Référence de configuration du fournisseur de synchronisation

Le fournisseur de synchronisation est le système avec lequel vous souhaitez synchroniser les mots de passe. Specops Password Sync est livré avec un certain nombre de fournisseurs inclus. Si vous souhaitez développer vos propres fournisseurs de synchronisation pour les systèmes utilisés par votre organisation, contactez le support Specops.

Vous trouverez ci-dessous les spécifications de configuration pour les fournisseurs inclus.

Fournisseur Active Directory

Le fournisseur Active Directory est utilisé pour synchroniser les changements de mot de passe vers un autre domaine Active Directory. L'autre domaine Active Directory peut être soit de confiance, soit non de confiance.

Remarque

Lors de la réalisation d'une synchronisation Active Directory vers Active Directory, veuillez vous référer à la page de synchronisation AD à AD pour déterminer quel fournisseur de synchronisation est le plus adapté.

Prérequis

Compte administrateur dans le domaine distant.
Communication réseau ouverte entre le serveur de synchronisation et le contrôleur de domaine cible. Cela signifie généralement que les deux ports suivants doivent être ouverts:
- tcp/389 (LDAP)
- tcp/445 (SMB)

Paramètres

Paramètre	Description
Nom du domaine ou du contrôleur de domaine	Le FQDN du domaine Active Directory distant ou d'un contrôleur de domaine dans celui-ci.
Déverrouiller l'utilisateur si verrouillé	Déverrouille automatiquement les comptes d'utilisateurs verrouillés lorsque le mot de passe est synchronisé. 1: Déverrouiller les comptes verrouillés (Valeur par défaut). 0: Ne pas déverrouiller les comptes verrouillés.
Nom d'utilisateur administrateur	Le nom du compte administrateur utilisé pour réinitialiser les mots de passe dans le domaine distant. Exemple: Exemple\Administrateur
Mot de passe du fournisseur	Le mot de passe du compte administrateur.

Fournisseur de synchronisation Windows LDAP

Le fournisseur de synchronisation Windows LDAP est utilisé pour synchroniser les mots de passe entre deux Active Directories.

Remarque

Lors de la réalisation d'une synchronisation Active Directory vers Active Directory, veuillez vous référer à la page de synchronisation AD à AD pour déterminer quel fournisseur de synchronisation est le plus adapté.

Plus d'informations sur ce fournisseur peuvent être trouvées sur la page de synchronisation AD à AD.

Prérequis

Compte administrateur sur le système distant.
Assurez-vous que le port 636 est ouvert ou configuré autrement. Le port par défaut pour LDAP chiffré SSL (LDAPs) est 636.
Certificat de contrôleur de domaine pour LDAP sur SSL/TLS (LDAP sur SSL/TLS (LDAPS) est automatiquement activé lorsque vous installez une CA racine d'entreprise sur un contrôleur de domaine).

Paramètres

Paramètre	Description
Nom du serveur	Le nom DNS du serveur LDAP distant où la synchronisation des mots de passe aura lieu.
Nom d'utilisateur administrateur	Nom d'utilisateur du compte administrateur dans le système LDAP. Le nom d'utilisateur doit être au format 'domaine\sAMAccountName'.
Mot de passe du fournisseur	Le mot de passe associé au compte administrateur spécifié dans le paramètre "Nom d'utilisateur administrateur".
Numéro de port (optionnel)	Le port réseau utilisé pour la communication avec le serveur LDAP distant. Port par défaut: 636
Attribut d'identification de recherche cible (optionnel)	Spécifie l'attribut utilisé pour identifier de manière unique les comptes d'utilisateurs dans le système cible. Cet attribut doit contenir un identifiant unique, tel qu'un numéro de sécurité sociale ou un identifiant d'employé.
Racines de recherche cible (optionnel)	Définit les points de départ pour la recherche des comptes d'utilisateurs dans le système cible. Ce sont des noms distincts (DN) spécifiant où la recherche d'utilisateurs doit commencer. Liste des noms distincts à utiliser comme racines de recherche lors de la recherche d'utilisateurs dans l'AD cible en regardant l'attribut spécifié dans l'attribut d'identification de recherche cible. Les racines doivent être spécifiées comme des chemins LDAP valides, par exemple LDAP://CN=users,DC=acme,DC=org. Si plus d'une racine est nécessaire, elles doivent être séparées par un point-virgule (;) Utilisé en conjonction avec l'attribut d'identification de recherche cible.

