Référence de configuration du fournisseur de synchronisation

Le fournisseur de synchronisation est le système avec lequel vous souhaitez synchroniser les mots de passe. Specops Password Sync dispose d’un certain nombre de fournisseurs inclus. Si vous souhaitez développer vos propres fournisseurs de synchronisation pour les systèmes utilisés par votre organisation, contactez le service d’assistance Specops.

Vous trouverez ci-dessous les configurations requises pour les fournisseurs inclus.

Fournisseur Active Directory

Le fournisseur Active Directory est utilisé pour synchroniser les changements de mot de passe vers un autre domaine Active Directory. L’autre domaine Active Directory peut être approuvé ou non approuvé.

Conditions préalables

  • Compte d’administrateur sur le domaine distant.
  • Communication réseau ouverte entre le serveur de synchronisation et le contrôleur de domaine cible. Cela signifie généralement que les deux ports suivants doivent être ouverts :
    • TCP/389 (LDAP)
    • TCP/445 (SMB)

Paramètres

Paramètre Description
Nom de domaine ou de contrôleur de domaine Le nom de domaine complet du domaine Active Directory distant ou d’un contrôleur de domaine qu’il contient.
Déverrouiller l’utilisateur si verrouillé Déverrouille automatiquement les comptes d’utilisateurs verrouillés lorsque le mot de passe est synchronisé.
1 : Déverrouiller les comptes verrouillés (valeur par défaut).
0 : Ne pas déverrouiller les comptes verrouillés.
Nom d’utilisateur d’administrateur Nom du compte d’administrateur utilisé pour réinitialiser les mots de passe dans le domaine distant.
Exemple : Exemple\Administrateur
Mot de passe du fournisseur Le mot de passe du compte administrateur.

Fournisseur Microsoft Entra ID

Le fournisseur Microsoft Entra ID est utilisé pour synchroniser les mots de passe avec Microsoft Entra ID.

Paramètres

Paramètre Description Facultatif
Version de l’API Graph Version de l’API Microsoft Graph Oui
ID de client ID de l’application (client) Non
ID de locataire ID de répertoire (locataire) Non
Mot de passe du fournisseur Valeur de la clé secrète client Non

Configuration d’une application dans Microsoft Entra ID

  1. Identifiez-vous sur https://entra.microsoft.com/
  2. Cliquez sur Microsoft Entra ID. Ceci devrait vous conduire au répertoire de votre organisation.
  3. Cliquez sur Inscriptions des applications.
  4. Cliquez sur Nouvelle inscription.
  5. Saisissez un nom pour l’application dans le champ Nom.
  6. À l’aide des boutons radio, sélectionnez le type de compte pris en charge (locataire unique ou multilocataire).
  7. Cliquez sur S’inscrire. Sur l’écran récapitulatif de l’application suivant, sous la section Éléments principaux, notez (copiez) l’ID de l’application (client) et l’ID de l’annuaire (locataire). Ceux-ci seront utilisés lors de la configuration du point de synchronisation.
  8. Dans la barre de navigation de gauche de l’écran récapitulatif de l’application, cliquez sur Certificats et clés secrètes.
  9. Cliquez sur Nouvelle clé secrète client. Saisissez une description et définissez une période d’expiration à l’aide de la liste déroulante Expiration, puis cliquez sur Ajouter.
  10. Copiez et stockez la clé secrète dans la colonne Valeur pour le mot de passe. Ceci sera également utilisé pour de la configuration du point de synchronisation.
    REMARQUE
    Veuillez noter que cette valeur doit être collée dans le champ Mot de passe du fournisseur dans la configuration du point de synchronisation.
  11. Dans la barre de navigation de gauche du centre d’administration Microsoft Entra ID (la plus à gauche), cliquez sur Microsoft Entra ID, puis cliquez sur Rôles et administrateurs.
  12. Dans la liste, cliquez sur un rôle qui sera suffisant pour réinitialiser les mots de passe.
    REMARQUE
    Pour une vue d’ensemble des rôles et de leurs autorisations, veuillez consulter Utilisation des utilisateurs dans Microsoft Graph. Veuillez noter que le rôle minimum requis pour la réinitialisation des mots de passe est le rôle d’Administrateur de mots de passe.
  13. Cliquez sur Ajouter des affectation en haut. La barre latérale Ajouter des affectations s’ouvrira sur la droite.
  14. Dans la zone de recherche, saisissez le nom de l’application enregistrée, cliquez sur l’application dans la liste des résultats de la recherche, puis cliquez sur Ajouter en bas.

