Dans cet article, nous expliquerons et démontrerons comment configurer votre compte Cato pour fonctionner avec Active Directory (intégration LDAP). La fonctionnalité vous permettra de récupérer les utilisateurs et de les ajouter automatiquement à l'application de gestion Cato (CMA). Elle n'authentifiera PAS le serveur AD.
L'attribut sAMAccountName est utilisé pour le nom du Groupe d'Utilisateurs dans l'Application de Gestion Cato.
La synchronisation a deux principales options :
1. Synchronisation avec un serveur AD local
2. Synchronisation avec un serveur AD externe
Les modifications des utilisateurs LDAP sur le contrôleur de domaine peuvent déclencher un grand nombre de modifications d'utilisateurs dans l'application de gestion Cato. Pour réduire le risque d'erreurs, vous pouvez choisir de limiter le nombre de modifications effectuées à chaque synchronisation de ces manières :
- Éviter la suppression ou la désactivation des utilisateurs : Vous pouvez limiter le nombre d'utilisateurs qui sont supprimés ou désactivés.
- Empêcher la mise à jour de l'appartenance à un groupe : Si une synchronisation LDAP modifie l'appartenance à un groupe d'utilisateurs de 1500 ou plus, Microsoft Active Directory sur site peut supprimer les utilisateurs du groupe. Pour éviter cela, vous pouvez personnaliser le nombre maximum d'utilisateurs pouvant changer d'appartenance à un groupe lors d'une seule synchronisation. Pour plus d'informations, consultez Dépannage des erreurs de services d'annuaire et de sensibilisation des utilisateurs
- Mettre à jour les courriels des utilisateurs : Vous pouvez limiter le nombre d'adresses courriel des utilisateurs qui sont mises à jour.
Si la limite est dépassée, la prochaine synchronisation LDAP échouera et un événement avec le sous-type Services de répertoire sera créé.
Remarque
Remarque : Un seul groupe contenant plus de 10 000 membres ne peut pas être synchronisé.
Si la synchronisation LDAP ne fonctionne pas correctement, consultez Dépannage de la synchronisation et de l'approvisionnement LDAP.
Comment synchroniser un serveur AD local (serveur derrière un site Cato) :
-
Ajouter le serveur AD à la page Hôtes pour le site.
- Dans le menu de navigation, sélectionnez Réseau > Sites, et sélectionnez le site.
- De la barre de navigation, sélectionnez Paramètres du site > Hôtes.
- Cliquez sur Nouveau et entrez les paramètres pour le serveur AD.
- Cliquez sur Appliquer puis cliquez sur Enregistrer.
- Ajoutez un nouveau domaine aux services LDAP pour le compte.
- Dans le menu de navigation, cliquez sur Accès > Services de répertoire, et sélectionnez l'onglet ou la section LDAP.
-
Cliquez sur Nouveau, et configurez les paramètres pour le domaine AD.
- Login DN et Base DN - La chaîne unique pour l'AD (authentification pour les utilisateurs récupérés)
- Mot de passe - Le mot de passe pour accéder au DN Active Directory
- Chiffrement - Sélectionnez Utiliser SSL pour sécuriser la connexion, non pris en charge par tous les serveurs
- Paramètres de synchronisation des utilisateurs SDP - Sélectionnez les limites à ajouter à une synchronisation LDAP
- Cliquez sur Enregistrer.
- Ajoutez le serveur AD (depuis l'étape 1) comme contrôleur de domaine (DC) au domaine.
- Dans la section de navigation du panneau, cliquez sur Contrôleurs de domaine.
-
Dans le menu déroulant en haut, sélectionnez Hôte, et dans le menu déroulant suivant, sélectionnez l'hôte de l'étape 1.
- Cliquez sur Enregistrer.
-
Sélectionnez les groupes AD que vous synchronisez avec votre compte Cato.
Remarque
Note :
- Si aucun groupe n'est sélectionné, alors tous les groupes AD sont importés pour la prise de conscience des utilisateurs.
- Les groupes imbriqués sont synchronisés si vous sélectionnez le groupe parent
- Le paramètre User Principal Name (UPN) AD doit être configuré pour qu'un utilisateur soit identifié par la prise de conscience des utilisateurs
- Dans la section de navigation du panneau, cliquez sur Groupes d'utilisateurs.
-
Sélectionnez les groupes AD que vous synchronisez.
Remarque
Note : La casse est importante lors de l'importation d'unités organisationnelles depuis Active Directory. ExempleGroupe sera traité différemment de EXEMPLEGROUPE.
Si vous changez le nom des unités organisationnelles dans Active Directory, assurez-vous de changer également les unités organisationnelles sélectionnées dans l'application de gestion Cato.
- Sélectionnez Synchronisation quotidienne des groupes d'utilisateurs pour activer la synchronisation automatique des groupes et des utilisateurs chaque jour.
- Cliquez sur Enregistrer et fermer.
- Dans l'écran Services de répertoire, cliquez sur Synchroniser maintenant.
Après que les utilisateurs ont été synchronisés, ils peuvent se voir attribuer une licence SDP.
Pour la sensibilisation des utilisateurs, les utilisateurs peuvent être identifiés par une requête AD ou l'agent d'identité.
Si vous avez besoin de synchroniser un serveur AD externe, vous pouvez effectuer la même procédure que ci-dessus.
- Lorsque le UPN et/ou l'adresse e-mail d'un utilisateur LDAP ont été changés dans l'AD, le statut de l'utilisateur LDAP affecté reste inchangé dans l'application de gestion Cato.
- Lors de la synchronisation de l'Azure AD, les types d'utilisateurs Membre et Invité sont synchronisés.
- Assurez-vous que le prénom et le nom de famille sont configurés pour les utilisateurs AD. Sinon, les utilisateurs manquant de prénom ou de nom de famille ne sont PAS synchronisés avec votre compte Cato.
Si votre contrôleur de domaine est derrière une connexion IPsec ou si vous ne routez que certains sous-réseaux vers le Socket, assurez-vous d'inclure l'adresse IP de l'application de gestion Cato dans votre configuration de routage de tunnel VPN. Le trafic en provenance et à destination de cette IP doit être routé via le tunnel Cato.
Pour plus d'informations sur l'adresse IP de la CMA, voir Résolution des problèmes avec la synchronisation LDAP (vous devez être connecté à votre compte Cato Knowledge Base pour consulter cet article).
0 commentaire
Cet article n'accepte pas de commentaires.