Import et synchronisation des utilisateurs d'un annuaire LDAP

Import et synchronisation des utilisateurs d'un annuaire LDAP

L'interface LDAP permet de synchroniser les utilisateurs enregistrés dans un annuaire LDAP (par exemple l'Active Directory de Microsoft) avec les utilisateurs de l'ERP Divalto.
Il assure à la fois l'import des utilisateurs de l'annuaire dans le fichier des utilisateurs de l'ERP et leur synchronisation automatique en temps réel. Ainsi :

• A l'installation de l'ERP, les utilisateurs peuvent être importés depuis l'annuaire LDAP.

• Ensuite, l'arrivée ou le départ d'un collaborateur dans l'entreprise crée ou invalide son compte automatiquement dans l'ERP, s'il est créé ou supprimé dans l'annuaire LDAP.

Si le nombre d'utilisateurs est important, cet interface accélère notablement l'administration des utilisateurs de l'ERP.
Ce chapitre montre successivement comment :

• Définir des modèles d'utilisateurs de l'ERP.

• Définir des règles de filtrage dans l'annuaire LDAP.

• Définir des règles de correspondance entre utilisateurs de l'annuaire et modèles d'utilisateurs de l'ERP.

• Définir des règles de correspondance entre propriétés de l'annuaire et champs de la fiche utilisateur de l'ERP.

• Paramétrer, lancer ou simuler une synchronisation.

• Définir un ou plusieurs services assurant la synchronisation.

• Recevoir une notification des opérations réalisées lors d'une synchronisation.

• Utiliser la console d'administration LDAP.

Modèles d'utilisateurs

L'interface LDAP nécessite la création de modèles d'utilisateurs dans l'ERP Divalto.
Un modèle est un utilisateur comme un autre, à ceci près qu'il ne peut pas être utilisé pour exécuter l'ERP.
Pour indiquer qu'un utilisateur doit servir de modèle, cochez la case "Est un modèle LDAP" dans la fiche utilisateur du zoom des utilisateurs communs de l'ERP :

Open

Le cas échéant, le champ en affichage "Modèle LDAP utilisé" précise, pour un utilisateur normal, le modèle qui lui a été appliqué lors d'un import ou d'une synchronisation.
Le zoom des utilisateurs dispose d'un filtre (case à cocher "Modèle LDAP") permettant de n'afficher que les modèles :

Open

Règles de filtrage dans l'annuaire LDAP

Définir des règles de filtrage est particulièrement intéressant lorsque tous les utilisateurs de l'annuaire LDAP ne sont pas utilisateurs de l'ERP, dans le cadre d'un annuaire LDAP mutualisé ou encore si l'on souhaite mettre à disposition un environnement de formation ou de test pour lequel tous les utilisateurs ne sont pas concernés.
Les filtres doivent être définis au niveau de l'annuaire LDAP ("Organization Units" ou OU).
On peut sélectionner un filtre au lancement de la console d'administration LDAP (multi-choix "Filtre de base") :

Règles de correspondance des utilisateurs

Les utilisateurs de l'annuaire LDAP sont importés dans la table des utilisateurs de l'ERP sur la base de règles permettant d'associer groupes d'utilisateurs dans l'annuaire et modèles d'utilisateurs dans l'ERP.
Après avoir lancé la console d'administration LDAP, cliquez sur le bouton Groupes. Le tableau affiché permet de saisir les associations. Par exemple :

Attention : L'utilisateur de la console doit disposer du droit HCO pour être autorisé à créer ou modifier ces associations.
A partir de là, tous les utilisateurs LDAP appartenant par exemple au groupe "Administratif&Achat" seront importés dans la table des utilisateurs de l'ERP avec les paramètres du modèle "DIVALTO_ADV".
Il est possible qu'un utilisateur appartienne à plusieurs groupes LDAP et qu'un conflit apparaisse pour le choix de son modèle. Dans ce cas :

• Si la case "Si conflit de modèle, prendre le premier" est cochée, c'est la première règle d'association définie pour cet utilisateur qui sera appliquée.

• Dans le cas contraire, l'utilisateur ne sera tout simplement pas importé. Au besoin, l'administrateur devra modifier les propriétés de l'utilisateur ou aménager les règles d'association.

Cette option est affichée dans le cadre Conflit de groupe en bas de l'écran.

Voir aussi : Règles de correspondance des propriétés de l'annuaire avec les champs de la fiche utilisateur de l'ERP.

