Synchronisation des annuaires

Aperçu

Le module Synchronisation des annuaires fournit une manière efficace de synchroniser les utilisateurs et groupes de WorkflowGen avec un ou plusieurs annuaires d’entreprise.

Quelques points clé concernant la synchronisation :

  • La synchronisation peut être manuelle ou automatique.

  • L’annuaire prédéfini WORKFLOWGEN ne peut pas être synchronisé.

  • L’identifiant « Username » d’un utilisateur doit être unique dans l’ensemble des annuaires WorkflowGen.

  • Vous pouvez synchroniser plusieurs annuaires ou plusieurs portions d’un annuaire avec des connecteurs différents.

  • En cas de suppression d’un compte, l’utilisateur est archivé ou désactivé selon le paramètre spécifié. Si l’option d’archive est sélectionnée, le « Username » est renommé avec une nomenclature spécifique et le compte est désactivé.

Recommandation concernant le mode de licence par utilisateur

Il est suggéré de synchroniser les nouveaux comptes utilisateurs avec l’option Statut par défaut d’un nouvel utilisateur définie en Inactif. Les nouveaux comptes peuvent être ultérieurement activés par l’administrateur manuellement dans la liste utilisateur/groupe ou automatiquement en utilisant la fonctionnalité d’auto-activation.

Usage général

Accès au module de synchronisation

L’accès au module de synchronisation est seulement accordé aux utilisateurs avec des profils d'administrateur.

Description des paramètres de synchronisation

Dans l’interface du module d’administration de WorkflowGen, il est possible de lister et d’ajouter des synchronisations d’annuaires, et d’en modifier les paramètres.

À la création d’une nouvelle synchronisation basée sur Active Directory, le protocole LDAP, ou en mode texte, les champs suivants vont apparaître pour définir la méthode de synchronisation.

Une fois sauvegardé, il n’est plus possible de changer le type de connecteur utilisé pour un annuaire.

Séparateur

Pour le connecteur texte, il est possible de spécifier le caractère de séparation de colonne dans le fichier texte. Par défaut, la valeur est ; (point-virgule), mais elle peut être également , (virgule) ou bien TAB (dans le cas du caractère de tabulation).

Chemin des fichiers

Ce champ permet de spécifier un chemin pour accéder aux fichiers pour le connecteur texte. Il prend pour valeur le chemin où se trouvent les fichiers, suivi du nom de la synchronisation.

Le nom de la synchronisation sert à nommer les fichiers.

Chemin LDAP

Dans le cas des connecteurs Active Directory et LDAP, un chemin LDAP est nécessaire pour accéder aux données.

Requête de synchronisation des utilisateurs

Pour un connecteur d’annuaire de type LDAP, il faut spécifier une commande LDAP afin d’interroger les comptes utilisateurs.

Requête de synchronisation des groupes

Pour un connecteur d’annuaire de type LDAP, il faut spécifier une commande LDAP afin d’interroger les groupes.

Login et mot de passe annuaire

L’annuaire à importer peut nécessiter un login et un mot de passe lors de son accès par le connecteur.

Recherche en profondeur

Pour les connecteurs d’annuaires, préciser si la synchronisation devrait inclure seulement le conteneur des unités organisationnelles (OU) ciblés ou s’il devrait aussi inclure tous les enfants des OU ciblés.

Données à synchroniser

Dans WorkflowGen, il est possible de synchroniser les groupes et les utilisateurs. La synchronisation des utilisateurs est obligatoire, mais la synchronisation des groupes peut être activée ou non.

Avec la synchronisation LDAP, une requête de groupe doit être définie même si la synchronisation de ce groupe n’est pas activée.

Champ de synchronisation des utilisateurs

Pour effectuer la synchronisation le module se base sur un champ pour identifier les utilisateurs, et définir les ajouts, suppressions ou mises à jour. Il vous est possible de choisir parmi n’importe quel champ de WorkflowGen (ex. : Ads_Path ; EMPLOYEENUMBER) à condition que celui-ci soit traité par le connecteur.

Champ de synchronisation des groupes

De même que pour les utilisateurs, le champ de synchronisation des groupes est paramétrable.

