Cet article fournit des informations sur l'utilisation du langage de requête LDAP pour filtrer les utilisateurs et créer des groupes dynamiques.
Cato vous permet d'optimiser la gestion des utilisateurs en important uniquement les utilisateurs pertinents de votre annuaire LDAP en utilisant le langage de requête LDAP. Avec le Filtre du Répertoire LDAP, vous pouvez définir des requêtes LDAP précises pour contrôler quels utilisateurs sont synchronisés avec Cato. De plus, vous pouvez utiliser des requêtes LDAP pour organiser les utilisateurs en groupes dynamiques au sein du CMA. En utilisant les attributs LDAP, vous pouvez créer des groupes dynamiques soit en tant que sous-ensemble de votre filtre original, soit de tous vos utilisateurs.
En utilisant la page Services d'annuaire, vous pouvez intégrer l'annuaire LDAP de votre organisation avec Cato et configurer les paramètres d'importation des utilisateurs.
La société ABC travaille avec des employés à temps plein et des contractuels, ainsi que des stagiaires. Lors de l'importation d'utilisateurs vers le CMA, en tant qu'administrateur, vous voulez seulement importer les employés à temps plein. Vous créez le filtre de requête suivant pour votre instance LDAP Azure afin d'importer uniquement les employés pertinents :
(&(objectCategory=person)(objectClass=user)(employeeType=full-time))
La société ABC dispose de représentants commerciaux dans tout le pays, et ils appartiennent tous au Département des ventes. En utilisant l'attribut employeeType, vous créez un sous-ensemble des représentants commerciaux pour tous les managers du Département des ventes. Lorsqu'un utilisateur est promu et que son type d'employé devient Manager et que le service est défini sur Ventes, il est automatiquement inclus dans le groupe dynamique.
Avant de configurer les filtres de répertoire LDAP ou les groupes d'utilisateurs dynamiques, assurez-vous que :
- Vous avez une intégration de répertoire LDAP existante configurée dans le CMA
- Vous êtes un administrateur Cato avec les permissions pour modifier les paramètres des Services d'annuaire
- Le Filtre de Répertoire LDAP n'importe que les utilisateurs seulement. Les groupes d'utilisateurs LDAP ne sont pas importés.
-
Chaque compte prend en charge jusqu'à 10 attributs LDAP uniques sur tous les groupes dynamiques.
La réutilisation du même attribut avec des valeurs différentes (par exemple, memberOf=Admin, memberOf=Finance) compte comme un seul attribut.
- Chaque compte peut contenir jusqu'à 50 groupes d'utilisateurs dynamiques
- Les groupes dynamiques ne prennent pas en charge l'appartenance à des groupes imbriqués de LDAP.
Vous pouvez choisir d'importer des utilisateurs via la sélection de groupe traditionnelle ou le nouveau filtre de requête LDAP. Vous pouvez également définir des Groupes d'Utilisateurs Dynamiques qui groupent automatiquement les utilisateurs en fonction des attributs de votre annuaire.
Remarque
Note : Le langage de requête LDAP n'est ni développé ni maintenu par Cato. Vous êtes responsable de la rédaction et de la validation des requêtes qui répondent aux exigences de votre organisation.
Pour configurer un filtre de répertoire LDAP :
- Dans le menu de navigation, sélectionnez Accès > Services d'annuaire.
- Sélectionnez une configuration LDAP existante ou cliquez sur Nouveau pour en créer une.
- Sous Filtres, dans le Champ de méthode de filtre, sélectionnez Requête LDAP.
-
Dans le champ Requête, saisissez une requête LDAP en utilisant le préfixe de votre fournisseur et les attributs LDAP. La requête doit commencer par un préfixe valide spécifique au fournisseur.
- Azure : (&(objectCategory=person)(objectClass=user))
- OKTA + OpenLDAP : (&(objectClass=inetOrgPerson))
- JumpCloud + OneLogin : (&(objectClass=person))
Voir ci-dessous pour quelques exemples de filtres de requête.
- Cliquez sur Sauvegarder.
Voici plusieurs exemples de filtres différents que vous pouvez utiliser. Consultez la documentation de votre fournisseur LDAP pour plus d'informations.