Règles de correspondance des propriétés

Les données des utilisateurs de l'annuaire LDAP sont copiées dans la table des utilisateurs de l'ERP sur la base de règles permettant d'associer propriétés dans l'annuaire et champs de la fiche utilisateur de l'ERP.
Après avoir lancé la console d'administration LDAP, cliquez sur le bouton Champs. Le tableau affiché permet de saisir librement les associations. Par exemple :

Seule l'association entre une propriété LDAP (uid dans cet exemple) et le champ MUSER.USERX est obligatoire (afin de renseigner au minimum le code utilisateur Divalto).
Attention : L'utilisateur de la console doit disposer du droit HCO pour être autorisé à créer ou modifier ces associations.
A partir de là, les valeurs des propriétés LDAP nommées dans le tableau seront transférées dans les champs correspondants de la table des utilisateurs de l'ERP. A titre d'exemple, avec le tableau ci-dessus, les valeurs des propriétés LDAP name, uid, telephonenumber et mail seront respectivement placées dans les champs MUSER.NOM (Nom), MUSER.USERX (Code), MUSER.TEL (Téléphone) et MUSER.EMAIL (Mèl) de la fiche utilisateur :

Remarque importante :

• Les données spécifiées dans le tableau ne sont plus modifiables depuis le zoom des utilisateurs communs de l'ERP.

• En cas de modification dans l'annuaire LDAP, les nouvelles valeurs seront synchronisées.

• Dans un annuaire LDAP, l'administrateur est autorisé à ajouter des propriétés personnalisées. Vous pouvez utiliser cette capacité pour y déclarer des propriétés spécifiques aux utilisateurs de Divalto. Associez ici ces propriétés à des champs de la fiche utilisateur pour qu'elles soient importées et synchronisées.

Option Synchroniser les applications :

• Si vous le souhaitez, vous pouvez spécifier les droits d'accès aux applications Divalto directement dans l'annuaire LDAP (voir remarque précédente concernant la capacité à déclarer des propriétés personnalisées dans un annuaire LDAP).

• Pour que ces droits soient importés et synchronisés, cochez la case Synchronisez les applications.

• Pourquoi utiliser cette option :

• Vous avez associé le groupe d'utilisateurs LDAP GROUPE_1 au modèle d'utilisateurs MODELE_1. Dans ce modèle, vous avez globalement autorisé l'accès aux applications APPLI_1, APPLI_2, ..., APPLI_P. Par défaut, ces droits s'appliqueront donc à tous les utilisateurs du groupe GROUPE_1.

• Toutefois, quelques utilisateurs de ce groupe auront accès à l'une ou l'autre application supplémentaire ou, à l'inverse, n'auront pas accès à l'une ou l'autre application globalement autorisée.

• Plutôt que d'éclater un groupe majoritairement homogène en plusieurs groupes et modèles reflétant l'ensemble des déclinaisons possibles, spécifiez uniquement les rares différences dans une propriété spécifique de l'annuaire LDAP. Les droits ajoutés ou retirés dans l'annuaire seront prioritaires sur ceux trouvés au niveau du modèle.

• Comment la mettre en oeuvre :

• Dans l'annuaire, créer une propriété pour chaque application concernée. Par convention, le nom de cette propriété est fixée à la valeur DIVALTOCodeApplic, où CodeApplic est le nom de code de l'application (voir la table MAPPLIC). Par exemple : DIVALTODAV, DIVALTODPAIE, DIVALTODCPT, …

• Pour un utilisateur qui doit avoir accès à une application (lorsque cette application n'est pas autorisée au niveau du modèle), affectez la valeur 1 à la propriété LDAP correspondante.

• Pour un utilisateur qui ne doit pas avoir accès à une application (lorsque cette application est autorisée au niveau du modèle), affectez la valeur 0 à la propriété LDAP correspondante.

Voir aussi : Règles de correspondance des utilisateurs de l'annuaire avec les modèles d'utilisateurs de l'ERP.

Synchronisation

Synchronisation manuelle
La console LDAP permet de simuler ou exécuter une synchronisation de l'annuaire LDAP avec les utilisateurs de l'ERP.
Avant d'exécuter la synchronisation, elle pré-visualise les opérations qui seront effectuées afin de permettre à l'administrateur de vérifier que son paramétrage est correct.

• Le menu Synchronisation crée (choix Mode réel) ou simule (choix Mode audit) la création ou la mise à jour des utilisateurs dans l'ERP.

• Les choix du menu Synchronisation : Resynchroniser les modèles permettent, en mode audit ou en mode réel, de répercuter les modifications apportées à un modèle à tous les utilisateurs ayant été importés avec ce modèle. Cela concerne les confidentialités et les applications du modèle.

Synchronisation automatique
Une synchronisation automatique en temps réel peut être obtenue en activant un ou plusieurs services de synchronisation (voir la rubrique suivante).
Attention :
L'utilisateur de la console doit disposer du droit HCO pour être autorisé à lancer une synchronisation. L'utilisateur exécutant un service de synchronisation doit aussi disposer de ce droit.

