Synchronisation des annuaires
Aperçu
Le module Synchronisation des annuaires fournit une manière efficace de synchroniser les utilisateurs et groupes de WorkflowGen avec un ou plusieurs annuaires d’entreprise.
Quelques points clé concernant la synchronisation :
La synchronisation peut être manuelle ou automatique.
L’annuaire prédéfini
WORKFLOWGEN
ne peut pas être synchronisé.L’identifiant « Username » d’un utilisateur doit être unique dans l’ensemble des annuaires WorkflowGen.
Vous pouvez synchroniser plusieurs annuaires ou plusieurs portions d’un annuaire avec des connecteurs différents.
En cas de suppression d’un compte, l’utilisateur est archivé ou désactivé selon le paramètre spécifié. Si l’option d’archive est sélectionnée, le « Username » est renommé avec une nomenclature spécifique et le compte est désactivé.
Recommandation concernant le mode de licence par utilisateur
Il est suggéré de synchroniser les nouveaux comptes utilisateurs avec l’option Statut par défaut d’un nouvel utilisateur définie en Inactif. Les nouveaux comptes peuvent être ultérieurement activés par l’administrateur manuellement dans la liste utilisateur/groupe ou automatiquement en utilisant la fonctionnalité d’auto-activation.
Usage général
Accès au module de synchronisation
L’accès au module de synchronisation est seulement accordé aux utilisateurs avec des profils d'administrateur.
Description des paramètres de synchronisation
Dans l’interface du module d’administration de WorkflowGen, il est possible de lister et d’ajouter des synchronisations d’annuaires, et d’en modifier les paramètres.
À la création d’une nouvelle synchronisation basée sur Active Directory, le protocole LDAP, ou en mode texte, les champs suivants vont apparaître pour définir la méthode de synchronisation.
Une fois enregistré, il n'est plus possible de modifier le connecteur de répertoire.
Séparateur
Pour le connecteur texte, il est possible de spécifier le caractère de séparation de colonne dans le fichier texte. Par défaut, la valeur est ;
(point-virgule), mais elle peut être également ,
(virgule) ou bien TAB
(dans le cas du caractère de tabulation).
Chemin des fichiers
Ce champ permet de spécifier un chemin pour accéder aux fichiers pour le connecteur texte. Il prend pour valeur le chemin où se trouvent les fichiers, suivi du nom de la synchronisation.
Le nom de la synchronisation sert à nommer les fichiers.
Chemin LDAP
Dans le cas des connecteurs Active Directory et LDAP, un chemin LDAP est nécessaire pour accéder aux données.
Requête de synchronisation des utilisateurs
Pour un connecteur d’annuaire de type LDAP, il faut spécifier une commande LDAP afin d’interroger les comptes utilisateurs.
Requête de synchronisation des groupes
Pour un connecteur d’annuaire de type LDAP, il faut spécifier une commande LDAP afin d’interroger les groupes.
Login et mot de passe annuaire
L’annuaire à importer peut nécessiter un login et un mot de passe lors de son accès par le connecteur.
Recherche en profondeur
Pour les connecteurs d’annuaires, préciser si la synchronisation devrait inclure seulement le conteneur des unités organisationnelles (OU) ciblés ou s’il devrait aussi inclure tous les enfants des OU ciblés.
Données à synchroniser
Dans WorkflowGen, il est possible de synchroniser les groupes et les utilisateurs. La synchronisation des utilisateurs est obligatoire, mais la synchronisation des groupes peut être activée ou non.
Avec la synchronisation LDAP, une requête de groupe doit être définie même si la synchronisation de ce groupe n’est pas activée.
Champ de synchronisation des utilisateurs
Pour effectuer la synchronisation le module se base sur un champ pour identifier les utilisateurs, et définir les ajouts, suppressions ou mises à jour. Il vous est possible de choisir parmi n’importe quel champ de WorkflowGen (ex. : Ads_Path
; EMPLOYEENUMBER
) à condition que celui-ci soit traité par le connecteur.
Champ de synchronisation des groupes
De même que pour les utilisateurs, le champ de synchronisation des groupes est paramétrable.
Préfixer le nom d’utilisateur par
Pour faciliter les imports et éviter dans certains cas les doublons sur les noms d’utilisateurs, il est possible de préfixer le nom des utilisateurs par une chaîne de caractères.