Fournisseur Microsoft Entra ID

Le fournisseur Microsoft Entra ID est utilisé pour synchroniser les mots de passe vers Microsoft Entra ID.

Paramètres

Paramètre	Description	Optionnel
Version de l'API Graph	Version de l'API Microsoft Graph	Oui
ID Client	ID de l'application (client)	Non
ID Client	ID de l'annuaire (client)	Non
Mot de passe du fournisseur	Valeur de la clé secrète du client	Non

Configurer une application dans Microsoft Entra ID

Connectez-vous à https://entra.microsoft.com/
Cliquez sur Microsoft Entra ID. Cela devrait vous amener à l'annuaire de votre organisation.
Cliquez sur Enregistrements d'applications.
Cliquez sur Nouvel enregistrement.
Entrez un nom pour l'application dans le champ Nom.
En utilisant les boutons radio, sélectionnez le type de compte pris en charge (Client unique ou Multiclient)
Cliquez sur Enregistrer. Dans l'écran de résumé de l'application suivant, sous la section Essentials, notez (copiez) l'ID de l'application (client) et l'ID de l'annuaire (client). Ceux-ci seront utilisés lors de la configuration du Point de synchronisation
Dans la navigation de gauche de l'écran de résumé de l'application, cliquez sur Certificats et secrets.
Cliquez sur Nouveau secret client. Entrez une description et définissez une période d'expiration à l'aide du menu déroulant Expiration, puis cliquez sur Ajouter.
Copiez et stockez la clé secrète dans la colonne Valeur pour le mot de passe. Cela sera également utilisé pour configurer le Point de synchronisation.

Remarque

Notez que cette valeur doit être collée dans le champ Mot de passe du fournisseur dans la configuration du Point de synchronisation.
Dans le centre d'administration Microsoft Entra ID (navigation la plus à gauche), cliquez sur Microsoft Entra ID, puis cliquez sur Rôles et administrateurs.
Dans la liste, cliquez sur un rôle qui sera suffisant pour réinitialiser les mots de passe.

Remarque

Pour un aperçu des rôles et de leurs autorisations, veuillez consulter Travailler avec les utilisateurs dans Microsoft Graph. Notez que le rôle minimum requis pour réinitialiser les mots de passe est le rôle Administrateur de mots de passe.
Cliquez sur Ajouter des affectations en haut. La barre latérale Ajouter des affectations s'ouvrira à droite.
Dans la zone de recherche, entrez le nom de l'application enregistrée, cliquez sur l'application dans la liste des résultats de recherche, puis cliquez sur Ajouter en bas.

Étapes suivantes

Après avoir noté et enregistré l'ID de l'application (client), l'ID de l'annuaire (client) et la valeur pour la clé secrète, créez un nouveau Point de synchronisation avec le fournisseur Microsoft Entra ID. Plus d'informations sur la création de Points de synchronisation peuvent être trouvées sur la page Administration.

Fournisseur Domino (Client Notes)

Le fournisseur Domino est utilisé pour synchroniser les mots de passe avec le mot de passe Internet du domaine.

Prérequis

Version du client Notes 5.0.2b ou ultérieure installée sur le serveur de synchronisation.
Identifiants administrateur présents dans le client Notes.
Communication réseau ouverte du serveur Specops Password Sync au serveur Domino.

Paramètres

Paramètre	Description
Adresse du serveur Domino	Le FQDN du serveur Domino.
Base de données utilisateur	La base de données qui contient les utilisateurs. Valeur par défaut: names.nsf
Vue de la base de données	La vue dans la base de données qui contient les utilisateurs. Valeur par défaut: ($VIMPeople)
Colonne de nom	Le nom de la colonne dans la vue qui contient les utilisateurs. Valeur par défaut: Nom

Fournisseur de notification par e-mail

Le fournisseur de notification par e-mail est utilisé pour déclencher l'envoi d'un e-mail personnalisé lorsque le mot de passe d'un utilisateur est modifié. Cela peut être utilisé pour une large gamme de finalités, dont l'une est l'envoi d'un SMS au dispositif mobile de l'utilisateur pour lui rappeler qu'il doit changer son mot de passe Active Sync sur le dispositif pour qu'il corresponde au nouveau mot de passe Active Directory.

Prérequis

Un serveur de messagerie doit être disponible pour envoyer des e-mails depuis le compte de service utilisé sur le serveur de synchronisation.