Étapes suivantes

Après avoir noté et enregistré l’ID de l’application (client), l’ID de l’annuaire (locataire) et la valeur de la clé secrète, créez un nouveau point de synchronisation avec le fournisseur Microsoft Entra ID. Vous trouverez plus d’informations concernant la création de points de synchronisation sur la page Administration.

Fournisseur Domino (Client Notes)

Le fournisseur Domino est utilisé pour synchroniser les mots de passe avec le mot de passe Internet du domaine.

Conditions préalables

  • Client Notes version 5.0.2b ou ultérieure installé sur le serveur de synchronisation.
  • Informations d’identification d’administrateur présentes dans le client Notes.
  • Communication réseau ouverte entre le serveur Specops Password Sync et le serveur Domino.

Paramètres

Paramètre Description
Adresse vers le serveur Domino Nom de domaine complet du serveur Domino.
Base de données utilisateur La base de données contenant les utilisateurs.
Valeur par défaut : names.nsf
Affichage de la base de données L’affichage de la base de données contenant les utilisateurs.
Valeur par défaut : ($VIMPeople)
Colonne Nom Le nom de la colonne de l’affichage contenant les utilisateurs.
Valeur par défaut : Nom

Remarque : Pour plus d’informations sur la configuration du service Web Domino, veuillez consulter Domino pour Specops Password Sync.

Fournisseur de notification par e-mail

Le fournisseur de notification par e-mail est utilisé pour déclencher l’envoi d’un e-mail personnalisé lorsque le mot de passe d’un utilisateur est changé. Ceci peut être utilisé à diverses fins, dont l’envoi d’un SMS à l’appareil mobile de l’utilisateur pour lui rappeler qu’il doit modifier son mot de passe Active Sync sur l’appareil afin qu’il corresponde au nouveau mot de passe Active Directory.

Conditions préalables

  • Un serveur de messagerie doit être disponible pour envoyer des e-mails à partir du compte de service utilisé sur le serveur de synchronisation.

Paramètres

Paramètre Description
Nom du serveur SMTP Le nom de domaine complet du serveur SMTP à utiliser lors de l’envoi d’e-mails.
Port Le numéro de port sur le serveur SMTP.
Valeur par défaut : 25
De L’adresse e-mail à partir de laquelle l’e-mail doit être envoyé.
Prend en charge les espaces réservés.
À L’adresse e-mail à laquelle l’e-mail doit être envoyé.
Prend en charge les espaces réservés.
Objet L’objet de l’e-mail.
Prend en charge les espaces réservés.
Corps Le corps du texte de l’e-mail.
Prend en charge les espaces réservés.

Espaces réservés

Les champs d’e-mail du fournisseur de notification par e-mail prennent également en charge l’utilisation d’espaces réservés pour personnaliser le contenu de l’e-mail. Les espaces réservés peuvent être utilisés plusieurs fois dans le même champ si nécessaire.

Espace réservé Description
%User.% Récupère les valeurs des attributs sur l’objet utilisateur de l’utilisateur ayant déclenché le changement de mot de passe.
%Password% Utilisé pour inclure le nouveau mot de passe dans l’e-mail envoyé par le fournisseur.
Remarque : Vous ne devez utiliser cet espace réservé qu’après avoir vérifié que l’action résultante est compatible avec la stratégie de sécurité des informations de votre organisation.

Fournisseur Google Apps

Le fournisseur Google Apps est utilisé pour synchroniser les mots de passe avec Google Apps.

Conditions préalables

  • Accès à l’espace de travail Google
  • Accès à Internet sur le serveur Specops Password Sync.