Préfixer le nom d’utilisateur par

Pour faciliter les imports et éviter dans certains cas les doublons sur les noms d’utilisateurs, il est possible de préfixer le nom des utilisateurs par une chaîne de caractères. Exemple : Domaine\

Préfixer le nom d’un groupe par

Pour faciliter les imports et éviter dans certains cas les doublons sur les noms d’utilisateurs, il est possible de préfixer le nom des utilisateurs par une chaîne de caractères. Exemple : Domaine\

Type de synchronisation des utilisateurs

Il existe trois modes de synchronisation : Ajout uniquement permet de ne faire que des ajouts des nouveaux utilisateurs. Ajout et modification permet de mettre à jour les données des utilisateurs déjà existants. Ajout, modification et suppression ajoute la possibilité d’archiver ou de supprimer les utilisateurs de WorkflowGen qui ne font pas partie de l’annuaire importé.

  • Ajout uniquement : Lors d’une synchronisation, tous les utilisateurs présent dans l’annuaire à importer, et qui n’existe pas dans l’annuaire de WorkflowGen, sont ajoutés à l’annuaire de WorkflowGen. Les données des utilisateurs existants ne seront pas modifiées. Afin d’être ajouté, un utilisateur doit au moins posséder un nom d’utilisateur (USERNAME), et un nom (LASTNAME). Si cette condition n’est pas respectée, une erreur se produit et l’ajout est annulé. Afin d’utiliser les utilisateurs de WorkflowGen, le prénom (FIRSTNAME) et l’adresse email (EMAIL) sont indispensables. Si une de ces valeurs est manquante, une alerte (WARNING) est créée. L’importation a bien lieu, mais il est recommandé d’agir afin que les utilisateurs concernés possèdent toutes leurs données.

  • Ajout et modification : Ce type de synchronisation fonctionne d’une manière identique à la précédente en ce qui concerne l’ajout. De plus, elle permet de mettre à jours les données correspondantes aux utilisateurs déjà présents dans l’annuaire WorkflowGen.

  • Ajout, modification et suppression : Il est possible de supprimer des utilisateurs d’un annuaire de WorkflowGen par synchronisation. Avec ce mode lorsqu’un utilisateur est présent dans l’annuaire WorkflowGen, mais pas dans l’annuaire à importer, celui-ci est supprimé. Cette suppression n’est pas réelle dans certains cas. Pour un meilleur suivi des actions et des utilisateurs, les utilisateurs à supprimer ayant effectués des actions sont soit désactivés soit archivés. Ainsi même après la « suppression » d’un utilisateur, il est possible d’avoir un suivi des traitements qui l’ont concerné.

Pour permettre un bon suivi des utilisateurs, dans WorkflowGen, en cas de demande de suppression, les utilisateurs ayant effectués des actions ne sont pas réellement supprimés mais sont au choix soit désactivés, soit archivés.

Type de synchronisation des groupes

Il existe trois modes de synchronisation. Le premier permet de ne faire que des ajouts des nouveaux groupes. Le deuxième permet de mettre à jour les données des groupes déjà existants. Et enfin, le troisième ajoute la possibilité d’archiver ou de supprimer les groupes de WorkflowGen qui ne font pas partie de l’annuaire importé.

Statut par défaut d’un nouvel utilisateur

Cette option définit le statut par défaut des nouveaux comptes utilisateurs qui ont été créés durant la synchronisation. Définissez le statut Actif si vous souhaitez que le nouveau compte utilisateur soit activé par défaut. Définissez le statut comme Inactif si vous souhaitez gérer manuellement l’activation des nouveaux comptes utilisateurs ou permettre la fonctionnalité d’auto-activation des utilisateurs (recommandé pour les clients qui utilisent le mode de licence par utilisateur).

Auto-activation

Cette option permet à un nouveau compte utilisateur qui est inactif de s’activer lui-même lors de sa première connexion à WorkflowGen. Le statut par défaut d’un nouvel utilisateur en Inactif doit être sélectionné en vue d’utiliser cette option.

Si un utilisateur est supprimé

En vue de proposer une gestion du suivi efficace dans WorkflowGen, quand une demande de suppression d’un utilisateur est réalisée, les utilisateurs qui ont réalisés des actions ne sont pas véritablement supprimés; vous avez le choix de les désactiver ou de les archiver. En cours d'archivage, l'utilisateur conserve son ID interne unique mais son nom d'utilisateur sera renommé avec le suffixe ARCHIVED_ suivi de son nom d’utilisateur.