Paramètres

Paramètre	Description
Nom du serveur SMTP	Le FQDN du serveur SMTP à utiliser lors de l'envoi d'e-mails.
Port	Le numéro de port sur le serveur SMTP. Valeur par défaut: 25
De	L'adresse e-mail à partir de laquelle l'e-mail doit être envoyé. Prend en charge les espaces réservés.
À	L'adresse e-mail à laquelle l'e-mail doit être envoyé. Prend en charge les espaces réservés.
Sujet	Le sujet de l'e-mail. Prend en charge les espaces réservés.
Corps	Le texte du corps de l'e-mail. Prend en charge les espaces réservés.

Espaces réservés

Les champs d'e-mail dans le fournisseur de notification par e-mail prennent également en charge l'utilisation d'espaces réservés pour personnaliser le contenu de l'e-mail. Les espaces réservés peuvent être utilisés plusieurs fois dans le même champ si nécessaire.

Espace réservé	Description
%User.%	Récupère les valeurs des attributs sur l'objet utilisateur de l'utilisateur qui a déclenché le changement de mot de passe.
%Password%	Utilisé pour inclure le nouveau mot de passe dans l'e-mail envoyé par le fournisseur. Remarque: Vous ne devez utiliser cet espace réservé qu'après avoir vérifié que l'action résultante est compatible avec la politique de sécurité de l'information de votre organisation.

Fournisseur Google Apps

Le fournisseur Google apps est utilisé pour synchroniser les mots de passe avec Google Apps.

Prérequis

Accès à Google Workspace
Accès Internet sur le serveur Specops Password Sync.

Vous devrez effectuer les tâches ci-dessous dans le cadre des prérequis:

Création d'un compte de service Google apps

Allez sur console.cloud.google.com
Sélectionnez votre organisation (menu du haut) et créez un nouveau projet dans votre organisation
Donnez un nom au projet, vérifiez que l'organisation est correctement définie, puis cliquez sur Créer
Allez sur le projet que vous venez de créer en cliquant sur le lien Vous travaillez dans et en sélectionnant le projet que vous venez de créer
Dans le menu hamburger à gauche, allez sur API et services, puis allez sur Identifiants dans la navigation de gauche
Cliquez sur Créer des identifiants et sélectionnez Compte de service
Donnez un nom et une description au compte de service, puis cliquez sur Créer et continuer
Cliquez sur Terminer
Dans la section Compte de service, sélectionnez le compte de service
Notez ou enregistrez l'ID unique pour le compte de service
Cliquez sur Paramètres avancés
En bas de la page, cliquez sur Configurer l'écran de consentement OAuth
Sélectionnez le bouton radio Interne sous Type d'utilisateur
Cliquez sur Créer
Entrez une adresse e-mail de support utilisateur et une adresse e-mail de développeur
Cliquez sur Enregistrer et continuer
Dans Scopes, cliquez sur Ajouter ou supprimer des scopes
Dans la zone de texte Ajouter manuellement des scopes, ajoutez les scopes suivants:
- https://www.googleapis.com/auth/admin.directory.user
- https://www.googleapis.com/auth/admin.directory.user.readonly
Cliquez sur Ajouter au tableau, puis cliquez sur Mettre à jour
Cliquez sur Enregistrer et continuer, puis retournez à Identifiants et sélectionnez le compte de service
Sélectionnez Clés et cliquez sur le menu déroulant Ajouter une clé et sélectionnez Créer une nouvelle clé
Sélectionnez le bouton radio P12, puis cliquez sur Créer
Dans la fenêtre de confirmation, notez le mot de passe de la clé privée. Votre certificat devrait être automatiquement téléchargé.
Cliquez sur Fermer
Allez sur API et services dans la navigation de gauche
Sélectionnez API et services activés
Dans le champ de recherche, recherchez Admin SDK API
Cliquez sur Admin SDK API dans les résultats de recherche, et cliquez sur Activer
Allez sur Identifiants dans la navigation de gauche et accédez à l'onglet Permissions. Assurez-vous que le bouton Accorder l'accès est disponible