📌 Exemple : Domaine\
Préfixer le nom d’un groupe par
Pour faciliter les imports et éviter dans certains cas les doublons sur les noms d’utilisateurs, il est possible de préfixer le nom des utilisateurs par une chaîne de caractères.
📌 Exemple : Domaine\
Type de synchronisation des utilisateurs
Il existe trois modes de synchronisation : Ajout uniquement permet de ne faire que des ajouts des nouveaux utilisateurs. Ajout et modification permet de mettre à jour les données des utilisateurs déjà existants. Ajout, modification et suppression ajoute la possibilité d’archiver ou de supprimer les utilisateurs de WorkflowGen qui ne font pas partie de l’annuaire importé.
Ajout : Lors d’une synchronisation, tous les utilisateurs présent dans l’annuaire à importer, et qui n’existe pas dans l’annuaire de WorkflowGen, sont ajoutés à l’annuaire de WorkflowGen. Les données des utilisateurs existants ne seront pas modifiées. Afin d’être ajouté, un utilisateur doit au moins posséder un nom d’utilisateur (
USERNAME
), et un nom (LASTNAME
). Si cette condition n’est pas respectée, une erreur se produit et l’ajout est annulé. Afin d’utiliser les utilisateurs de WorkflowGen, le prénom (FIRSTNAME
) et l’adresse email (EMAIL
) sont indispensables. Si une de ces valeurs est manquante, une alerte (WARNING
) est créée. L’importation a bien lieu, mais il est recommandé d’agir afin que les utilisateurs concernés possèdent toutes leurs données.Ajout et modification : Ce type de synchronisation fonctionne d’une manière identique à la précédente en ce qui concerne l’ajout. De plus, elle permet de mettre à jours les données correspondantes aux utilisateurs déjà présents dans l’annuaire WorkflowGen.
Ajout, modification et suppression : Il est possible de supprimer des utilisateurs d’un annuaire de WorkflowGen par synchronisation. Avec ce mode lorsqu’un utilisateur est présent dans l’annuaire WorkflowGen, mais pas dans l’annuaire à importer, celui-ci est supprimé. Cette suppression n’est pas réelle dans certains cas. Pour un meilleur suivi des actions et des utilisateurs, les utilisateurs à supprimer ayant effectués des actions sont soit désactivés soit archivés. Ainsi même après la « suppression » d’un utilisateur, il est possible d’avoir un suivi des traitements qui l’ont concerné.
Pour permettre un bon suivi des utilisateurs, dans WorkflowGen, en cas de demande de suppression, les utilisateurs ayant effectués des actions ne sont pas réellement supprimés mais sont au choix soit désactivés, soit archivés.
Type de synchronisation des groupes
Il existe trois modes de synchronisation. Le premier permet de ne faire que des ajouts des nouveaux groupes. Le deuxième permet de mettre à jour les données des groupes déjà existants. Et enfin, le troisième ajoute la possibilité d’archiver ou de supprimer les groupes de WorkflowGen qui ne font pas partie de l’annuaire importé.
Statut par défaut d’un nouvel utilisateur
Cette option définit le statut par défaut des nouveaux comptes utilisateurs qui ont été créés durant la synchronisation. Définissez le statut Actif si vous souhaitez que le nouveau compte utilisateur soit activé par défaut. Définissez le statut comme Inactif si vous souhaitez gérer manuellement l’activation des nouveaux comptes utilisateurs ou permettre la fonctionnalité d’auto-activation des utilisateurs (recommandé pour les clients qui utilisent le mode de licence par utilisateur).
Auto-activation
Cette option permet à un nouveau compte utilisateur qui est inactif de s’activer lui-même lors de sa première connexion à WorkflowGen. Le statut par défaut d’un nouvel utilisateur en Inactif doit être sélectionné en vue d’utiliser cette option.
Si un utilisateur est supprimé
En vue de proposer une gestion du suivi efficace dans WorkflowGen, quand une demande de suppression d’un utilisateur est réalisée, les utilisateurs qui ont réalisés des actions ne sont pas véritablement supprimés; vous avez le choix de les désactiver ou de les archiver. En cours d'archivage, l'utilisateur conserve son ID interne unique mais son nom d'utilisateur sera renommé avec le suffixe ARCHIVED_
suivi de son nom d’utilisateur.
Déclenchement
Le déclenchement peut se faire de façon manuelle (grâce au bouton Synchroniser) ou bien de façon automatique.