Vous devrez effectuer les tâches ci-dessous dans le cadre des conditions préalables :

Créer un compte de service Google Apps

  1. Accédez à console.cloud.google.com
  2. Sélectionnez votre organisation (menu supérieur) et créez un nouveau projet dans votre organisation.
  3. Donnez un nom au projet, vérifiez que l’organisation est correctement définie, puis cliquez sur Créer.
  4. Accédez au projet que vous venez de créer en cliquant sur le lien Vous travaillez sur et en sélectionnant le projet que vous venez de créer.
  5. Dans le menu hamburger à gauche, accédez à API et services, puis accédez à Informations d’identification dans la barre de navigation de gauche.
  6. Cliquez sur Créer des informations d’identification et sélectionnez Compte de service.
  7. Donnez un nom et une description au compte de service, puis cliquez sur Créer et continuer.
  8. Cliquez sur Terminé.
  9. Dans la section Compte de service, sélectionnez le compte de service.
  10. Notez ou enregistrez l’Identifiant unique du compte de service.
  11. Cliquez sur Paramètres avancés.
  12. En bas de la page, cliquez sur Configurer l’écran de consentement OAuth.
  13. Sélectionnez le bouton radio Interne sous Type d’utilisateur.
  14. Cliquez sur Créer
  15. Saisissez une adresse e-mail d’assistance utilisateur et une adresse e-mail de développeur.
  16. Cliquez sur Enregistrer et continuer.
  17. Dans Étendues, cliquez sur Ajouter ou supprimer des étendues.
  18. Dans la zone de texte Ajouter des étendues manuellement, ajoutez les étendues suivantes :
    • https://www.googleapis.com/auth/admin.directory.user
    • https://www.googleapis.com/auth/admin.directory.user.readonly
  19. Cliquez sur Ajouter au tableau, puis sur Mettre à jour.
  20. Cliquez sur Enregistrer et continuer, puis revenez aux Informations d’identification et sélectionnez le compte de service.
  21. Sélectionnez Clés, puis cliquez sur le menu déroulant Ajouter une clé et sélectionnez Créer une nouvelle clé.
  22. Sélectionnez le bouton radio P12, puis cliquez sur Créer.
  23. Dans la fenêtre de confirmation, notez le mot de passe de la clé privée. Votre certificat devrait être téléchargé automatiquement.
  24. Cliquez sur Fermer.
  25. Accédez à API et services dans la barre de navigation de gauche.
  26. Sélectionnez API et services activés.
  27. Dans le champ de recherche, recherchez API Administrateur SDK.
  28. Cliquez sur API Administrateur SDK dans les résultats de la recherche, puis sur Activer.
  29. Accédez aux Informations d’identification dans la barre de navigation de gauche et accédez à l’onglet Autorisations. Vérifiez que le bouton Accorder l’accès est disponible.

Délégation du compte de service

  1. Accédez à admin.google.com
  2. Dans la barre de navigation de gauche, sélectionnez Sécurité, puis Contrôle d’accès et de données, puis Contrôles API.
  3. Vérifiez que la case Approuver les applications appartenant au domaine interne est cochée
  4. Cliquez sur Gérer l’accès aux applications tierces.
  5. Cliquez sur le menu déroulant Ajouter une application et sélectionnez Application Oath ou ID de client.
  6. Dans le champ de recherche, saisissez l’Identifiant unique de votre compte de service (enregistré à l’étape 10 ci-dessus), puis cliquez sur Rechercher.
  7. Cliquez sur Sélectionner pour votre compte de service.
  8. Cochez les cases pour l’ID de client
  9. Cliquez sur Sélectionner
  10. Sous Accès aux applications, sélectionnez Approuvé Peut accéder à tous les services Google.
  11. Cliquez sur Configurer.
  12. Dans la barre de navigation de gauche, accédez aux Contrôles API.
  13. Cliquez sur Gérer la délégation à l’échelle du domaine.
  14. Cliquez sur Ajouter nouveau.
  15. Dans le champ ID de client, saisissez l’identifiant unique de votre compte de service.
  16. Dans le champ OAuth, ajoutez les entrées suivantes, séparées par une virgule :
    • https://www.googleapis.com/auth/admin.directory.user
    • https://www.googleapis.com/auth/admin.directory.user.readonly
  17. Cliquez sur Autoriser.