Délégation du compte de service

Allez sur admin.google.com
Dans la navigation de gauche, sélectionnez Sécurité, puis Contrôle d'accès et des données, puis Contrôles API
Assurez-vous que la case Faire confiance aux applications appartenant au domaine interne est cochée
Cliquez sur Gérer l'accès aux applications tierces
Cliquez sur le menu déroulant Ajouter une application et sélectionnez Application Oath ou ID client
Dans le champ de recherche, entrez l'ID unique pour votre compte de service (enregistré à l'étape 10 ci-dessus), puis cliquez sur Rechercher
Cliquez sur Sélectionner pour votre compte de service
Cochez les cases pour l'ID client
Cliquez sur Sélectionner
Sous Accès à l'application, sélectionnez De confiance Peut accéder à tous les services Google
Cliquez sur Configurer
Dans la navigation de gauche, allez sur Contrôles API
Cliquez sur Gérer la délégation à l'échelle du domaine
Cliquez sur Ajouter nouveau
Dans le champ ID client, entrez l'ID unique pour votre compte de service
Dans le champ OAuth, ajoutez les entrées suivantes, séparées par une virgule:
- https://www.googleapis.com/auth/admin.directory.user
- https://www.googleapis.com/auth/admin.directory.user.readonly
Cliquez sur Autoriser

Importation du certificat sur tous les serveurs de synchronisation exécutant le Point de synchronisation Google App

Exécutez MMC.exe.
Sélectionnez Fichier et cliquez sur Ajouter/Supprimer un composant logiciel enfichable…
Sélectionnez Certificats parmi les composants logiciels enfichables disponibles, et cliquez sur Ajouter.
Sélectionnez Compte d'ordinateur dans la boîte de dialogue du composant logiciel enfichable Certificats, et cliquez
Assurez-vous que Ordinateur local est sélectionné, et cliquez sur Terminer.
Dans le volet gauche de la fenêtre Console Root, développez Certificats.
Cliquez avec le bouton droit sur Personnel, sélectionnez Toutes les tâches, et cliquez sur Importer.
Suivez les instructions à l'écran dans l'Assistant Importation de certificat, et cliquez sur Terminer lorsque terminé.
- Remarque: Dans les options d'importation, assurez-vous que la case Marquer cette clé comme exportable est cochée.
Dans le volet gauche de la fenêtre Console Root, développez Certificats.
Développez Personnel, et cliquez sur Certificats.
Dans la liste des certificats, localisez et double-cliquez sur le certificat nouvellement créé.
Dans la boîte de dialogue Certificat, cliquez sur Détails
Faites défiler la liste des champs, et cliquez sur Empreinte.
Copiez les caractères hexadécimaux de la boîte.

Configuration du Point de synchronisation

Ouvrez les outils d'administration Specops Password Sync.
Cliquez sur Points de synchronisation.
Sélectionnez le fournisseur Google App et cliquez sur Modifier.

Remarque

Le fournisseur Google App n'apparaîtra que si le point de synchronisation existe déjà.
Cliquez sur Sélectionner et configurer le fournisseur.
Configurez les paramètres suivants et cliquez sur OK.

Paramètre	Description
Adresse e-mail du compte administrateur	Le compte de connexion qui sera utilisé pour effectuer le changement de mot de passe dans votre domaine Google Apps.
Empreinte du certificat	Empreinte du certificat pour le certificat généré par Google.
Adresse e-mail du compte de service	L'adresse e-mail du compte de service Google apps se terminant par @developer.gservice.com

IBM Connections

Le fournisseur IBM Connections est utilisé pour synchroniser les mots de passe vers IBM Connections.

Prérequis

Compte IBM Connections avec les rôles Administrateur ou Assistant Administrateur.

Paramètres

Paramètre	Description
Compte d'administration	L'adresse e-mail associée au compte IBM Connections.
URL	L'URL de l'API IBM Connections. ex: `https://apps.na.collabserv.com/api/bss`
Mot de passe du fournisseur	Le mot de passe associé au compte d'administration
Répéter le mot de passe	Le mot de passe associé au compte d'administration

Fournisseur Kerberos

Le fournisseur Kerberos est utilisé pour synchroniser les mots de passe vers les systèmes basés sur Kerberos.

Remarque

Lors de la réalisation d'une synchronisation Active Directory vers Active Directory, veuillez vous référer à la page de synchronisation AD à AD pour déterminer quel fournisseur de synchronisation est le plus adapté.

Prérequis

Compte administrateur avec les permissions pour réinitialiser les mots de passe dans le domaine Kerberos des utilisateurs cibles.
Communication réseau ouverte du serveur Specops Password Sync au serveur Kerberos.

