Configurer l'importation Active Directory et les paramètres du compte

Quand vous installez l'Agent Okta AD ou lorsque les besoins de votre entreprise changent, vous pouvez définir la façon dont les données utilisateur sont importées et quand. Définir le format du nom d'utilisateur constitue une part cruciale de ce processus. Le nom d'utilisateur est utilisé afin d'associer l'utilisateur sur Active Directory (AD) à Okta. Il est important de choisir le format adéquat de nom d'utilisateur, dans la mesure où il a des répercussions sur le mode de connexion des utilisateurs sur Okta.

Par défaut, Okta utilise le nom d'utilisateur issu du profil de celui-ci sur Okta durant l'authentification déléguée. Par exemple, si le nom d'utilisateur de l'utilisateur de l'application AD est samAccountName et que le nom d'utilisateur sur le profil de l'utilisateur sur Okta (champ d'identifiant) est UPN, Okta utilisera UPN pour effectuer la connexion de l'utilisateur.

Si le niveau fonctionnel de votre domaine AD est 2003, vos noms d'utilisateur AD doivent avoir un UPN avec un format domain.name.

Okta utilise les GUID pour identifier de manière unique les objets tels que les unités organisationnelles (OU). Les GUID sont utilisés lors de la lecture et de la correspondance des OU. Par exemple, supposons que vous supprimiez une OU sur AD et que vous créiez une OU qui porte le même nom. Okta les traite comme des OU différentes, car elles ont des GUID distincts.

  1. Dans Admin Console, accédez à DirectoryIntégrations de répertoires.
  2. Cliquez sur Active Directory, puis sur l'onglet Approvisionnement.
  3. Cliquez sur Intégration dans la liste des Paramètres et, dans la zone Paramètres d'importation, renseignez les champs suivants :
    • Utilisateur OU connectée sur Okta : ajoutez ou retirez les OU utilisées pour importer des utilisateurs.

      Version en accès anticipé

    • Filtre d'utilisateur : Créez une syntaxe de requête afin d'importer les utilisateurs qui correspondent aux critères spécifiés par vos soins. La valeur par défaut est sAMAccountType=805306368.

      La modification des requêtes de filtre par défaut peut entraîner l'annulation de l'approvisionnement ou la désactivation des utilisateurs. Afin d'éviter d'obtenir des résultats non souhaités, Okta vous recommande fortement de tester ces filtres directement dans l'environnement de votre répertoire pour vous assurer que les résultats correspondent à vos attentes.

    • UO des groupes connectés à Okta : ajoutez ou retirez les OU utilisées pour importer des groupes.

      Version en accès anticipé

    • Filtre de groupe : Créez une syntaxe de requête afin d'importer les groupes qui correspondent aux critères spécifiés par vos soins. La valeur par défaut est objectCategory=group.

      La modification des requêtes de filtre par défaut peut entraîner l'annulation de l'approvisionnement ou la désactivation des groupes. Afin d'éviter d'obtenir des résultats non souhaités, Okta vous recommande fortement de tester ces filtres directement dans l'environnement de votre répertoire pour vous assurer que les résultats correspondent à vos attentes.

      Les attributs de lien ascendant, tels que memberOf, sont des attributs calculés qui ne sont pas stockés dans votre base de données AD. En conséquence, les modifications apportées à l'objet utilisateur ne sont pas visibles sur Okta et une opération d'importation ne sera pas effectuée durant les modifications. Évitez l'utilisation d'attributs calculés en tant qu'attributs mappés, surtout si des modifications sont nécessaires dans les systèmes en aval du fait des modifications apportées aux attributs. L'utilisation d'attributs calculés en tant qu'attributs mappés peut entraîner une incohérence des données entre votre instance Active Directory locale et Universal Directory. Pour plus d'informations, consultez Attributs construits.

  4. Cliquez sur Enregistrer.

  5. Facultatif. Dans la section Delegated Authentication (Authentification déléguée), sélectionnez Activer l'authentification déléguée à Active Directory (Activer l'authentification déléguée sur AD) si vous souhaitez qu'AD authentifie vos utilisateurs lors de leur connexion sur Okta.
  6. Cliquez sur Enregistrer.
  7. Cliquez sur Dans Okta dans la liste des Paramètres, puis sur Modifier, et dans la zone Général, procédez comme suit :
    • Planifier l'importation : sélectionnez la fréquence d'importation d'utilisateurs d'AD vers Okta.