Importez le certificat sur tous les serveurs de synchronisation exécutant le point de synchronisation Google App

  1. Exécutez MMC.exe.
  2. Sélectionnez Fichier puis cliquez sur Ajouter/Supprimer un composant logiciel enfichable…
  3. Sélectionnez Certificats dans les composants logiciels enfichables disponibles, puis cliquez sur Ajouter.
  4. Sélectionnez Compte d’ordinateur dans la boîte de dialogue du composant logiciel enfichable Certificats, puis cliquez sur
  5. Assurez-vous que Ordinateur local est sélectionné, puis cliquez sur Terminer.
  6. Dans le volet gauche de la fenêtre Racine de la console, développez Certificats.
  7. Effectuez un clic droit sur Personnel, sélectionnez Toutes les tâches, puis cliquez sur Importer.
  8. Suivez les instructions à l’écran dans l’assistant d’importation de certificat, puis cliquez sur Terminer lorsque vous avez terminé.
    Remarque : Dans les options d’importation, assurez-vous que l’option Marquer cette clé comme exportable est cochée.
  9. Dans le volet gauche de la fenêtre Racine de la console, développez Certificats.
  10. Développez Personnel, puis cliquez sur Certificats.
  11. Dans la liste des certificats, recherchez et effectuez un double-clic sur le certificat nouvellement créé.
  12. Dans la boîte de dialogue Certificat, cliquez sur Informations
  13. Faites défiler la liste des champs et cliquez sur Empreinte numérique.
  14. Copiez les caractères hexadécimaux de la boîte.

Configuration du point de synchronisation

  1. Ouvrir l’outil d’administration de Specops Password Sync.
  2. Cliquez sur Points de synchronisation.
  3. Sélectionnez le fournisseur Google Apps et cliquez sur Modifier.
    REMARQUE
    Le fournisseur Google Apps n’apparaîtra que si le point de synchronisation existe déjà.
  4. Cliquez sur Sélectionner et configurer le fournisseur.
  5. Configurez les paramètres suivants et cliquez sur OK.
Paramètre Description
Adresse e-mail du compte administrateur Le compte de connexion qui sera utilisé pour effectuer le changement de mot de passe sur votre domaine Google Apps.
Empreinte numérique du certificat Empreinte numérique du certificat généré par Google.
Adresse e-mail du compte de service L’adresse e-mail du compte de service Google Apps se terminant par @developer.gservice.com

IBM Connections

Le fournisseur IBM Connections est utilisé pour synchroniser les mots de passe avec IBM Connections.

Conditions préalables

  • Compte IBM Connections avec des rôles d’administrateur ou d’assistant d’administration.

Paramètres

Paramètre Description
Compte d’administration L’adresse e-mail associée au compte IBM Connections.
URL L’URL vers l’API IBM Connections.
ex : https://apps.na.collabserv.com/api/bss
Mot de passe du fournisseur Le mot de passe associé au compte d’administration
Répéter le mot de passe Le mot de passe associé au compte d’administration

Fournisseur Kerberos

Le fournisseur Kerberos est utilisé pour synchroniser les mots de passe avec les systèmes basés sur Kerberos.

Conditions préalables

  • Compte d’administrateur avec des autorisations pour réinitialiser les mots de passe dans le domaine Kerberos des utilisateurs cibles.
  • Communication réseau ouverte entre le serveur Specops Password Sync et le serveur Kerberos.

Paramètres

Paramètre Description
Domaine cible Le domaine Kerberos où le compte cible existe.
Adresse KDC L’adresse du contrôleur de domaine Kerberos à contacter.
Ce champ est facultatif.
Domaine d’administration Le domaine Kerberos où le compte d’administrateur existe.
Nom d’utilisateur d’administrateur Le nom d’utilisateur du compte d’administrateur.
Mot de passe du fournisseur Le mot de passe du compte administrateur.

Fournisseur LDAP

Le fournisseur LDAP est utilisé pour synchroniser les mots de passe avec les systèmes LDAP distants, tels que OpenLdap ou Microsoft Active Directory Lightweight Services (AD LDS). Si le serveur cible est un service d’annuaire Active Directory Microsoft complet, le fournisseur Active Directory doit être utilisé.

En effet, le fournisseur Active Directory complet prend en charge plusieurs contrôleurs de domaine et prend également en charge le déverrouillage des comptes s’ils sont verrouillés sur le domaine distant. Il est également toujours entièrement chiffré.