Paramètres

Paramètre	Description
Domaine cible	Le domaine Kerberos où se trouve le compte cible.
Adresse KDC	L'adresse du KDC Kerberos à contacter. Ce champ est optionnel.
Domaine administrateur	Le domaine Kerberos où se trouve le compte administrateur.
Nom d'utilisateur administrateur	Le nom d'utilisateur du compte administrateur.
Mot de passe du fournisseur	Le mot de passe du compte administrateur.

Fournisseur LDAP

Le fournisseur LDAP est utilisé pour synchroniser les mots de passe vers des systèmes LDAP distants, tels qu'OpenLdap ou Microsoft Active Directory Lightweight Services (AD LDS). Si le serveur cible est un Active Directory Microsoft complet, le fournisseur Active Directory doit être utilisé.

C'est parce que le fournisseur Active Directory complet prend en charge plusieurs contrôleurs de domaine et prend également en charge le déverrouillage des comptes s'ils sont verrouillés sur le domaine distant. Il est également entièrement chiffré.

Remarque

Lors de la réalisation d'une synchronisation Active Directory vers Active Directory, veuillez vous référer à la page de synchronisation AD à AD pour déterminer quel fournisseur de synchronisation est le plus adapté.

Prérequis

Compte administrateur dans le système distant.
Communication réseau ouverte entre le serveur de synchronisation et le serveur distant. Cela signifie généralement que l'un des deux ports suivants doit être ouvert:
- tcp/389 (LDAP non chiffré SSL)
- tcp/636 (LDAP chiffré SSL)

Paramètres

Paramètre	Description
Nom du serveur	Le nom du serveur LDAP distant.
Numéro de port	Le numéro de port à utiliser lors de la prise de contact avec le serveur LDAP distant. Port par défaut: 636
Type d'authentification	Peut être configuré sur l'un des éléments suivants: - Basic: Utilise l'authentification de base avec nom d'utilisateur/mot de passe. Ne doit être utilisé que pour les tests. - BasicSsl: Utilise l'authentification de base avec nom d'utilisateur/mot de passe sur SSL. Peut être utilisé en production contre un serveur OpenLDAP. Pour utiliser ce type d'authentification, vous devez configurer le certificat du serveur utilisé, afin que le point de synchronisation sache qu'il s'agit d'un serveur de confiance. - Negotiate: Utilise le meilleur algorithme qui chiffre et vérifie l'intégrité des changements de mot de passe vers le serveur LDAP. Ceci est utilisé si le serveur LDAP est de confiance Kerberos avec le serveur de synchronisation en cours d'utilisation.
Empreinte numérique de certificat valide	L'empreinte numérique du certificat du serveur. Laisser ce champ vide signifie que tout certificat sera accepté (non recommandé). Pour déterminer l'empreinte numérique du certificat du serveur, tapez “xyz” comme “Empreinte numérique de certificat de serveur valide” et tentez une réinitialisation. Le message d'erreur dans l'outil de test (ou le journal des événements de l'application) contiendra l'empreinte numérique. L'empreinte numérique est une chaîne hexadécimale et peut ou non contenir des séparateurs “:”. Remarque: Ce paramètre n'est applicable que pour l'authentification Basic Ssl.
Nom de l'attribut	Le nom de l'attribut utilisateur dans le système LDAP où le mot de passe est stocké. Ce paramètre est utilisé conjointement avec “Convertir en Unicode.” Valeur par défaut: unicodePwd.
Format de mot de passe	Détermine comment le mot de passe envoyé au système cible doit être encodé. Valeurs possibles: - QuotedUnicode (Ajoute des guillemets au mot de passe, puis envoie des octets Unicode au système cible. Cela doit être utilisé lors de la synchronisation avec un autre Active Directory Microsoft.) - Unicode (Envoie des octets Unicode au système cible.) - Utf8 (Envoie des octets Utf8 au système cible.)
Nom d'utilisateur administrateur	Nom d'utilisateur du compte administrateur dans le système LDAP. Le nom d'utilisateur doit être au format de nom distingué (CN=admin, DC=example, DC=com).
Mot de passe du fournisseur	Le mot de passe du compte administrateur.
Attribut d'identifiant de recherche cible	Par défaut, un chemin LDAP absolu est fourni pour identifier le compte cible. Si le système source manque d'informations sur le chemin LDAP, il est possible de rechercher le compte cible en faisant correspondre un attribut à la place. Ce paramètre spécifie le nom de l'attribut à comparer pour une telle recherche. Nom de l'attribut à faire correspondre dans le système cible. Cet attribut sur les utilisateurs dans le système cible doit contenir un identifiant unique dans ce répertoire, par exemple un numéro de sécurité sociale ou un numéro d'employé. Cet attribut dans le système cible sera comparé à ce qui a été configuré dans le Mapping de Nom. AVERTISSEMENT ! Il est extrêmement important que les attributs configurés dans les "paramètres de mapping de nom" pour le système source et l'"Attribut d'identifiant de recherche cible" pour le système cible ne soient pas modifiables par les utilisateurs. Cela compromettrait la sécurité et pourrait éventuellement permettre de réinitialiser le mot de passe d'un autre utilisateur et d'accéder à ce compte. Utilisé conjointement avec les Racines de Recherche Cible. Notez que si l'identifiant dans le système source est un nom distingué dans le système cible, il n'est pas nécessaire de configurer l'Attribut d'identifiant de recherche cible ou les Racines de Recherche Cible, car le compte dans le système cible est directement identifiable par ce nom distingué.
Supposer que le répertoire cible est Active Directory	Remarque ! *Ceci est uniquement utilisé si l'Attribut d'identifiant de recherche cible a été configuré.* Réglez sur true si la cible est Microsoft Active Directory, sinon false. Régler sur true forcera la requête LDAP à inclure "(objectCategory=user)(objectCategory=person)(sAMAccountName=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(userAccountControl:1.2.840.113556.1.4.803:=512)"
Condition supplémentaire dans la recherche LDAP	Remarque ! *Ceci est uniquement utilisé si l'Attribut d'identifiant de recherche cible a été configuré.* Si défini, la valeur de cette chaîne sera combinée avec la recherche de l'attribut cible comme condition LDAP lors de la recherche du compte cible. Le schéma dépend du système cible LDAP, mais pourrait, par exemple, exclure les comptes désactivés de la recherche ou ne rechercher qu'un département spécifique, par exemple "(&(enabled=true)(department=finance))".
Racines de Recherche Cible	Liste des noms distingués à utiliser comme racines de recherche lors de la recherche d'utilisateur dans le système cible en regardant l'attribut spécifié dans l'Attribut d'identifiant de recherche cible. Les racines doivent être spécifiées comme des chemins LDAP valides, par exemple LDAP://CN=users,DC=acme,DC=org. Si plus d'une racine est nécessaire, elles doivent être séparées par un point-virgule (;) Utilisé conjointement avec l'Attribut d'identifiant de recherche cible.