      À la suite d'une importation réussie, à certaines conditions, Okta envoie automatiquement un e-mail à des administrateurs désignés. L'e-mail reprend le nombre d'utilisateurs et de groupes scannés, ajoutés, mis à jour ou retirés durant l'importation. Okta n'envoie l'e-mail que si le scan détecte de nouveaux groupes ou utilisateurs, ou des modifications liées à un profil utilisateur existant ou à une appartenance à un groupe.

    • Format de nom d'utilisateur Okta : le format de nom d'utilisateur que vous sélectionnez doit correspondre au format utilisé lors de la première importation d'utilisateurs. Modifier la valeur peut entraîner des erreurs affectant les utilisateurs existants. Sélectionnez l'une des options suivantes :

      • Nom d'utilisateur principal (UPN) : sélectionnez cette option pour utiliser l'UPN d'AD afin de créer le nom d'utilisateur Okta.
      • Adresse e-mail : sélectionnez cette option afin d'utiliser une adresse e-mail pour les noms d'utilisateur Okta.
      • Nom de compte SAM : sélectionnez cette option afin de combiner le Nom de compte SAM et le domaine AD afin de générer le nom d'utilisateur Okta. Par exemple, si le nom de compte SAM est jdoe et que le domaine AD est mycompany.okta.com, alors le nom d'utilisateur Okta sera jdoe@mycompany.okta.com.
      • Personnalisé : sélectionnez cette option afin d'utiliser un nom personnalisé pour votre connexion à Okta. Saisissez le Okta Expression Language afin de définir le format de nom d'utilisateur Okta. Pour valider votre expression de mappage, saisissez un nom d'utilisateur, puis cliquez sur Voir.

      Remarque : l'ensemble des utilisateurs Okta peuvent se connecter en saisissant la partie "alias" de leur nom d'utilisateur, tant qu'elle mappe vers un unique utilisateur de votre org. Par exemple, l'utilisateur de l'adresse jdoe@mycompany.okta.com peut se connecter en utilisant jdoe.

    • Approvisionnement JIT : sélectionnez Créer et mettre à jour des utilisateurs lors de la connexion afin de créer automatiquement des profils utilisateur Okta lors de la première authentification d'un utilisateur via l'authentification déléguée. Lorsqu'un profil utilisateur AD sourcé existe sur Okta, le profil utilisateur existant est mis à jour à la connexion de l'utilisateur, ou lorsqu'un administrateur consulte le profil.

    Les groupes de sécurité auxquels l'utilisateur appartient sont également importés si le groupe appartient à une OU sélectionnée. Si un utilisateur qui se connecte n'appartient pas à une OU sélectionnée, sa tentative de connexion échoue. Si vous activez l'approvisionnement JIT, l'authentification déléguée doit également être activée. Cette option peut être utilisée avec ou sans les importations planifiées. Pour plus d'informations sur JIT et les scénarios de domaine AD, consultez la FAQ sur l'intégration Active Directory.

    Certaines incohérences en matière d'appartenance peuvent survenir entre les importations « régulières » et l'approvisionnement JIT. Ces dysfonctionnements peuvent se produire en cas d'utilisation de groupes imbriqués. Durant les importations régulières, ne peuvent être détectés les groupes enfants hors de portée d'une OU de AD ou d'un filtre d'objet LDAP. Si un groupe parent est situé dans l'étendue d'une OU ou d'un filtre d'objet, sans que cela soit le cas de ses groupes enfants, il sera procédé à une résolution erronée de l'appartenance du groupe durant l'importation. L'approvisionnement JIT saura faire correspondre ces appartenances avec le groupe parent, dans la mesure où sa fonction détecte uniquement les appartenances dites "plates".