L'exemple suivant importe des utilisateurs d'un groupe spécifique en utilisant l'attribut memberOf, et est formaté pour Azure :
(&(objectCategory=person)(objectClass=user)(memberOf=CN=Developers,OU=Groups,DC=catonetworks,DC=com))L'exemple suivant importe tous les utilisateurs de deux groupes, et est formaté pour Okta :
(&(objectClass=inetOrgPerson)(memberOf=CN=Admins,OU=Groups,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=Groups,DC=catonetworks,DC=com))L'exemple suivant importe tous les utilisateurs appartenant à l'un des deux groupes définis, et est formaté pour Jumpcloud :
(&(objectClass=person)(|(memberOf=CN=Admins,OU=Groups,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=Groups,DC=catonetworks,DC=com)))Après avoir importé des utilisateurs avec soit la sélection de groupe d'utilisateurs ou le filtre LDAP, vous pouvez créer des groupes dynamiques basés sur les attributs LDAP.
Pour configurer un groupe dynamique :
- Dans le menu de navigation, sélectionnez Accès > Services d'annuaire.
- Sélectionnez une configuration LDAP existante ou cliquez sur Nouveau pour en créer une.
-
Sous Groupes Dynamiques : entrez un nom pour le groupe et définissez la requête.
- Aucun préfixe n'est requis pour les groupes dynamiques.
- Si vous avez défini un filtre de requête LDAP, le groupe dynamique est un sous-ensemble de ce filtre. Sinon, le groupe dynamique est un sous-ensemble de tous vos utilisateurs.
- Cliquez sur Sauvegarder.
Voici des exemples de définition de groupes dynamiques :
-
Définir un groupe dynamique en utilisant un seul attribut
(service=Finance)(titre=*Manager) -
Définir un groupe dynamique utilisant plusieurs attributs avec l'opérateur ET :
(&(service=Ventes)(titre=Executive*)) -
Définir un groupe dynamique utilisant plusieurs attributs avec l'opérateur OU :
(|(appRole=Admin)(appRole=Support))
Voici une liste de messages d'erreur possibles et leurs explications.
-
Vous pouvez définir soit un Filtre de Group DN ou un Filtre de Requête LDAP
Apparaît lorsque vous avez défini à la fois un Filtre de Groupe et un Filtre de Requête LDAP. Vous pouvez en définir un seul ou aucun, mais vous ne pouvez pas définir les deux.
-
Le Filtre de Requête LDAP est invalide. L'erreur est '<ERREUR DU MESSAGE DU SDK>'
Apparaît pour plusieurs raisons, et le message d'erreur individuel fournira plus d'informations. Par exemple, Impossible d'analyser la chaîne '(&(objectClass=group)(cn=*)'. Ce message apparaît lorsque vous avez oublié une parenthèse fermante.
Consultez la documentation LDAP spécifique au fournisseur pour plus d'informations.
-
Le Filtre de Requête LDAP manque des filtres d'objet utilisateur requis
Apparaît si vous n'avez pas inclus l'attribut nécessaire objectClass.
-
Le Filtre de Requête LDAP contient des filtres d'objet non pris en charge
Apparaît si vous avez inclus un filtre sur un attribut non pris en charge, par exemple, des groupes au lieu des utilisateurs.
-
Les Groupes Dynamiques exigent trop d'attributs LDAP supplémentaires (10 maximum autorisés en plus des attributs par défaut)
Apparaît lorsque la somme de tous les attributs de demande n'est pas supérieure à 10 attributs supplémentaires (en plus de ceux que nous récupérons par défaut)
-
Trop de Groupes Dynamiques (maximum 50 autorisés)
Apparaît lorsque le maximum de 50 groupes dynamiques dans le compte a été dépassé
-
Nom de Groupe Dynamique '<GROUP_NAME>' existe déjà
Apparaît lorsque le Nom de Groupe n'est pas unique.
-
Groupe Dynamique '<GROUP_NAME>' a une syntaxe de requête LDAP invalide
Apparaît lorsque la syntaxe LDAP pour le groupe dynamique est incorrecte. Consultez la documentation LDAP spécifique au fournisseur pour plus d'informations.
-
Le Groupe Dynamique '<GROUP_NAME>' contient des attributs d'objets utilisateur qui sont déjà appliqués automatiquement et ne devraient pas être inclus dans votre requête de groupe dynamique
Apparaît lorsque la syntaxe de requête LDAP inclut des attributs appliqués par défaut par Cato.
0 commentaire
Cet article n'accepte pas de commentaires.