Remarque

Specops recommande d'utiliser le fournisseur Active Directory pour synchroniser les mots de passe avec les Active Directories distants. Si vous devez utiliser le fournisseur LDAP contre Active Directory, le Nom d'utilisateur administrateur doit être spécifié au format Nom de compte SAM au lieu du DN du compte administrateur.

Configurations d'exemple

Open Ldap Non-SSL (non pour une utilisation en production)

Si la cible est un serveur OpenLdap configuré pour utiliser l'authentification de base (texte clair), configurez avec:

Nom du serveur: Nom DNS du serveur LDAP
Numéro de port: Typiquement 389
Type d'authentification: Basic
Nom de l'attribut: userPassword
Format de mot de passe: Utf8
Le système cible est Active Directory: false

L'utilisateur cible doit être formaté en DN (utiliser un mapping de nom approprié).

OpenLdap SSL

Si la cible est un serveur OpenLdap configuré pour utiliser SSL, configurez avec:

Nom du serveur: Nom DNS du serveur LDAP
Numéro de port: Typiquement 636
Type d'authentification: BasicSsl
Empreinte numérique de certificat valide: Chaîne hexadécimale de l'empreinte numérique du certificat du serveur (40 chiffres hexadécimaux)

Remarque: Il ne suffit pas d'utiliser un certificat de confiance. L'empreinte numérique du certificat du serveur doit être configurée dans le point de synchronisation.

Nom de l'attribut: UserPassword
Format de mot de passe: Utf8

Services de répertoire léger Active Directory

Si le serveur cible est un serveur de services légers Active Directory, configurez avec:

Serveur: Nom d'un DC
Numéro de port: Typiquement 389
Type d'authentification: Negotiate
Nom de l'attribut: UnicodePWD
Format de mot de passe: QuotedUnicode
Nom d'utilisateur administrateur: Administrateur (nom simple sans domaine)

Remarque

L'utilisateur cible doit être formaté en DN.