Conditions préalables

  • Compte d’administrateur sur le système distant.
  • Communication réseau ouverte entre le serveur de synchronisation et le serveur distant. Cela signifie généralement que l’un des deux ports suivants doit être ouvert :
    • TCP/389 (LDAP non chiffré SSL)
    • TCP/636 (LDAP chiffré SSL)

Paramètres

Paramètre Description
Nom du serveur Nom du serveur LDAP distant.
Numéro de port Le numéro de port à utiliser pour contacter le serveur LDAP distant.
Port par défaut : 636
Type d’authentification Peut être défini sur l’une des valeurs suivantes :
  • Basic : utilise l’authentification de base avec nom d’utilisateur/mot de passe. Ne doit être utilisé qu’à des fins de test.
  • Basic SSL : utilise une authentification de base avec nom d’utilisateur/mot de passe sur SSL. Ceci peut être utilisé en production sur un serveur OpenLDAP. Pour utiliser ce type d’authentification, vous devez configurer le certificat du serveur utilisé, afin que le point de synchronisation sache qu’il s’agit d’un serveur approuvé.
  • Négociation : utilise le meilleur algorithme qui chiffre et vérifie l’intégrité des changements de mot de passe sur le serveur LDAP. Ceci est utilisé si le serveur LDAP est approuvé par Kerberos avec le serveur de synchronisation utilisé.
Empreinte numérique de certificat valide L’empreinte numérique du certificat du serveur. Laisser ce champ vide signifie que tout certificat sera accepté (non recommandé).
Pour déterminer l’empreinte numérique du certificat de serveur, saisissez "xyz" comme "Empreinte numérique de certificat de serveur valide" et tentez une réinitialisation. Le message d’erreur dans l’outil de test (ou le journal des événements de l’application) contiendra l’empreinte numérique.
L’empreinte numérique est une chaîne hexadécimale et peut contenir ou non des séparateurs “:” entre.
Remarque : Ce paramètre s’applique uniquement à l’authentification Basic SSL.
Nom d’attribut Le nom de l’attribut utilisateur dans le système LDAP où le mot de passe est stocké. Ce paramètre est utilisé conjointement avec "Convertir en Unicode".
Valeur par défaut : unicodePwd.
Format du mot de passe Détermine comment le mot de passe envoyé au système cible doit être codé.
Valeurs possibles :
  • QuotedUnicode (Ajoute des guillemets au mot de passe, puis envoie des octets Unicode au système cible. Ceci doit être utilisé lors de la synchronisation avec un autre Active Directory Microsoft.)
  • Unicode (Envoie des octets Unicode au système cible.)
  • UTF-8 (Envoie des octets UTF-8 au système cible.)
Nom d’utilisateur d’administrateur Nom d’utilisateur du compte d’administrateur dans le système LDAP. Le nom d’utilisateur doit être au format de nom distinctif (CN=admin, DC=exemple, DC=com).
Mot de passe du fournisseur Le mot de passe du compte administrateur.
Attribut d’identificateur de recherche cible

Par défaut, un chemin d’accès LDAP absolu est fourni pour identifier le compte cible. Si le système source ne dispose pas d’informations sur le chemin LDAP, il est possible de rechercher le compte cible en faisant correspondre un attribut à la place. Ce paramètre spécifie le nom de l’attribut avec lequel effectuer la comparaison pour une telle recherche.

Nom de l’attribut à mettre en correspondance dans le système cible. Cet attribut sur les utilisateurs du système cible doit contenir un identificateur unique dans ce répertoire, par exemple un numéro de sécurité sociale ou un numéro d’employé. Cet attribut dans le système cible sera comparé à ce qui a été configuré dans le mappage de nom.

ATTENTION
Il est extrêmement important que les attributs configurés dans "Paramètres de mappage de nom" pour le système source et "Attribut d’identificateur de recherche cible" pour le système cible ne soient pas accessibles en écriture par les utilisateurs. Ceci compromettrait la sécurité et permettrait éventuellement de réinitialiser le mot de passe d’un autre utilisateur et d’accéder à ce compte.

Utilisé en conjonction avec les Racines de recherche cible. Veuillez noter que si l’identificateur sur le système source est un nom distinctif sur le système cible, il n’est pas nécessaire de configurer l’attribut d’identificateur de recherche cible ou les racines de recherche cible, puisque le compte sur le système cible est directement identifiable par ce nom distinctif.
Supposons que l’annuaire cible est Active Directory
REMARQUE
Ceci n’est utilisé que si l’attribut d’identificateur de recherche cible a été configuré.