Manuel : Permet d’effectuer la synchronisation que de façon manuelle. Pour cela, cliquez sur le bouton Synchroniser.
Test : Ce mode possède le même mode d’exécution que la synchronisation manuelle, mais le traitement n’est pas réellement effectué. Il s’agit d’une simulation qui permet d’anticiper si une synchronisation va se dérouler correctement ou non. Pour, cliquez sur le bouton Tester. Une synchronisation de test est enregistrée de la même façon qu’une synchronisation réelle.
Automatique : La synchronisation des données peut se faire de façon automatique. Une tâche planifiée analyse quotidiennement la configuration de toutes les synchronisations et effectue les traitements en fonction de la configuration de chacune des synchronisations.
Fréquence
Vous pouvez choisir la fréquence de la synchronisation pour les déclenchements automatiques : soit quotidien, hebdomadaire ou mensuel. Pour une synchronisation automatique, référez-vous à la section Panneau de configuration pour spécifier les dates et heures spécifiques d’opération.
Connecteur Active Directory
Aperçu
Le connecteur a pour but d'importer les utilisateurs et les groupes d'un annuaire Active Directory dans un annuaire WorkflowGen. Le connecteur fonctionne avec le protocole LDAP en utilisant ADSI (« Active Directory Service Interface »). L'accès à l'annuaire Active Directory se fait uniquement en lecture seule.
Prérequis
Un accès LDAP en lecture sur l'annuaire Active Directory doit être possible pour le compte anonyme ou pour un compte utilisable par le connecteur. Si le serveur Active Directory se trouve derrière un pare-feu, le protocole LDAP doit être ouvert.
Vous pouvez utiliser l'utilitaire ADSVIEW (disponible gratuitement de Microsoft) pour vérifier que le chemin LDAP que vous utilisez pointe bien vers les utilisateurs et les groupes à synchroniser.
Chemin LDAP
Le connecteur nécessite un chemin LDAP, afin de retrouver les données dans Active Directory. Le chemin LDAP est une chaîne de caractères composée de la séquence suivante :
Le protocole : dans notre cas
LDAP://
.Le nom du serveur ou son adresse IP.
Facultativement, le port séparé du nom du serveur par
:
. Le port par défaut est389
.✏️ Note : Si vous utilisez LDAP en mode SSL, vous devez utiliser le port
636
; sinon, vous pouvez omettre le numéro de port ou utiliser le numéro par défaut.Le chemin dans l’arborescence LDAP du serveur.
Pour exécuter la requête nécessaire à la synchronisation des utilisateurs, il faut lui préciser l'Organisation (O
) et les Unités organisationnelles (OU
) en partant du bas vers le haut en les précédant de DC=
et en les séparant par des ,
(virgules).
📌 Exemple
Si la structure LDAP est la suivante :
Domaine de premier niveau (DC) :
monorganisation.com
Unité organisationnelle (OU) : groupe à l’intérieur du domaine :
Unité2
Sous-groupe (OU) : sous-groupe avec le domaine :
Département TI
Pour accéder aux utilisateurs et groupes de Département TI
, le chemin LDAP devrait être :
Le chemin LDAP ne supporte pas l’opérateur .
mais supporte les espaces dont le .com
est identifié par l’opérateur DC=com
.
La CN est également supporté comme type de récipient.
Seulement une branche de l'annuaire peut être associée à un annuaire. Si des OU multiples au même niveau doivent être utilisé, alors les parents des deux OU doivent être utilisés (sinon deux annuaires devront être créés séparément). Par exemple, si la structure
/Organisation/Département1
et/Organisation/Département2
et/Organisation/Département3
existe, et nous voulons synchroniser que les départements 1 et 2, soit que l'OU entier de/Organisation
soit spécifié (les 3 OU seront synchronisés), ou deux synchronisations d’annuaires séparés doivent être créés, chacun avec un OU spécifique.Les filtres de requêtes LDAP ne sont pas supportés.
La requête de groupe est fondamentalement le même que la requête de l’utilisateur.
Les groupes et les utilisateurs liés à ceux-ci doivent exister dans le même chemin LDAP, sinon les combinaisons de groupe/utilisateur hors du chemin seront exclues de la synchronisation et apparaîtront comme des erreurs dans le fichier log. Ceci se produit habituellement quand les groupes d’AD sont définis comme des CN dans un OU qui pointe aux utilisateurs qui font partis à d'autres OU en dehors du chemin LDAP fourni.
