Gestion via un annuaire LDAP
- Aurore Bastian
- Bertrand Littel
Option annuaire LDAP
Pour utiliser l'import des associations de profils ou d'options depuis un annuaire LDAP, ce dernier doit comporter les propriétés spécifiques (syntax Unicode String) :
DIVALTOPROFILE qui devra contenir le nom abrégé du profil (par exemple ADMIN).
DIVALTOOPTIONS qui devra contenir le nom abrégé de l'option.
Ces propriétés doivent être ajoutées dans l'annuaire par son administrateur, avec l'outil d'administration de l'annuaire. Ensuite, les valeurs pour chaque utilisateur peuvent être renseignées par le choix de gestion de l'annuaire LDAP de DLMT.
Le contrôle de cohérence des associations des profils et des options s'effectue au moment de l'import.
Import depuis un annulaire LDAP
Si les utilisateurs de l'ERP sont référencés dans un annuaire LDAP (par exemple l'Active Directory de Microsoft) et que l'on souhaite soit une saisie assistée des associations, soit importer directement les associations depuis l'annuaire, il faut configurer l'accès à l'annuaire dans les options de DLMT.
Il convient de cocher la case pour activer l'option puis d'indiquer le nom du domaine. Le bouton en regard du champ Domaine permet de détecter le domaine courant.
Le champ « Filtre de base » permet de restreindre l'accès à l'annuaire pour une Unité organisationnelle (O.U.:OrganizationalUnit). Le bouton en regard de ce champ garnit les O.U. existantes dans la boîte de sélection.
Service web de synchronisation LDAP
Pour permettre à DLMT de piloter la synchronisation LDAP à distance, il est nécessaire de paramétrer un service web nommé ‘DLMT_SYNCHRO’ qui fait appel au programme a5ppdhssynchroldap.dhop. Ce service web est activé par défaut lors de l’installation OnPremise et configuré automatiquement en SaaS
En Saas, le service web est automatiquement opérationnel pour le DLMT
En On Premise, le service web est réservé à la synchronisation par DLMT. L’appel direct à ce service n’est pas autorisé. La synchro LDAP se fait depuis la console LDAP sur le serveur Harmony
Import et synchronisation des utilisateurs d'un annuaire LDAP
Informations complémentaires
Voici quelques informations complémentaire concernant la synchronisation entre l’Active Directory LDAP et l’ERP.
Dans tous les cas, c’est bien l’action de mise à jour/synchronisation LDAP qui effectue les modifications côté ERP
Fonction Active Directory | Résultat après synchro LDAP |
|---|---|
Désactivation d’un compte utilisateur | Mise à jour de l’utilisateur ERP afin de le de-activer. |
Suppression d’un compte utilisateur | Mise à jour de l’utilisateur ERP afin de le de-activer. Il n’y a pas de suppression automatique |
Création d’un compte utilisateur | Création de l’utilisateur ERP |
Expiration du compte à date | L’AD désactive l’utilisateur à la date. Ce qui revient lors de la synchronisation au cas de Désactivation |
Modifier un utilisateur (nom/prénom/nom complet) | Modification de l’utilisateur ERP |
Changement de groupe (dans un autre groupe) | Applique les paramètres du nouveau groupe (selon le modèle affecté) |
Sorti du groupe (plus aucun groupe pour l’utilisateur) | Revient lors de la synchronisation au cas de Désactivation |
Attention, actuellement une expiration AD n’est pas prise en compte par DLMT