Définir sur true si la cible est Microsoft Active Directory, sinon false. Définir sur true forcera la requête LDAP à inclure "(objectCategory=user)(objectCategory=person)(sAMAccountName=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(userAccountControl:1.2.840.113556.1.4.803:=512)"
Condition supplémentaire dans la recherche LDAP
REMARQUE
Ceci n’est utilisé que si l’attribut d’identificateur de recherche cible a été configuré.

Si définie, la valeur de cette chaîne sera combinée ET avec l’attribut de recherche de cible en tant que condition LDAP lors de la recherche du compte cible. Le schéma dépend du système cible LDAP, mais peut, par exemple, exclure les comptes désactivés de la recherche ou rechercher uniquement un service spécifique, par ex. "(&(enabled=true)(department=finance))".
Racines de recherche cible Liste des noms distinctifs à utiliser comme racines de recherche lors de la recherche d’utilisateurs sur le système cible en examinant l’attribut spécifié dans Attribut d’identificateur de recherche cible.

Les racines doivent être spécifiées en tant que chemins LDAP valides, par exemple LDAP://CN=users,DC=acme,DC=org. Si plusieurs racines sont nécessaires, elles doivent être séparées par un point-virgule (;)

Utilisé conjointement avec l’attribut d’identificateur de recherche cible.
REMARQUE
Specops recommande d’utiliser le fournisseur Active Directory pour synchroniser les mots de passe avec les services Active Directory distants. Si vous devez utiliser le fournisseur LDAP avec Active Directory, le nom d’utilisateur d’administrateur doit être spécifié au format du nom de compte SAM au lieu du Nom unique du compte administrateur.

Exemples de configuration

Open LDAP Non SSL (non destiné à une utilisation en environnement de production)

Si la cible est un serveur OpenLDAP configuré pour utiliser l’authentification de base (texte en clair), configurez avec :

  • Nom du serveur : nom DNS du serveur LDAP
  • Numéro de port : généralement 389
  • Type d’authentification : Basic
  • AttributeName : userPassword
  • Format du mot de passe : UTF-8
  • Le système cible est Active Directory : false

L’utilisateur cible doit être au format DN (Nom unique) (utilisez le mappage de nom approprié).

OpenLDAP SSL

Si la cible est un serveur OpenLDAP configuré pour utiliser SSL, configurez avec :

  • Nom du serveur : nom DNS du serveur LDAP
  • Numéro de port : généralement 636
  • Type d’authentification : Basic SSL
  • Empreinte numérique de certificat valide : chaîne hexadécimale de l’empreinte numérique du certificat du serveur (40 chiffres hexadécimaux)

Remarque : Il ne suffit pas d’utiliser un certificat approuvé. L’empreinte numérique du certificat de serveur doit être configurée sur le point de synchronisation.

  • AttributeName : UserPassword
  • Format du mot de passe : UTF-8

Services AD LDS (Active Directory Lightweight Directory Services)

Si le serveur cible est un serveur Active Directory Lightweight Services, configurez avec :

  • Serveur : Nom d’un contrôleur de domaine
  • Numéro de port : généralement 389
  • Type d’authentification : Négociation :
  • Nom d’attribut : UnicodePWD
  • Format du mot de passe : QuotedUnicode

  • Nom d’utilisateur de l’administrateur : Administrateur (nom sans domaine)
REMARQUE
L’utilisateur cible doit être au format DN (Nom unique).

Fournisseur de comptes locaux

Le fournisseur de comptes locaux est utilisé pour réinitialiser les mots de passe des comptes d’utilisateurs locaux sur un ordinateur spécifique.

Conditions préalables

  • Compte d’administrateur pour l’ordinateur cible.
  • Communication réseau ouverte entre le serveur Specops Password Sync et l’ordinateur cible.

Paramètres

Paramètre Description
Compte d’administrateur Le nom d’utilisateur du compte d’administrateur.
Nom de l’ordinateur Le nom de l’ordinateur cible
Mot de passe du fournisseur Le mot de passe du compte administrateur.