Par exemple, si le chemin de LDAP est défini comme suit :
/Organisation/Département1
, et dans cet OU le groupe de/Organisation/Département1/Équipe1
pointe à des utilisateurs dans l’OU/Organisation/Département2
, cette situation se manifestera. Dans ce cas-ci, on suggère d’utiliser un chemin de LDAP qui inclut l'OU parent qui sont inclus tous les groupes requis, ou d’utiliser le type de connecteur de « LDAP » pour créer des requêtes raffinées qui pointe spécifiquement aux utilisateurs/groupes nécessaires.
Pour plus d'informations, voir la section Connecteur LDAP.
Données à importer
La synchronisation se fait pour les utilisateurs, mais il y a aussi la possibilité de synchroniser les groupes, et par conséquent les appartenances des utilisateurs aux groupes.
Les données concernées par l’import sont toutes les données qui font partie de l’OU ou du conteneur ciblé par le chemin. Il est possible d’importer également les utilisateurs des OU ou des conteneurs enfants, en activant la recherche en profondeur dans le panneau de configuration des synchronisations.
Le connecteur Active Directory ne prend pas en compte la propriété Désactivé
des comptes utilisateurs AD; ces comptes seront donc synchronisés en tant qu'utilisateurs actifs. Si vous ne souhaitez pas que la synchronisation inclue les comptes AD inactifs, vous devrez utiliser le connecteur LDAP à la place, avec le filtre (!(userAccountControl:1.2.840.113556.1.4.803:=2))
ajouté à la requête de synchronisation des utilisateurs. Assurez-vous également de définir le comportement souhaité pour l'option Si un utilisateur est archivé sur Archiver (par défaut) ou Désactiver chaque fois qu'un compte existant devient inactif dans AD.
Champs de synchronisation
Les champs de synchronisation par défaut sont :
Utilisateurs : Identificateur du système
Groupes : nom (
sn
)
Récupération des données d’Active Directory
Les informations sont récupérées dans l'annuaire Active Directory grâce au chemin LDAP. Il permet donc un accès en profondeur aux données, en ciblant l'OU dont on veut récupérer les utilisateurs et les groupes.
Voici ci-dessous un tableau de correspondance entre les champs de saisie d'un utilisateur et le nom des champs sous Active Directory. Ces correspondances ne peuvent pas être modifiées. Si vous souhaitez les modifier vous devez utiliser le connecteur d'annuaire LDAP (voir la section Connecteur LDAP).
Utilisateurs
WorkflowGen
Active Directory
Username
sAMAccountName
Mots de passe
userPassword
Nom
sn
Prénom
givenName
mail
Fuseaux horaires par défaut
(aucun)
Responsable
manager
Téléphone
telephoneNumber
Portable
mobile
Fax
facSimileNumber
Pager
pager
Bureau
physicalDeliveryOfficeName
Département
department
Entreprise
company
Fonction
title
Type d’employé
employeeType
Initiales
initials
Titre
personalTitle
Numéro d’employé
employeeID
Adresse postale
postalAddress
Code postal
postalCode
Ville
l
État / Région
st
Pays
co
Chemin LDAP
ADsPath
Nom affiché
cn
Nom distinctif
distinguishedName
Champ personnalisé 1
extensionAttribute1
Champ personnalisé 2
extensionAttribute2
Champ personnalisé 3
extensionAttribute3
Champ personnalisé 4
extensionAttribute4
Champ personnalisé 5
extensionAttribute5
Identifiant système
objectSid
Groupes
WorkflowGen
Active Directory
Nom
sAMAccountName
Description
Description
mail
Code groupe
groupCode
Chemin LDAP
AdsPath
Nom affiché
cn
Nom distinctif
DistinguishedName
Identifiant système
objectSid
Connecteur LDAP
Aperçu
Le connecteur a pour but d'importer les utilisateurs et les groupes d'un annuaire générique (ex. : LDAP, AD, Sun ONE, ADAM, etc...) dans un annuaire WorkflowGen. Le connecteur fonctionne avec le protocole LDAP en utilisant ADSI (Active Directory Service Interface). L'accès à l'annuaire LDAP se fait uniquement en lecture seule.