Fournisseur de comptes locaux

Le fournisseur de comptes locaux est utilisé pour réinitialiser les mots de passe des comptes d'utilisateurs locaux sur un ordinateur spécifique.

Prérequis

Compte administrateur pour l'ordinateur cible.
Communication réseau ouverte depuis le serveur Specops Password Sync vers l'ordinateur cible.

Paramètres

Paramètre	Description
Compte administrateur	Le nom d'utilisateur du compte administrateur.
Nom de l'ordinateur	Le nom de l'ordinateur cible
Mot de passe du fournisseur	Le mot de passe du compte administrateur.

Fournisseur de services en ligne Microsoft [Obsolète]

Remarque

Le fournisseur de services en ligne Microsoft est obsolète. Pour la compatibilité avec les versions antérieures, veuillez utiliser le fournisseur Microsoft Entra ID.

Le fournisseur de services en ligne Microsoft est utilisé pour synchroniser les mots de passe avec les services en ligne Microsoft, tels que Office 365.

Prérequis

Les composants suivants des services en ligne Microsoft doivent être installés sur le serveur Specops Password Sync:
- Microsoft Entra PowerShell pour Graph.
Accès Internet sur le serveur Specops Password Sync.

Paramètres

Paramètre	Description
Compte administrateur	Le nom d'utilisateur du compte administrateur.
Mot de passe du fournisseur	Le mot de passe du compte administrateur.

Fournisseur Microsoft SQL Server

Le fournisseur Microsoft SQL Server est utilisé pour synchroniser les mots de passe avec les utilisateurs du serveur MS SQL.

Prérequis

Compte administrateur authentifié SQL Server (l'authentification Windows n'est pas prise en charge).
Comptes d'utilisateurs SQL Server (les comptes stockés dans des bases de données personnalisées ne sont pas pris en charge).
Communication réseau ouverte entre le serveur Specops Password Sync et le serveur MS SQL cible.
Outils SQL Server Management Studio installés sur le serveur de synchronisation.

Paramètres

Paramètre	Description
Serveur SQL	Le nom du serveur MS SQL cible.
Nom d'utilisateur administrateur	Le nom d'utilisateur du compte administrateur.
Mot de passe du fournisseur	Le mot de passe du compte administrateur.

Fournisseur de base de données Oracle

Le fournisseur de base de données Oracle est utilisé pour synchroniser les mots de passe avec les utilisateurs de la base de données Oracle.

Prérequis

Le fournisseur est conçu pour Oracle 11g, mais peut également fonctionner sur d'autres versions.
Compte administrateur Oracle.
Utilisateurs authentifiés Oracle

Remarque

Les comptes stockés dans des bases de données personnalisées ne sont pas pris en charge.
Oracle Data Provider for .NET 4 doit être installé sur le serveur Specops Password Sync.

Paramètre

Description

Serveur de base de données

Voici le format de la source de données:
(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=MyHost)(PORT=MyPort))(CONNECT_DATA=(SERVICE_NAME=MyOracleSID)))Vous devrez changer la valeur des éléments surlignés ci-dessus par la valeur du fichier tnsnames.ora. Vous pouvez trouver ce fichier dans le répertoire ORACLE HOME\NETWORK\ADMIN.
Voici un exemple de fichier tnsnames.ora:ORACLR_CONNECTION_DATA =(DESCRIPTION =(ADDRESS_LIST =(ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC1521)))(CONNECT_DATA =(SID = CLRExtProc)

(PRESENTATION = RO)

)

ORCL =

(DESCRIPTION =

(ADDRESS = (PROTOCOL = TCP)(HOST = SRV04.shrek.qa)(PORT = 1521))

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = orcl.shrek.qa)

)

La source de données devrait ressembler à ceci après avoir ajouté les valeurs correspondantes du fichier tnsnames.ora.

(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=

SRV04.shrek.qa)(PORT=1521))(CONNECT_DATA=(SERVICE_NAME=

orcl.shrek.qa)))

Nom d'utilisateur administrateur

Le nom d'utilisateur du compte administrateur.

Mot de passe du fournisseur

Le mot de passe du compte administrateur.

Fournisseur Salesforce

Le fournisseur Salesforce est utilisé pour synchroniser les mots de passe avec Salesforce.

Prérequis

Compte administrateur dans le Salesforce cible.
Jeton de sécurité Salesforce valide pour le compte administrateur. Le jeton de sécurité pour le compte administrateur devrait vous avoir été envoyé par e-mail lorsque vous avez configuré votre compte Salesforce ou la dernière fois que vous avez réinitialisé votre mot de passe. Si vous ne trouvez pas cet e-mail, vous devrez réinitialiser le jeton.