Méthode de déclenchement

Le déclenchement peut se faire de façon manuelle (grâce au bouton Synchroniser) ou bien de façon automatique.

  • Manuelle : Permet d’effectuer la synchronisation que de façon manuelle. Pour cela, cliquez sur le bouton Synchroniser.

  • Test : Ce mode possède le même mode d’exécution que la synchronisation manuelle, mais le traitement n’est pas réellement effectué. Il s’agit d’une simulation qui permet d’anticiper si une synchronisation va se dérouler correctement ou non. Pour, cliquez sur le bouton Tester. Une synchronisation de test est enregistrée de la même façon qu’une synchronisation réelle.

  • Automatique : La synchronisation des données peut se faire de façon automatique. Une tâche planifiée analyse quotidiennement la configuration de toutes les synchronisations et effectue les traitements en fonction de la configuration de chacune des synchronisations.

Fréquence

Vous pouvez choisir la fréquence de la synchronisation pour les déclenchements automatiques : soit quotidien, hebdomadaire ou mensuel. Pour une synchronisation automatique, référez-vous à la section Panneau de configuration pour spécifier les dates et heures spécifiques d’opération.

Connecteur Active Directory

Aperçu

Le connecteur a pour but d'importer les utilisateurs et les groupes d'un annuaire Active Directory dans un annuaire WorkflowGen. Le connecteur fonctionne avec le protocole LDAP en utilisant ADSI (« Active Directory Service Interface »). L'accès à l'annuaire Active Directory se fait uniquement en lecture seule.

Prérequis

Un accès LDAP en lecture sur l'annuaire Active Directory doit être possible pour le compte anonyme ou pour un compte utilisable par le connecteur. Si le serveur Active Directory se trouve derrière un pare-feu, le protocole LDAP doit être ouvert.

Vous pouvez utiliser l'utilitaire ADSVIEW (disponible gratuitement de Microsoft) pour vérifier que le chemin LDAP que vous utilisez pointe bien vers les utilisateurs et les groupes à synchroniser.

Chemin LDAP

Le connecteur nécessite un chemin LDAP, afin de retrouver les données dans Active Directory. Le chemin LDAP est une chaîne de caractères composée de la séquence suivante :

  • Le protocole : dans notre cas LDAP://.

  • Le nom du serveur ou son adresse IP.

  • Facultativement, le port séparé du nom du serveur par :. Le port par défaut est 389.

    Note : Si vous utilisez LDAP en mode SSL, vous devez utiliser le port 636; sinon, vous pouvez omettre le numéro de port ou utiliser le numéro par défaut.

  • Le chemin dans l’arborescence LDAP du serveur.

Pour exécuter la requête nécessaire à la synchronisation des utilisateurs, il faut lui préciser l'Organisation (O) et les Unités organisationnelles (OU) en partant du bas vers le haut en les précédant de DC= et en les séparant par des , (virgules).

Exemple :

Si la structure LDAP est la suivante :

  • Domaine de premier niveau (DC) : monorganisation.com

  • Unité organisationnelle (OU) : groupe à l’intérieur du domaine : Unité2

  • Sous-groupe (OU) : sous-groupe avec le domaine : Département TI

Pour accéder aux utilisateurs et groupes de Département TI, le chemin LDAP devrait être :

LDAP://nomduserveur:port/OU=Département TI, OU=Unité2, DC=monorganisation,DC=com

Le chemin LDAP ne supporte pas l’opérateur . mais supporte les espaces dont le .com est identifié par l’opérateur DC=com.

  • La CN est également supporté comme type de récipient.

  • Seulement une branche de l'annuaire peut être associée à un annuaire. Si des OU multiples au même niveau doivent être utilisé, alors les parents des deux OU doivent être utilisés (sinon deux annuaires devront être créés séparément). Par exemple, si la structure /Organisation/Département1 et /Organisation/Département2 et /Organisation/Département3 existe, et nous voulons synchroniser que les départements 1 et 2, soit que l'OU entier de /Organisation soit spécifié (les 3 OU seront synchronisés), ou deux synchronisations d’annuaires séparés doivent être créés, chacun avec un OU spécifique.