Prérequis
Un accès LDAP en lecture sur l'annuaire LDAP doit être possible pour le compte anonyme ou pour un compte utilisable par le connecteur.
Si le serveur LDAP se trouve derrière un pare-feu, le protocole LDAP doit être ouvert.
Requêtes de synchronisation d’utilisateur et de groupes
Le connecteur nécessite un chemin LDAP, afin de retrouver les données dans Active Directory. Le chemin LDAP est une chaîne de caractères composée de la séquence suivante :
Le protocole : dans notre cas
LDAP://
.Le nom du serveur ou son adresse IP.
Facultativement, le port séparé du nom du serveur par
:
. Le port par défaut est389
.✏️ Note : Si vous utilisez LDAP en mode SSL, vous devez utiliser le port 636; sinon, vous pouvez omettre le numéro de port ou utiliser le numéro par défaut.
Le domaine de premier niveau.
Le chemin dans l’arborescence LDAP du serveur, et/ou filtres.
📌 Exemples
Si la structure LDAP est la suivante :
Domaine de premier niveau (DC) :
monorganisation.com
Unité organisationnelle (OU) : groupe à l’intérieur du domaine :
Unité2
Sub-unit (OU) : sous-groupe avec le domaine :
Département TI
Pour accéder aux utilisateurs et groupes de Département TI
, il faut les chemins LDAP suivants :
Utilisateurs
Groupes
Pour utiliser un CN qui réfère deux groupes, le filtre suivant peut être utilisé :
Utilisateurs
Groupes
Seulement une requête d’utilisateurs et une requête de groupe peuvent être associées à un annuaire. Si des OU multiples au même niveau doivent être utilisés, le parent des deux OU devrait être spécifié, sinon on devra utiliser deux annuaires.
Par exemple, si la structure
/Societe/Departement1
et/Societe/Departement2
/Societe/Departement3
existe, et seuls départements 1 et 2 doivent être interrogés, alors soit l’ensemble de l’UO/Societe
doit être précisé (tous les UO des départements seront synchronisés), ou un filtre spécifique doit être créé qui interroge seulement ces deux UO.Les groupes et les utilisateurs qui leur sont liés doivent exister dans le même chemin LDAP, sinon des combinaisons de groupes et utilisateurs incompatibles seront exclus de la synchronisation et apparaîtront comme des erreurs dans le journal de synchronisation. Cela se produit généralement lorsque des groupes AD sont définis comme des CN dans une UO qui pointent vers des utilisateurs qui sont définis hors de la portée du LDAP spécifié.
Par exemple, cela se produira si le chemin LDAP est défini à lier uniquement à l’UO
/Societe/Departement1
, et dans cette UO le groupe/Societe/Departement1/Equipe1
pointe vers des utilisateurs dans/Societe/Departement2
. Dans ce cas, il est suggéré de choisir une requête utilisateur qui inclut toutes les UO qui sont impliquées dans les groupes.
Références
Pour des exemples supplémentaires sur les requêtes génériques LDAP, référez-vous aux sites suivants :
Données à importer
La synchronisation se fait pour les utilisateurs. Mais il y a aussi la possibilité de synchroniser les groupes, et par conséquent les appartenances des utilisateurs aux groupes.
Pour synchroniser les utilisateurs, leurs attributs sn
et sAMAccountName
doivent être configurés en Active Directory. Ces attributs correspondent à Nom et Username, respectivement.
Les données concernées par l’import sont toutes les données qui font partie de l’OU ou du conteneur ciblé par le chemin. Il est possible d’importer également les utilisateurs des OU ou des conteneurs enfants, en activant la recherche en profondeur dans le formulaire de configuration des synchronisations.
Champs de synchronisation
Les champs de synchronisation par défaut sont les suivants :
Utilisateurs : Identificateur du système
Groupes : Nom (sn
)
Extraction des données LDAP
Voici ci-dessous un tableau de correspondances entre les champs de saisie d’un utilisateur et le nom des champs sous Active Directory, qui est supporté par ce mode de synchronisation. (Les autres genres de LDAP pourraient avoir une correspondance différente).
Si vous utilisez un connecteur LDAP, ces correspondances peuvent être modifiées en cliquant sur le bouton Correspondances dans la page de modification de l’annuaire.
Assurez-vous d'enregistrer les correspondances des champs chaque fois que vous ajoutez ou modifiez une requête LDAP.