    • Prise en charge GSU) : sélectionnez Prise en charge des groupes de sécurité universels pour ignorer les limites de domaine lors de l'importation d'appartenances à des groupes pour vos utilisateurs. Les domaines en question doivent être connectés sur Okta. Vous devez également déployer un agent AD pour chaque domaine de votre forêt contenant l'objet GSU que vous souhaitez synchroniser avec Okta. Chaque domaine connecté importe alors ses groupes. Lorsque les appartenances aux groupes d'un utilisateur correspondent à tout groupe importé (depuis tout domaine connecté issu de la forêt), Okta synchronise les appartenances de l'utilisateur à chaque groupe; Seuls les groupes des domaines connectés sont importés. Ce paramètre ne peut être sélectionné que si l'option Approvisionnement JIT est sélectionnée au préalable.

    • Ne pas importer les utilisateurs : sélectionnez Ignore les utilisateurs lors de l'importation pour maintenir la synchronisation entre les groupes et les profils utilisateur sans importer de nouveaux utilisateurs depuis votre répertoire. Utilisez cette option lorsque vous souhaitez utiliser la fonctionnalité d'import afin de synchroniser des groupes, mais souhaitez créer des utilisateurs Okta grâce à l'approvisionnement juste-à-temps.

      Les groupes sont importés lorsque l'option Ignore les utilisateurs lors de l'importation est sélectionnée. Toutefois, les appartenances aux groupes ne sont pas mises à jour jusqu'à la finalisation d'une importation d'utilisateurs.

      Lorsque l'option Ignore les utilisateurs lors de l'importation est sélectionnée, toutes les importations sont exécutées en tant qu'importations complètes.

    • E-mails d'activation) : sélectionnez cette option pour empêcher Okta d'envoyer des e-mails d'activation aux nouveaux utilisateurs. Les administrateurs peuvent activer les utilisateurs.

      Okta recommande de désactiver l'envoi d'e-mails d'activation lors de l'intégration et la configuration AD initiales dans votre environnement d'aperçu. Ainsi, les utilisateurs finaux ne recevront des e-mails d'activation qu'une fois que vous aurez décidé qu'ils peuvent commencer à s'inscrire et à utiliser Okta .

    • Importe avec DirSync: sélectionnez cette option afin d'utiliser DirSync lors d'importations via AD. Après avoir activé cette fonction pour une intégration d'AD, la prochaine importation effectuée est une importation complète. Ceci est nécessaire pour autoriser DirSync à utiliser des importations incrémentielles, ce qui offre des importations Delta avec AD qui améliorent considérablement les performances. De même, lorsque vous désactivez DirSync pour une intégration AD, la prochaine importation est une importation complète.

      Cette fonctionnalité ne peut pas être activée sur les organisations qui disposent d'une instance app Office 365 avec la synchronisation universelle activée pour cette instance d'AD.

      Version de l'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

  8. Cliquez sur Enregistrer.

  9. Dans la section Création et correspondance d'utilisateurs, cliquez sur Modifier et sélectionnez les conditions en vertu desquelles les utilisateurs importés seront identifiés en tant qu'utilisateurs Okta correspondants.

    Les règles de correspondance sont utilisées dans le cadre de l'importation d'utilisateurs depuis toutes les applications et tous les répertoires qui permettent l'importation. S'il y a un compte Okta, AD vous autorisera à importer et à confirmer automatiquement les utilisateurs. AD, OPP et l'ensemble des applications prenant en charge l'approvisionnement sont également compatibles avec l'importation et la confirmation automatiques d'utilisateurs sur Okta. En établissant des critères (ou des règles) de correspondance, vous pouvez spécifier la manière dont un utilisateur importé doit être mappé à un utilisateur Okta existant. Définissez clairement les règles de correspondance afin d'empêcher la création d'instances multiples pour le même utilisateur.

    Cette fonctionnalité ne s'applique pas pour les listes d'utilisateurs importées au format CSV.