  • Les filtres de requêtes LDAP ne sont pas supportés.

  • La requête de groupe est fondamentalement le même que la requête de l’utilisateur.

  • Les groupes et les utilisateurs liés à ceux-ci doivent exister dans le même chemin LDAP, sinon les combinaisons de groupe/utilisateur hors du chemin seront exclues de la synchronisation et apparaîtront comme des erreurs dans le fichier log. Ceci se produit habituellement quand les groupes d’AD sont définis comme des CN dans un OU qui pointe aux utilisateurs qui font partis à d'autres OU en dehors du chemin LDAP fourni.

    Par exemple, si le chemin de LDAP est défini comme suit : /Organisation/Département1, et dans cet OU le groupe de /Organisation/Département1/Équipe1 pointe à des utilisateurs dans l’OU /Organisation/Département2, cette situation se manifestera. Dans ce cas-ci, on suggère d’utiliser un chemin de LDAP qui inclut l'OU parent qui sont inclus tous les groupes requis, ou d’utiliser le type de connecteur de « LDAP » pour créer des requêtes raffinées qui pointe spécifiquement aux utilisateurs/groupes nécessaires.

Pour plus d'informations, voir la section Connecteur LDAP.

Données à importer

La synchronisation se fait pour les utilisateurs, mais il y a aussi la possibilité de synchroniser les groupes, et par conséquent les appartenances des utilisateurs aux groupes.

Les données concernées par l’import sont toutes les données qui font partie de l’OU ou du conteneur ciblé par le chemin. Il est possible d’importer également les utilisateurs des OU ou des conteneurs enfants, en activant la recherche en profondeur dans le panneau de configuration des synchronisations.

Le connecteur Active Directory ne prend pas en compte la propriété Désactivé des comptes utilisateurs AD; ces comptes seront donc synchronisés en tant qu'utilisateurs actifs. Si vous ne souhaitez pas que la synchronisation inclue les comptes AD inactifs, vous devrez utiliser le connecteur LDAP à la place, avec le filtre (!(userAccountControl:1.2.840.113556.1.4.803:=2))ajouté à la requête de synchronisation des utilisateurs. Assurez-vous également de définir le comportement souhaité pour l'option Si un utilisateur est archivé sur Archiver (par défaut) ou Désactiver chaque fois qu'un compte existant devient inactif dans AD.

Champs de synchronisation

Les champs de synchronisation par défaut sont :

  • Utilisateurs : Identificateur du système

  • Groupes : nom (sn)

Récupération des données d’Active Directory

Les informations sont récupérées dans l'annuaire Active Directory grâce au chemin LDAP. Il permet donc un accès en profondeur aux données, en ciblant l'OU dont on veut récupérer les utilisateurs et les groupes.

Voici ci-dessous un tableau de correspondance entre les champs de saisie d'un utilisateur et le nom des champs sous Active Directory. Ces correspondances ne peuvent pas être modifiées. Si vous souhaitez les modifier vous devez utiliser le connecteur d'annuaire LDAP (voir la section Connecteur LDAP).

Utilisateurs

Groupes

Connecteur LDAP

Aperçu

Le connecteur a pour but d'importer les utilisateurs et les groupes d'un annuaire générique (ex. : LDAP, AD, Sun ONE, ADAM, etc...) dans un annuaire WorkflowGen. Le connecteur fonctionne avec le protocole LDAP en utilisant ADSI (Active Directory Service Interface). L'accès à l'annuaire LDAP se fait uniquement en lecture seule.

Prérequis

Un accès LDAP en lecture sur l'annuaire LDAP doit être possible pour le compte anonyme ou pour un compte utilisable par le connecteur.

Si le serveur LDAP se trouve derrière un pare-feu, le protocole LDAP doit être ouvert.

Requêtes de synchronisation d’utilisateur et de groupes

Le connecteur nécessite un chemin LDAP, afin de retrouver les données dans Active Directory. Le chemin LDAP est une chaîne de caractères composée de la séquence suivante :

  • Le protocole : dans notre cas LDAP://.

  • Le nom du serveur ou son adresse IP.

  • Facultativement, le port séparé du nom du serveur par :. Le port par défaut est 389.

    Note : Si vous utilisez LDAP en mode SSL, vous devez utiliser le port 636; sinon, vous pouvez omettre le numéro de port ou utiliser le numéro par défaut.

