Configuration du fournisseur LDAP
Configuration du fournisseur LDAP avec un attribut personnalisé pour identifier les utilisateurs dans le système cible
Par défaut, lors de l'utilisation du fournisseur de synchronisation LDAP, le compte source dans Active Directory, dans l'attribut spécifié dans le mappage de nom, contient le nom distingué du compte correspondant dans le système cible.
Cependant, il peut y avoir d'autres scénarios où, par exemple, un attribut connu du système source contient un identifiant de compte autre que le nom distingué. Dans ces cas, une recherche peut être effectuée pour trouver des comptes correspondants.
La procédure suivante décrit un exemple de cette configuration.
Scénario d'exemple
Supposons que l'attribut “employeeID” dans Active Directory pour le système source contienne le numéro de sécurité sociale des utilisateurs. Supposons que l'attribut “department” dans l'annuaire (par exemple Active Directory ou OpenLDAP) contienne également le numéro de sécurité sociale des utilisateurs.
Avertissement
Il est extrêmement important que les attributs configurés dans les “Paramètres de mappage de nom” pour le système source et l'“Attribut d'identifiant de recherche cible” pour le système cible ne soient pas modifiables par les utilisateurs. Cela compromettrait la sécurité et pourrait éventuellement permettre de réinitialiser le mot de passe d'un autre utilisateur et d'accéder à ce compte.
- Configurez les “Paramètres de mappage de nom” dans le Point de synchronisation pour utiliser un attribut personnalisé et entrez employeeID.
- Configurez l'“Attribut d'identifiant de recherche cible” pour le fournisseur Ldap à department.
- Configurez les emplacements dans l'annuaire cible où les utilisateurs peuvent être trouvés. Il est recommandé de ne pas rechercher dans tout l'annuaire, mais uniquement dans l'emplacement/les emplacements où les utilisateurs peuvent être trouvés. Si possible, n'incluez pas de chemins élevés où se trouvent des comptes à privilèges élevés. Cela devrait être un chemin LDAP valide, ou plusieurs chemins LDAP séparés par un point-virgule (;). Par exemple: LDAP://CN=users,DC=acme,DC=org ou LDAP://CN=Sales,CN=users,DC=acme,DC=org; LDAP://CN=Finance,CN=users,DC=acme,DC=org
Voir aussi la section Fournisseur LDAP sur cette page.