Utilisateurs
WorkflowGen
LDAP
Username
sAMAccountName
Mots de passe
(aucun)
Nom
sn
Prénom
givenName
mail
Fuseaux horaires par défaut
(aucun)
Responsable (doit être un username valide)
manager
Téléphone
telephoneNumber
Portable
mobile
Fax
facSimileNumber
Pager
pager
Bureau
physicalDeliveryOfficeName
Département
department
Entreprise
company
Fonction
title
Type d’employé
employeeType
Initiales
initials
Titre
personalTitle
Numéro d’employé
employeeID
Adresse postale
postalAddress
Code postal
postalCode
Ville
l
État/Région
st
Pays
co
Chemin LDAP
ADsPath
Nom affiché
cn
Nom distinctif
distinguishedName
Champ personnalisé 1
extensionAttribute1
Champ personnalisé 2
extensionAttribute2
Champ personnalisé 3
extensionAttribute3
Champ personnalisé 4
extensionAttribute4
Champ personnalisé 5
extensionAttribute5
Identifiant système
objectSid
Groupes
WorkflowGen
LDAP
Nom
sAMAccountName
Description
Description
mail
Code groupe
groupCode
Chemin LDAP
AdsPath
Nom affiché
cn
Nom distinctif
distinguishedName
Identifiant système
objectSid
Connecteur texte
Aperçu
Le connecteur a pour but d'importer les utilisateurs et les groupes à partir de fichiers texte dans un annuaire WorkflowGen.
Prérequis
Le connecteur a besoin de trois fichiers textes :
User : Ce fichier doit contenir les données relatives aux utilisateurs devant être synchronisés.
Group : Ce fichier doit contenir les données relatives aux groupes devant être synchronisés.
Usergroup : Ce fichier doit contenir les relations d’appartenances entre les utilisateurs et les groupes synchronisés.
Données à importer
La synchronisation se fait pour les utilisateurs, mais elle peut aussi être activée pour les groupes. Pour cela il suffit de cocher la case correspondante dans la fiche de configuration de la synchronisation.
Sélection des fichiers
Les fichiers à importer ayant un suffixe standardisé, il vous suffit de saisir, dans « Chemin des fichiers », le chemin suivi de la partie commune au nom des trois fichiers.
📌 Exemple
Si vous décidez de nommer votre import importWfGen
et que vous l’avez placez dans le répertoire DISQUE:\Extract\
vous devez avoir dans ce répertoire le fichier importWfGen_USER.txt
, et si en plus vous décidez de synchroniser les groupes vous devez également avoir les fichiers importWfGen_GROUP.txt
et importWfGen_USERGROUP.txt
. Ainsi dans le paramétrage de la synchronisation, après avoir choisi le connecteur Text
, saisissez DISQUE:\Extract\importWfGen
dans « Chemin des fichiers » .
Noms des fichiers texte
Les fichiers d’import de données doivent être suffixés de la façon suivante :
Le fichier des utilisateurs doit se terminer par
_USER.txt
.Le fichier des groupes doit se terminer par
_GROUP.txt
.Le fichier d’appartenance des utilisateurs à un groupe doit se terminer par
_USERGROUP.txt
.
Le reste du nom de fichier doit être commun aux trois fichiers.
Structure des fichiers
Les fichiers textes commencent par la liste du nom des propriétés, séparées par un caractère définit dans les paramètres de la synchronisation.
Ensuite chaque ligne correspond à un enregistrement, c’est à dire à un utilisateur, avec les valeurs également séparées par le caractère de délimitation. Si une propriété est vide, celle-ci doit quand même être délimitée par le caractère de séparation.
Par défaut le délimiteur est ;
(point-virgule).
Le séparateur ,
(virgule) ne peut être utilisé sur un serveur qui utilise ce caractère comme séparateur décimal (ex. : serveur français).
En ce qui concerne le fichier de l’appartenance des utilisateurs à un groupe, celui ne possède que deux champs. Il s’agit des champs de synchronisation des groupes et des utilisateurs. Le choix de ces champs s’effectue dans le module de synchronisation.
De plus il est possible de préfixé le nom de ces champs pour éviter les cas où le nom du champ de synchronisation des utilisateurs est le même que celui des groupes. Ce paramétrage ce fait dans le fichier de « config.inc » de la partie administrative du module de synchronisation.