  • Le domaine de premier niveau.

  • Le chemin dans l’arborescence LDAP du serveur, et/ou filtres.

Exemples :

Si la structure LDAP est la suivante :

  • Domaine de premier niveau (DC) : monorganisation.com

  • Unité organisationnelle (OU) : groupe à l’intérieur du domaine : Unité2

  • Sub-unit (OU) : sous-groupe avec le domaine : Département TI

Pour accéder aux utilisateurs et groupes de Département TI, il faut les chemins LDAP suivants :

Utilisateurs

LDAP://monserveur:port/DC=monorganisation,DC=com;(&(objectCategory=person)(objectClass=user)(sn=*)(sAMAccountName=*)(memberOf=CN=TheSpecificCN,OU=LowestOU,OU=HigherOU,DC=the company,DC=com)(!(userAccountControl:1.2.840.113556.1.4.803:=2)));adsPath,objectSid,sAMAccountName,sn,GivenName,mail,telephoneNumber,mobile,pager,facSimileTelephoneNumber,department,company,EmployeeType,EmployeeId,title,initials,postalAddress,postalCode,physicalDeliveryOfficeName,st,L,co,manager;subtree

Groupes

LDAP://monserveur:port/DC=monorganisation,DC=com;(&(objectClass=group));adsPath,objectSid,sAMAccountName,Description;subtree

Pour utiliser un CN qui réfère deux groupes, le filtre suivant peut être utilisé :

Utilisateurs

LDAP://monserveur:port/DC=monorganisation,DC=com;(&(objectCategory=person)(objectClass=user)(sn=*)(sAMAccountName=*) (memberOf=CN=TheSpecificCN,OU=LowestOU,OU=HigherOU,DC=the company,DC=com)(!(userAccountControl:1.2.840.113556.1.4.803:=2)));adsPath,objectSid,sAMAccountName,sn,GivenName,mail,telephoneNumber,mobile,pager,facSimileTelephoneNumber,department,company,EmployeeType,EmployeeId,title,initials,postalAddress,postalCode,physicalDeliveryOfficeName,st,L,co,manager;subtree

Groupes

LDAP://intellera/dc=intellera,dc=com;(&(objectClass=group)(|(sAMaccountName=Group1) (sAMaccountName=Group2)));adsPath,objectSid,sAMAccountName,Description;subtree
  • Seulement une requête d’utilisateurs et une requête de groupe peuvent être associées à un annuaire. Si des OU multiples au même niveau doivent être utilisés, le parent des deux OU devrait être spécifié, sinon on devra utiliser deux annuaires.

    Par exemple, si la structure /Societe/Departement1 et /Societe/Departement2 /Societe/Departement3 existe, et seuls départements 1 et 2 doivent être interrogés, alors soit l’ensemble de l’UO /Societe doit être précisé (tous les UO des départements seront synchronisés), ou un filtre spécifique doit être créé qui interroge seulement ces deux UO.

  • Les groupes et les utilisateurs qui leur sont liés doivent exister dans le même chemin LDAP, sinon des combinaisons de groupes et utilisateurs incompatibles seront exclus de la synchronisation et apparaîtront comme des erreurs dans le journal de synchronisation. Cela se produit généralement lorsque des groupes AD sont définis comme des CN dans une UO qui pointent vers des utilisateurs qui sont définis hors de la portée du LDAP spécifié.

    Par exemple, cela se produira si le chemin LDAP est défini à lier uniquement à l’UO /Societe/Departement1, et dans cette UO le groupe /Societe/Departement1/Equipe1 pointe vers des utilisateurs dans /Societe/Departement2. Dans ce cas, il est suggéré de choisir une requête utilisateur qui inclut toutes les UO qui sont impliquées dans les groupes.

Références

Pour des exemples supplémentaires sur les requêtes génériques LDAP, référez-vous aux sites suivants :

Données à importer

La synchronisation se fait pour les utilisateurs. Mais il y a aussi la possibilité de synchroniser les groupes, et par conséquent les appartenances des utilisateurs aux groupes.

Pour synchroniser les utilisateurs, leurs attributs sn et sAMAccountName doivent être configurés en Active Directory. Ces attributs correspondent à Nom et Username, respectivement.