Fournisseur Microsoft Online Services [obsolète]

REMARQUE
Le fournisseur Microsoft Online Services est obsolète. Pour la rétrocompatibilité, veuillez utiliser le fournisseur Microsoft Entra ID.

Le fournisseur Microsoft Online Services est utilisé pour synchroniser les mots de passe avec Microsoft Online Services, comme Office 365.

Conditions préalables

  • Les composants Microsoft Online Services suivants doivent être installés sur le serveur Specops Password Sync :
  • Accès à Internet sur le serveur Specops Password Sync.

Paramètres

Paramètre Description
Compte d’administrateur Le nom d’utilisateur du compte d’administrateur.
Mot de passe du fournisseur Le mot de passe du compte administrateur.

Fournisseur Microsoft SQL Server

Le fournisseur Microsoft SQL Server est utilisé pour synchroniser les mots de passe des utilisateurs du serveur MS SQL.

Conditions préalables

  • Compte d’administrateur authentifié SQL Server (l’authentification Windows n’est pas prise en charge).
  • Comptes d’utilisateurs SQL Server (les comptes stockés dans des bases de données personnalisées ne sont pas pris en charge).
  • Communication réseau ouverte entre le serveur Specops Password Sync et le serveur MS SQL cible.
  • Outils SQL Server Management Studio installés sur le serveur de synchronisation.

Paramètres

Paramètre Description
Serveur SQL Nom du serveur MS SQL cible.
Nom d’utilisateur d’administrateur Le nom d’utilisateur du compte d’administrateur.
Mot de passe du fournisseur Le mot de passe du compte administrateur.

Fournisseur de base de données Oracle

Le fournisseur de base de données Oracle est utilisé pour synchroniser les mots de passe avec les utilisateurs de la base de données Oracle.

Conditions préalables

  • Le fournisseur est conçu pour Oracle 11g, mais peut également fonctionner sur d’autres versions.
  • Compte d’administrateur Oracle.
  • Utilisateurs authentifiés Oracle
REMARQUE
Les comptes stockés dans des bases de données personnalisées ne sont pas pris en charge.
Paramètre Description
Serveur de base de données Voici le format de la source de données :
(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=MyHost)(PORT=MyPort))(CONNECT_DATA=(SERVICE_NAME=MyOracleSID))) Vous devrez remplacer la valeur des éléments en surbrillance ci-dessus par la valeur du fichier tnsnames.ora. Vous trouverez ce fichier dans le répertoire ORACLE HOME\ NETWORK\ADMIN.
Voici un exemple du fichier tnsnames.ora : ORACLR_CONNECTION_DATA =(DESCRIPTION =(ADDRESS_LIST =(ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC1521)))(CONNECT_DATA =(SID = CLRExtProc)

(PRESENTATION = RO)

)

)

ORCL =

(DESCRIPTION =

(ADDRESS = (PROTOCOL = TCP)(HOST = SRV04.shrek.qa)(PORT = 1521))

(CONNECT_DATA =

(SERVER = DEDICATED)

(SERVICE_NAME = orcl.shrek.qa)

)

)

La source de données doit ressembler à ceci une fois que vous avez ajouté les valeurs correspondantes du fichier tnsnames.ora.

(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=

SRV04.shrek.qa)(PORT=1521))(CONNECT_DATA=(SERVICE_NAME=

orcl.shrek.qa)))
Paramètre Description
Nom d’utilisateur d’administrateur Le nom d’utilisateur du compte d’administrateur.
Paramètre Description
Mot de passe du fournisseur Le mot de passe du compte administrateur.

Fournisseur Salesforce

Le fournisseur Salesforce est utilisé pour synchroniser les mots de passe avec Salesforce.

Conditions préalables

  • Compte d’administrateur sur Salesforce cible.
  • Jeton de sécurité Salesforce valide pour le compte d’administrateur. Le jeton de sécurité du compte d’administrateur devrait vous avoir été envoyé par e-mail lors de la configuration de votre compte Salesforce ou la dernière fois que vous avez réinitialisé votre mot de passe. Si vous ne parvenez pas à trouver cet e-mail, vous devrez réinitialiser le jeton.