Services de synchronisation

Un ou plusieurs services permettent d'automatiser la synchronisation des utilisateurs de l'annuaire LDAP avec ceux de l'ERP :

• La configuration des services s'obtient depuis la console d'administration LDAP en cliquant sur le bouton Services. Le tableau affiché permet de définir et paramétrer un ou plusieurs services :

  Ensuite, les boutons Démarrer et Arrêter permettent respectivement de lancer ou arrêter le service courant. Remarque : La synchronisation de l'annuaire s'effectue par environnement. Attention :

• Il est obligatoire de renseigner le domaine.

• L'utilisateur exécutant un service de synchronisation doit obligatoirement être dans le domaine et disposer du droit HCO.

• La périodicité des synchronisations est paramétrable (option Fréquence de rafraîchissement dans les paramètres généraux de la console d'administration).

• Un service de synchronisation lit l'annuaire LDAP à la périodicité définie en appliquant le filtrage de base. Pour chaque entrée de l'annuaire, il vérifie s'il s'agit :

• D'une création d'un nouvel utilisateur.

• D'une modification des propriétés d'un utilisateur.

• D'une modification du modèle d'un utilisateur.

• D'une suppression d'un utilisateur. Remarque : Un utilisateur supprimé dans l'annuaire n'est pas supprimé dans l'ERP mais simplement désactivé.

• Les événements et anomalies constatés lors des synchronisations sont journalisés dans un livre de bord (un fichier par environnement nommé SynchroLdap_NomEnvironnement.log et stocké dans le répertoire /Divalto/DivaltoLog). Le service signale notamment les événements suivants :

• Un utilisateur a été créé dans l'ERP avec le modèle suivant.

• Un utilisateur a été désactivé dans l'ERP :

• Suite à sa suppression dans l'annuaire LDAP.

• Car il n'est plus membre d'aucun groupe.

• Des propriétés d'un utilisateur ont été modifiées.

Le service détecte notamment les anomalies suivantes :

• Un utilisateur LDAP correspond à plusieurs modèles ou ne correspond à aucun modèle de l'ERP.

• Un utilisateur LDAP existe déjà dans l'ERP : Si cet utilisateur est actif, il est modifié pour utiliser les propriétés du modèle. S'il n'est pas actif, l'utilisateur n'est pas modifié.

• Un compte-rendu peut être notifié par courriel à un ou plusieurs administrateurs.

Notification des opérations réalisées par une synchronisation aux administrateurs

Les événements et anomalies constatés par les services de synchronisation sont journalisés dans un livre de bord (un fichier par environnement nommé SynchroLdap_NomEnvironnement.log et stocké dans le répertoire /Divalto/DivaltoLog).
De plus, un ou plusieurs administrateurs peuvent être notifiés par courriels des opérations effectuées.
Après avoir lancé la console d'administration LDAP, cliquez sur le bouton Administrateurs et ajoutez les adresses des personnes à contacter dans le tableau :

Le message de notification comporte en pièce jointe le rapport de synchronisation.
Attention : La notification par mail utilisant les fonctions Mapi, elle ne fonctionnera que si ce protocole est bien configuré dans DivaltoViewer (voir la rubrique "Utiliser le protocole MAPI pour l'envoi de mail ou de fax et le CRM" de la documentation consacrée à DivaltoViewer).

Console d'administration LDAP

La console d'administration LDAP permet, pour chaque environnement, de :

• Sélectionner une règle de filtrage de l'annuaire LDAP.

• Saisir les règles de correspondance des utilisateurs de l'annuaire avec les modèles d'utilisateurs de l'ERP.

• Saisir les règles de correspondance des propriétés de l'annuaire avec les champs de la fiche utilisateur de l'ERP.

• Paramétrer, lancer ou simuler une synchronisation.

• Activer ou désactiver un service de synchronisation.

• Saisir les adresses mail des administrateurs à notifier.

Remarque :

• Le bouton Enregistrer permet d'enregistrer immédiatement les paramètres saisis mais un enregistrement automatique est effectué à chaque changement de page et en quittant la console.

• Dans certains cas, il peut arriver que tous les groupes d'utilisateurs ne soient pas présentés par la console. Si cela produit, il faut créer une clé dans HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Divalto\divalto.ini\LDAP\Method et saisir la valeur 1.
  Attention :
  La console peut être utilisée en simple consultation sans droit particulier. Par contre, il faudra disposer du droit HCO pour être autorisé à créer ou modifier des règles de correspondance ou pour lancer une synchronisation.