Les données concernées par l’import sont toutes les données qui font partie de l’OU ou du conteneur ciblé par le chemin. Il est possible d’importer également les utilisateurs des OU ou des conteneurs enfants, en activant la recherche en profondeur dans le formulaire de configuration des synchronisations.

Champs de synchronisation

Les champs de synchronisation par défaut sont les suivants :

Utilisateurs : Identificateur du système

Groupes : Nom (sn)

Extraction des données LDAP

Voici ci-dessous un tableau de correspondances entre les champs de saisie d’un utilisateur et le nom des champs sous Active Directory, qui est supporté par ce mode de synchronisation. (Les autres genres de LDAP pourraient avoir une correspondance différente).

Si vous utilisez un connecteur LDAP, ces correspondances peuvent être modifiées en cliquant sur le bouton Correspondances dans la page de modification de l’annuaire.

Assurez-vous d'enregistrer les correspondances des champs chaque fois que vous ajoutez ou modifiez une requête LDAP.

Utilisateurs

Groupes

Connecteur texte

Aperçu

Le connecteur a pour but d'importer les utilisateurs et les groupes à partir de fichiers texte dans un annuaire WorkflowGen.

Prérequis

Le connecteur a besoin de trois fichiers textes :

  • User : Ce fichier doit contenir les données relatives aux utilisateurs devant être synchronisés.

  • Group : Ce fichier doit contenir les données relatives aux groupes devant être synchronisés.

  • Usergroup : Ce fichier doit contenir les relations d’appartenances entre les utilisateurs et les groupes synchronisés.

Données à importer

La synchronisation se fait pour les utilisateurs, mais elle peut aussi être activée pour les groupes. Pour cela il suffit de cocher la case correspondante dans la fiche de configuration de la synchronisation.

Sélection des fichiers

Les fichiers à importer ayant un suffixe standardisé, il vous suffit de saisir, dans « Chemin des fichiers », le chemin suivi de la partie commune au nom des trois fichiers.

Exemple :

Si vous décidez de nommer votre import importWfGen et que vous l’avez placez dans le répertoire DISQUE:\Extract\ vous devez avoir dans ce répertoire le fichier importWfGen_USER.txt, et si en plus vous décidez de synchroniser les groupes vous devez également avoir les fichiers importWfGen_GROUP.txt et importWfGen_USERGROUP.txt. Ainsi dans le paramétrage de la synchronisation, après avoir choisi le connecteur Text, saisissez DISQUE:\Extract\importWfGen dans « Chemin des fichiers » .

Noms des fichiers texte

Les fichiers d’import de données doivent être suffixés de la façon suivante :

  • Le fichier des utilisateurs doit se terminer par _USER.txt .

  • Le fichier des groupes doit se terminer par _GROUP.txt.

  • Le fichier d’appartenance des utilisateurs à un groupe doit se terminer par _USERGROUP.txt.

Le reste du nom de fichier doit être commun aux trois fichiers.

Structure des fichiers

Les fichiers textes commencent par la liste du nom des propriétés, séparées par un caractère définit dans les paramètres de la synchronisation.

Ensuite chaque ligne correspond à un enregistrement, c’est à dire à un utilisateur, avec les valeurs également séparées par le caractère de délimitation. Si une propriété est vide, celle-ci doit quand même être délimitée par le caractère de séparation.

Par défaut le délimiteur est ; (point-virgule).

Le séparateur , (virgule) ne peut être utilisé sur un serveur qui utilise ce caractère comme séparateur décimal (ex. : serveur français).

En ce qui concerne le fichier de l’appartenance des utilisateurs à un groupe, celui ne possède que deux champs. Il s’agit des champs de synchronisation des groupes et des utilisateurs. Le choix de ces champs s’effectue dans le module de synchronisation.

De plus il est possible de préfixé le nom de ces champs pour éviter les cas où le nom du champ de synchronisation des utilisateurs est le même que celui des groupes. Ce paramétrage ce fait dans le fichier de « config.inc » de la partie administrative du module de synchronisation.

Par exemple, si le champ de synchronisation des utilisateurs est Username et celui des groupes est Nom, le fichier doit contenir les champs GROUP_sAMAccountName et USER_sAMAccountName.