Pour obtenir ou réinitialiser votre jeton de sécurité :

  1. En haut de n’importe quelle page Salesforce, cliquez sur la flèche pointant vers le bas à côté de votre nom. Dans le menu sous votre nom, sélectionnez Configurationou Mes paramètres, en fonction de ce qui est affiché.
  2. Dans le volet de gauche, sélectionnez l’une des options suivantes :
    • Si vous avez cliqué sur Configuration, sélectionnez Mes informations personnelles | Réinitialiser mon jeton de sécurité.
    • Si vous avez cliqué sur Mes paramètres, sélectionnez Personnel | Réinitialiser mon jeton de sécurité.
  3. Cliquez sur Réinitialiser le jeton de sécurité. Le nouveau jeton de sécurité est envoyé par e-mail à l’adresse e-mail de votre enregistrement d’utilisateur Salesforce. Conservez cet e-mail. Votre jeton de sécurité n’est pas affiché dans vos paramètres ni sur votre profil.
REMARQUE
Ce jeton est changé à chaque fois que le mot de passe du compte d’administrateur est changé.

Paramètres

Paramètre Description
URL L’URL de l’API Salesforce.com.
Valeur par défaut : https://login.salesforce.com/services/Soap/c/23.0
Nom d’utilisateur d’administrateur Le nom d’utilisateur du compte d’administrateur.
Mot de passe du fournisseur Le mot de passe et le jeton de sécurité.
Ex. Par exemple, si votre mot de passe est "myPassword" et votre jeton de sécurité est "XXXX", vous devrez saisir "myPasswordXXXX"

Fournisseur SAP

Le fournisseur SAP est utilisé pour synchroniser les mots de passe des comptes d’utilisateurs dans les systèmes SAP.

Conditions préalables

  • Compte d’administrateur dans l’environnement SAP cible.
  • SAP .Net Connector 3.0 pour .Net 4.0 doit être installé sur le serveur Specops Password Sync.
REMARQUE
Si SAP n’apparaît pas dans la liste des fournisseurs de synchronisation disponibles lors de la configuration de l’étendue, copiez les fichiers .dll suivants depuis le répertoire du programme SAP.NetConnector (par exemple C:\Program Files\SAP\SAP_DotNetConnector3_Net40_x64) vers C:\Program Files\Specopssoft\Specops Password Sync\Server\Providers\SAP sur le serveur de synchronisation, puis redémarrez le service. Fichiers à copier :
  • libicudecnumber.dll
  • rscp4n.dll
  • sapnco.dll
  • sapnco_utils.dll

Remarque :

  • Le connecteur SAP.Net a une dépendance au redistribuable Visual C++ 2010 que le programme d’installation SAP ne gère pas. Si ce composant n’a pas été installé dans le cadre d’un autre package, le fournisseur échouera avec le message d’erreur suivant : "Impossible de charger le fichier ou l’assemblage ‘sapnco_utils.dll’ ou l’une de ses dépendances. Le module spécifié n’a pas été trouvé."
  • L’installation de la mise à jour de sécurité MFC du package redistribuable KB2365063-Microsoft Visual C++ 2010 Service Pack 1 résoudra le problème.

Paramètres

Paramètre Description
Adresse vers le serveur SAP Le nom de domaine complet vers le serveur SAP où le mot de passe doit être changé.
ID de système L’ID de système dans SAP (par exemple 00)
ID de client L’ID de client dans SAP (par exemple 100)
Nom d’utilisateur d’administrateur Le nom d’utilisateur du compte d’administrateur
Mot de passe du fournisseur Le mot de passe du compte d’administrateur

Fournisseur de services Windows

Le fournisseur de services Windows est utilisé pour mettre à jour le mot de passe utilisé dans un service Windows lorsque le mot de passe du compte de service de domaine est changé. Le fournisseur trouvera tous les services exécutés en tant que compte de domaine sur le serveur cible et y définira le nouveau mot de passe.

Conditions préalables

  • Compte d’administrateur sur le serveur cible.
  • Communication réseau ouverte entre le serveur Specops Password Sync et le serveur cible.

Paramètres

Paramètre Description
Compte d’administrateur Le nom d’utilisateur du compte d’administrateur qui sera utilisé pour changer le mot de passe sur le serveur distant.
Nom du serveur Nom du serveur cible sur lequel le service est exécuté.
Mot de passe du fournisseur Le mot de passe du compte administrateur.