Pour obtenir ou réinitialiser votre jeton de sécurité:

En haut de n'importe quelle page Salesforce, cliquez sur la flèche vers le bas à côté de votre nom. Dans le menu sous votre nom, sélectionnez Configuration ou Mes paramètres—celui qui apparaît.
Dans le volet de gauche, sélectionnez l'une des options suivantes:
- Si vous avez cliqué sur Configuration, sélectionnez Mes informations personnelles| Réinitialiser mon jeton de sécurité.
- Si vous avez cliqué sur Mes paramètres, sélectionnez Personnel| Réinitialiser mon jeton de sécurité.
Cliquez sur Réinitialiser le jeton de sécurité Le nouveau jeton de sécurité est envoyé par e-mail à l'adresse e-mail de votre enregistrement utilisateur Salesforce. Conservez cet e-mail. Votre jeton de sécurité n'est pas affiché dans vos paramètres ou votre profil.

Remarque

Ce jeton est modifié chaque fois que le mot de passe du compte administrateur est modifié.

Paramètres

Paramètre	Description
URL	L'URL de l'API Salesforce.com. Valeur par défaut: `https://login.salesforce.com/services/Soap/c/23.0`
Nom d'utilisateur administrateur	Le nom d'utilisateur du compte administrateur.
Mot de passe du fournisseur	Le mot de passe et le jeton de sécurité. Ex. Par exemple, si votre mot de passe est “monMotDePasse” et votre jeton de sécurité est “XXXX”, vous entrerez “monMotDePasseXXXX”

Fournisseur SAP

Le fournisseur SAP est utilisé pour synchroniser les mots de passe avec les comptes d'utilisateurs dans les systèmes SAP.

Prérequis

Compte administrateur dans l'environnement SAP cible.
SAP .Net Connector 3.0 pour .Net 4.0 doit être installé sur le serveur Specops Password Sync.

Remarque

Si SAP n'apparaît pas dans la liste des fournisseurs de synchronisation disponibles lors de la configuration de la portée, copiez les fichiers .dll suivants du répertoire du programme SAP.NetConnector (par exemple C:\Program Files\SAP\SAP_DotNetConnector3_Net40_x64) vers C:\Program Files\Specopssoft\Specops Password Sync\Server\Providers\SAP sur le serveur de synchronisation, puis redémarrez le service. Fichiers à copier:

libicudecnumber.dll
rscp4n.dll
sapnco.dll
sapnco_utils.dll

Remarque:

Le SAP.Net Connector a une dépendance au redistribuable Visual C++ 2010 que l'installateur SAP ne gère pas. Si ce composant n'a pas été installé dans le cadre d'un autre package, le fournisseur échouera avec le message d'erreur suivant: “Impossible de charger le fichier ou l'assembly ‘sapnco_utils.dll’ ou l'une de ses dépendances. Le module spécifié est introuvable.”
L'installation de KB2365063- Mise à jour de sécurité MFC du package redistribuable Microsoft Visual C++ 2010 Service Pack 1 résoudra le problème.

Paramètres

Paramètre	Description
Adresse du serveur SAP	FQDN du serveur SAP où le mot de passe doit être modifié.
ID du système	L'ID du système dans SAP (par exemple 00)
ID du client	L'ID du client dans SAP (par exemple 100)
Nom d'utilisateur administrateur	Le nom d'utilisateur du compte administrateur
Mot de passe du fournisseur	Le mot de passe du compte administrateur

Fournisseur de service Windows

Le fournisseur de service Windows est utilisé pour mettre à jour le mot de passe utilisé dans un service Windows lorsque le mot de passe du compte de service de domaine est modifié. Le fournisseur trouvera tous les services s'exécutant sous le compte de domaine sur le serveur cible et définira le nouveau mot de passe sur eux.

Prérequis

Compte administrateur sur le serveur cible.
Communication réseau ouverte entre le serveur Specops Password Sync et le serveur cible.

Paramètres

Paramètre	Description
Compte administrateur	Le nom d'utilisateur du compte administrateur qui sera utilisé pour changer le mot de passe sur le serveur distant.
Nom du serveur	Le nom du serveur cible où le service est en cours d'exécution.
Mot de passe du fournisseur	Le mot de passe du compte administrateur.