Chemin ADS

Si les informations textes sont exportées à partir d’un service AD, le connecteur a besoin du chemin LDAP afin de lui permettre de reconstruire la propriété ADSPATH pour les utilisateurs.

Liste des propriétés

Voici ci-dessous un tableau de correspondance entre les champs de saisie d’un utilisateur et le nom des champs tel qu’on doit les trouver dans le fichier texte. Ces correspondances peuvent être modifiées en cliquant sur le bouton Correspondances dans la page de modification de l’annuaire.

Utilisateurs

Groupes

Groupes d’utilisateurs

Ci-dessous sont les champs exigés pour le dossier de membre d'utilisateur de groupe :

  • Nom de champ de synchronisation pour les groupes (ex. : GROUP_SAMAccountName)

  • Nom de champ de synchronisation pour les utilisateurs (ex. : USER_SAMAccountName)

Exportation des fichiers textes avec Active Directory

Il est possible de produire un fichier d'exportation pour des données d'utilisateur en employant la commande suivante :

csvde -f file.csv -s MONSERVEUR -d "OU=myOu,DC=monorganisation,DC=com" -p subtree –r "(objectClass=OrganizationalPerson)" -l "ADsPath,cn,displayName,givenName,sn,sAMAccountName,mail, telephoneNumber,mobile, pager,facSimileTelephoneNumber,physicalDeliveryOfficeName,department,company, initials,title,employeeID,employeeType,postalAddress,postalCode,l,st,co,personalTitle"

Avec MONSERVEUR étant le nom du serveur accueillant l'annuaire, file.CSV le nom du fichier résultant, OU=myOu,DC=monorganisation,DC=com le chemin du contenant en lequel vous voulez la liste d'utilisateurs.

Pour exécuter cette synchronisation automatiquement, ce process d'exportation de données doit être ajouté aux tâches planifiées du serveur avant que le script de synchronisation soit couru. Pour ajouter une tâche, voir la documentation d'administrateur pour le module de synchronisation. Cette méthode ne permet pas à des groupes d'être synchronisés.

Exemples de fichiers d’exportation

Fichier d’utilisateurs

sn;givenName;sAMAccountName;mail;  
"UTILISATEUR-01";"Patricia Stone";"pstone";"patricia.stone@monorganisation.com";
"UTILISATEUR-02";"John Doe";"jdoe";"john.doe@monorganisation.com";
"UTILISATEUR-03";"Jack Ryan";"jryan";"jack.ryan@monorganisation.com";
"UTILISATEUR-04";"Abed Nadir";"anadir";"abed.nadir@monorganisation.com";

Fichier de groupes

sAMAccountName;Description
"HR";"GRP1-01"
"IT";"GRP1-02"

Fichiers d’association utilisateurs par groupes

GROUP_sAMAccountName;USER_sAMAccountName
"HR";"psmith"
"HR";"jdoe"
"IT";"jryan"
"IT";"tgraham"

Connecteur SCIM

Le connecteur SCIM vous permet de définir un nouveau répertoire qui sera utilisé par Azure Active Directory pour synchroniser les utilisateurs et les groupes. Pour des informations sur comment le configurer, voir la section Synchronisation Azure Active Directory dans le guide WorkflowGen pour Azure.

Fichiers log de la synchronisation

Aperçu

Les fichiers log de la synchronisation des annuaires sont paramétrés dans l’onglet Synchronisation annuaire du Panneau de configuration.

Chaque synchronisation manuelle ou automatique est enregistrée dans les fichiers log et est disponible pour visualisation aux administrateurs en sélectionnant dans le menu d’annuaires.

Par défaut, 31 jours de fichiers log sont entretenus. Ce paramètre peut être changé par l’administrateur dans le panneau de configuration.

Chaque fichier log contient les détails de chaque action de synchronisation effectuée incluant une liste de tous les utilisateurs et groupes ajoutés, modifiés, ou supprimés (archivés). Même les avertissements (ex. : adresses courriels manquantes) et les erreurs sont inclus. Les fichiers log peuvent être visualisés ou supprimés.

Emplacement des fichiers log

Les fichiers logs se retrouvent dans le serveur WorkflowGen sous le répertoire d’application \wfgen dans l’endroit suivant : \wfgen\App_Data\LogFiles\Dir\Synchro.

Dernière mise à jour