Synchronisation automatique des comptes

Owned by Bertrand Littel
28/04/2022
5 min read

Principe de fonctionnement

Si vous disposez d'un annuaire LDAP (Active Directory) qui contient déjà les comptes des utilisateurs Infinity Cloud, vous pouvez procéder à une synchronisation périodique afin de faciliter la création des comptes mais également le suivi des modifications.
Veuillez prendre en considération les éléments ci-dessous avant d'envisager l'utilisation de ce mécanisme de synchronisation :

  • La synchronisation repose sur l'appartenance des comptes que vous souhaitez synchroniser à un groupe de sécurité présent sur votre annuaire LDAP.

    • Vous pouvez créer un groupe dédié à cet usage ou exploiter un groupe existant.

  • Un mot de passe générique sera affecté automatiquement à chaque nouveau compte qui a fait l'objet d'une synchronisation et l'information sera transmise à l'administrateur. Ce mot de passe devra obligatoirement être changé par l'utilisateur avant la première connexion.

  • Les attributs synchronisés ne pourront pas faire l'objet de modification à partir du programme DLMT. Les attributs suivants sont concernés :

    • First Name (givenname)

    • Last Name (sn)

    • Logon Name (sAMAccountName)

    • E-mail (mail)

    • Telephone Number (telephoneNumber)

  • L'utilisation de la synchronisation des comptes ne vous empêche pas de créer des comptes indépendants qui n'existent pas sur votre annuaire en utilisant la procédure décrite au chapitre 5.4.1.

  • L'identifiant 'SID' des comptes (On-Premise) est utilisé comme attribut de référence pour le suivi des modifications.

  • La gestion des paramètres des comptes (Affectation des licences, des environnements, des modèles d'utilisateurs, des accès aux applications, ...) nécessite l'usage du programme DLMT (selon Chapitre 4.5.3)

  • La désactivation ou la suppression d'un compte au niveau de votre annuaire va désactiver le compte lors de la prochaine opération de synchronisation. Si le compte disposait d'un profil de licences ou d'options de licences, vous devriez retirer cette affectation manuellement.

  • Vous pouvez planifier la synchronisation des comptes à l'intervalle souhaité et obtenir un rapport par mail lors de chaque occurrence.




Configuration et exécution manuelle

Pour atteindre la console de synchronisation Active Directory, vous devez sélectionner le menu « LDAP » puis « Synchronisation ».

L'onglet « Général » contient les paramètres de synchronisation mais offre également la possibilité d'effectuer un audit des changements ainsi qu'une synchronisation manuelle.

 

 

DOMAINE : Le domaine courant est automatiquement détecté.

GROUPES : Vous devez choisir le groupe pour lequel vous souhaitez synchroniser les membres.

 

 

 

 

 

 

 

RECHERCHER : La recherche des modifications va identifier les actions à effectuer et vous afficher la liste des opérations pour chaque compte.

SYNCHRONISER : Le bouton « Synchroniser » permet d'effectuer une synchronisation manuellement et d'obtenir le rapport.




Le rapport contient le récapitulatif des actions effectuées lors de cette session de synchronisation manuelle. Si de nouveaux utilisateurs sont créés, le mot de passe généré sera indiqué pour chaque identifiant de connexion.
Exemple :

Types d'opérations :

  • Création : Un nouveau compte figure en tant que membre du groupe de synchronisation.

  • Modification : Des attributs synchronisés d'un compte existant ont été modifiés.

  • Désactivation : Un compte a été désactivé ou supprimé ou n'est plus membre du groupe de synchronisation.

Configuration des notifications par messagerie

La définition des paramètres de messagerie s'effectue au niveau de l'onglet 'Configuration envoi d'email' et sera utilisée pour transmettre les rapports lors des synchronisations (manuelles ou automatiques).

ENVOYER UN MAIL : Vous devez activer ce paramètre pour recevoir les notifications par messagerie

 

SMTP, PORT, SSL : Définition des paramètres SMTP (Serveur, Port, SSL/TLS)

 

NOM EXPEDITEUR : Adresses de l'expéditeur et du destinataire

 

AUTHENTIFICATION : Paramètres d'authentification


Planification pour synchronisation périodique

L'onglet 'Planification' contient un assistant qui se chargera de planifier l'opération de synchronisation une fois par jour. Une tâche sera définie pour effectuer l'opération de manière récurrente. Si vous le souhaitez, vous pouvez modifier les paramètres ou désactiver cette tâche directement depuis le planificateur de tâches Windows.

  1.  

    1.  

      1. Définition des paramètres d'un compte

Lors de la création d'un nouveau compte (opération manuelle), vous pouvez compléter directement les informations concernant les autres attributs du compte. Si le compte a été créé en utilisant une synchronisation LDAP, ces éléments doivent être complétés.

  • Profil Divalto

    • Le profil Divalto correspond au type de licence que vous désirez affecter à ce compte

    • Les profils dont vous disposez sont présents dans le menu déroulant.

  • Options Divalto

    • Ce champ permet d'affecter des options de licence à un utilisateur (EBICS, EDI, ...)

    • Certaines options ne nécessitent pas d'association avec un utilisateur (Traduction, ...)

  • Accès aux applications

    • Vous avez la possibilité d'accorder l'accès aux applications par utilisateur

    • Si le modèle d'utilisateur autorise l'accès à des applications, cette valeur sera utilisée indépendamment du paramétrage au niveau du compte. Le modèle d'utilisateur 'admin' contient nativement l'accès à l'ensemble des applications contrairement au modèle 'user'.








La dernière section concerne l'appartenance des utilisateurs aux groupes.
Il existe deux types de groupe :

  • Groupe en relation avec un environnement Divalto

    • Ces groupes sont prédéfinis et disposent d'un préfixe spécifique : « _GRP_ENV »

    • Vous disposez d'autant de groupe de ce type que d'environnement sur votre site

    • Le fait d'associer un utilisateur à l'un de ces groupes lui permettra d'exploiter l'environnement concerné

    • Vous pouvez affecter plusieurs groupes de ce type à un même utilisateur afin de lui permettre d'atteindre plusieurs environnements

  • Groupe en relation avec des modèles d'utilisateurs Divalto

    • Par défaut, deux modèles d'utilisateurs Divalto sont proposés :

      • Modèle « MODLDAP_ADMIN » :

        • Ce modèle dispose des droits d'administration au niveau de l'ERP et exploite le dossier '998' (Environnement de démonstration)

        • Ce modèle exploite un fichier implicite complet pour un usage d'administration et de développement.

      • Modèle « MODLDAP_USER » :

        • Ce modèle ne dispose d'aucune confidentialité particulière au niveau de l'ERP et exploite le dossier '998' (Environnement de démonstration)

        • Ce modèle exploite un fichier implicite limité à un usage d'exploitation



  •  

    • Vous pouvez ajuster les paramètres des modèles existants mais il est fortement recommandé de créer d'autres modèles d'utilisateurs afin d'obtenir des modèles en adéquation avec vos besoins. (Cf. section suivante)

    • Vous ne pouvez spécifier qu'un seul modèle pour un même compte utilisateur.

Pour qu'un compte utilisateur soit opérationnel, vous devez au minimum lui affecter un groupe en relation avec un environnement ainsi qu'un groupe en lien avec un modèle d'utilisateur.
Exemple : Pour accorder à un compte utilisateur l'accès à l'environnement « testing » et lui affecter le modèle d'utilisateurs « admin ».