le modifier il suffit de le sélectionner en maintenant la touche enfoncée.

Un fichier sur le disque est créé à partir des données présentées dans la liste des valeurs ( 7 ) . Ce fichier est identique à ceux qui seront ensuite produits par le batch de synchronisation de l'annuaire ( 9 ).

Mise au point de la correspondance des champs.

Cet outil d'import de données est très riche. Il est conseillé de bien en étudier toutes les étapes pour mettre au point un filtre d'import pertinent.

Certains champs, s'ils sont codés, peuvent perturber le bon fonctionnement de l'import des données. Dans ce cas, il est conseillé de les ignorer. Pour cela, sélectionnez les champs codés à exclure de l'import (uid dans l'exemple ci-dessus) et cliquez sur le bouton +.

Rechercher un utilisateur

( 10 ) La méthode est analogue à celle décrite ci-dessus pour un ensemble d'utilisateur mais elle a pour objectif de permettre une recherche d'un utilisateur donné. Le search filter peut contenir une valeur variable exprimée sous la forme $$Query. Lors d'un clic sur "Tester la requête", la valeur recherchée est demandée :

Saisie de la valeur recherchée qui remplacera $$Query dans le Search filter

Si ces paramètres sont correctement renseignés et si la connexion SSO est activée dans les paramètres de connexion du serveur web : si le serveur d'identification retourne un ID valable et que ce dernier n'existe pas encore dans Kentika, une requête à l'annuaire est déclenchée et si la personne est trouvée, sa fiche est crée via le filtre d'import qui aura été spécifié.

( 11 ) A l'issue de la recherche, l'utilisateur trouvé peut être intégré dans Kentika en cliquant sur le bouton "intégrer".

Règlage de la synchronisation en tâche de fond

( 9 ) En sélectionnant des jours et une heure de déclenchement, Kentika effectuera la recherche en utilisant les paramêtres de recherche spécifiés ( 4 ). Trois cas de figure pourront se présenter :

l'utilisateur n'existe pas encore dans la table des personnes : il est ajouté

l'utilisateur existe déjà (détecter par la clé de dédoublonnage spécifiée dans le filtre d'import) : les informations sont mises à jour si l'option "priorité à l'import" est sélectionnée dans le filtre d'import

Paramétrage du filtre d'import : onglet "Traitement"

une personne présente dans Kentika n'a pas été trouvée dans l'annuaire : la rubrique "Statut" (cf. ci-dessous) est mise à jour.

En créant une requête de type "dossier", il est ensuite aisée de retrouver tous les utilisateurs qui ne figurent plus dans l'annuaire LDAP et d'effectuer un traitement approprié (les supprimer par exemple).

Rubrique statut

S'il existe une rubrique de type code ayant pour code "LDAP_*St", le statut sera automatiquement mis à jour lors de l'exécution de la synchronisation en batch. Les codes doivent respecter exactement les valeurs décrites ci-après :

1 : la fiche personne vient d'être créée ;

2 : la fiche personne a été modifiée ;

9 : la fiche personne n'est pas présente dans l'annuaire (plus exactement : n'a pas été trouvée lorsque la dernière requête, conformément à ce qui est spécifié en Search filter, a été exécutée).

Paramétrage de la rubrique