Par exemple, si le champ de synchronisation des utilisateurs est Username
et celui des groupes est Nom
, le fichier doit contenir les champs GROUP_sAMAccountName
et USER_sAMAccountName
.
Chemin ADS
Si les informations textes sont exportées à partir d’un service AD, le connecteur a besoin du chemin LDAP afin de lui permettre de reconstruire la propriété ADSPATH pour les utilisateurs.
Liste des propriétés
Voici ci-dessous un tableau de correspondance entre les champs de saisie d’un utilisateur et le nom des champs tel qu’on doit les trouver dans le fichier texte. Ces correspondances peuvent être modifiées en cliquant sur le bouton Correspondances dans la page de modification de l’annuaire.
Utilisateurs
WorkflowGen
Fichier texte
Username
sAMAccountName
Mots de passe
(aucun)
Nom
sn
Prénom
givenName
mail
Fuseaux horaires par défaut
(aucun)
Responsable (doit être un username valide)
manager
Téléphone
telephoneNumber
Portable
mobile
Fax
facSimileNumber
Pager
pager
Bureau
physicalDeliveryOfficeName
Département
department
Entreprise
company
Fonction
title
Type d’employé
employeeType
Initiales
initials
Titre
personalTitle
Numéro d’employé
employeeID
Adresse postale
postalAddress
Code postal
postalCode
Ville
l
État/Région
st
Pays
co
Chemin LDAP
(aucun)
Nom affiché
(aucun)
Nom distinctif
(aucun)
Champ personnalisé 1
(aucun)
Champ personnalisé 2
(aucun)
Champ personnalisé 3
(aucun)
Champ personnalisé 4
(aucun)
Champ personnalisé 4
(aucun)
Identifiant système
(aucun)
Groupes
WorkflowGen
Fichier texte
Nom
sAMAccountName
Description
Description
Groupes d’utilisateurs
Ci-dessous sont les champs exigés pour le dossier de membre d'utilisateur de groupe :
Nom de champ de synchronisation pour les groupes (ex. :
GROUP_SAMAccountName
)Nom de champ de synchronisation pour les utilisateurs (ex. :
USER_SAMAccountName
)
Exportation des fichiers textes avec Active Directory
Il est possible de produire un fichier d'exportation pour des données d'utilisateur en employant la commande suivante :
Avec MONSERVEUR
étant le nom du serveur accueillant l'annuaire, file.CSV
le nom du fichier résultant, OU=myOu,DC=monorganisation,DC=com
le chemin du contenant en lequel vous voulez la liste d'utilisateurs.
Pour exécuter cette synchronisation automatiquement, ce process d'exportation de données doit être ajouté aux tâches planifiées du serveur avant que le script de synchronisation soit couru. Pour ajouter une tâche, voir la documentation d'administrateur pour le module de synchronisation. Cette méthode ne permet pas à des groupes d'être synchronisés.
Exemples de fichiers d’exportation
Fichier d’utilisateurs
Fichier de groupes
Fichiers d’association utilisateurs par groupes
Connecteur SCIM
Le connecteur SCIM vous permet de définir un nouveau répertoire qui sera utilisé par Azure Active Directory pour synchroniser les utilisateurs et les groupes. Pour des informations sur comment le configurer, voir la section Synchronisation Azure Active Directory dans le guide WorkflowGen pour Azure.
Fichiers log de la synchronisation
Aperçu
Les fichiers log de la synchronisation des annuaires sont paramétrés dans l’onglet Synchronisation annuaire du Panneau de configuration.
Chaque synchronisation manuelle ou automatique est enregistrée dans les fichiers log et est disponible pour visualisation aux administrateurs en sélectionnant dans le menu d’annuaires.
Par défaut, 31 jours de fichiers log sont entretenus. Ce paramètre peut être changé par l’administrateur dans le panneau de configuration.
Chaque fichier log contient les détails de chaque action de synchronisation effectuée incluant une liste de tous les utilisateurs et groupes ajoutés, modifiés, ou supprimés (archivés). Même les avertissements (ex. : adresses courriels manquantes) et les erreurs sont inclus. Les fichiers log peuvent être visualisés ou supprimés.
Emplacement des fichiers log
Les fichiers logs se retrouvent dans le serveur WorkflowGen sous le répertoire d’application \wfgen
dans l’endroit suivant : \wfgen\App_Data\LogFiles\Dir\Synchro
.