    • L'utilisateur importé est une correspondance exacte avec un utilisateur d'Okta si : choisissez l'une des options suivantes.
      • Le format de nom d'utilisateur Okta correspond
      • L'adresse e-mail correspond
      • Les attributs obligatoires suivants correspondent : faites votre choix dans la liste d'options afin d'établir vos critères. Pour que le nouvel utilisateur importé soit considéré comme une correspondance exacte, chaque option que vous sélectionnez doit être correcte.
      • Les attributs suivants correspondent : faites votre choix dans la liste d'options afin d'établir vos critères. Pour que le nouvel utilisateur importé soit considéré comme une correspondance exacte, chaque option que vous sélectionnez doit être correcte.
    • Autoriser les correspondances partielles : sélectionnez cette option pour permettre une correspondance partielle apparaît lorsque le prénom et le nom de famille d'un utilisateur importé correspondent à ceux d'un utilisateur Okta existant, mais que le nom d'utilisateur ou l'adresse e-mail ne correspondent pas.
    • Confirmer les utilisateurs qui correspondent : sélectionnez Confirmer automatiquement les correspondances parfaites ou Auto-confirm partial matches(Confirmer automatiquement les correspondances partielles) afin de confirmer automatiquement les correspondances exactes ou partielles. Si vous ne sélectionnez pas d'option, les correspondances seront confirmées ou activées manuellement une fois le statut de la correspondance établi et les utilisateurs activés sur la page Personnes (RépertoirePersonnes).
    • Confirmer les nouveaux utilisateurs : sélectionnez Confirmer automatiquement les nouveaux utilisateurs ou Activer automatiquement les nouveaux utilisateurs afin de confirmer ou d'activer automatiquement les nouveaux utilisateurs en présence des critères correspondants. Si vous ne sélectionnez pas d'option, les nouveaux utilisateurs seront confirmés ou activés manuellement sur la page Personnes (RépertoirePersonnes).

  10. Cliquez sur Enregistrer.

  11. Afin de définir les paramètres de Sourcing de profil et de cycle de vie, cliquez sur Modifier et effectuez les paramétrages suivants :
    • Autoriser Active Directory à sourcer les utilisateurs Okta) : cette option est activée par défaut. Le sourcing de profils fait d'Active Directory l'autorité d'identité pour les utilisateurs connectés. Après activation, les profils d'utilisateurs ne sont pas modifiables dans Okta et les modifications sont synchronisées avec Okta lors des événements d'approvisionnement. Vous pouvez désactiver cette option pour que AD soit traité comme une application normale. Si vous désactivez cette fonctionnalité, les mises à jour utilisateur que vous effectuerez sur AD ne seront pas renvoyées vers le profil utilisateur dans Okta. Par exemple, si vous modifiez un nom d'utilisateur dans AD, la modification n'affectera pas l'utilisateur Okta. Cependant, les utilisateurs peuvent réinitialiser leurs mots de passe AD dans Okta en utilisant la réinitialisation de mot de passe en libre-service, tant que l'authentification déléguée est activée.
    • Lorsqu'un utilisateur est désactivé dans l'application : spécifiez quelle action Okta doit effectuer si le compte de l'utilisateur est désactivé dans Okta.
      • Ne rien faire : aucune action n'est effectuée.
      • Désactiver : désactive le compte LDAP de l'utilisateur dès lors qu'ils sont désaffectés d'Okta ou que leur compte Okta est désactivé. Les comptes peuvent être réactivés si l'application est réaffectée à un utilisateur dans Okta.
      • Suspendre : suspend le compte LDAP des utilisateurs dès lors qu'ils sont désaffectés d'Okta ou que leur compte Okta est désactivé. Les comptes peuvent être réactivés si l'application est réaffectée à un utilisateur dans Okta.
    • Lorsqu'un utilisateur est réactivé dans l'application : spécifiez quelle action Okta doit effectuer si le compte de l'utilisateur est réactivé dans Okta.
      • Réactiver les utilisateurs Okta suspendus : réactive les utilisateurs suspendus d'Okta s'ils sont réactivés dans LDAP.
      • Réactiver les utilisateurs Okta désactivés : réactive les utilisateurs Okta désactivés s'ils sont réactivés dans LDAP.

  12. Cliquez sur Enregistrer.

  13. Facultatif. Pour définir les paramètres de protection d'importations, cliquez sur Modifier et procédez comme suit :
    • Protection contre les annulations d'affectation d'applications : sélectionnez Activé afin d'activer les protections d'importation, ou sélectionnez Désactivé afin de désactiver les protections d'importation.
    • seuil pour les annulations d'affectation provenant de n'importe quelle application : saisissez le pourcentage de désaffectations autorisées par application ou à l'échelle de l'organisation, ou sélectionnez Définir la valeur par défaut, afin de définir ce pourcentage comme valeur par défaut.

    • Protection contre les annulations d'affectation dans l'ensemble de l'Org : sélectionnez Activé afin d'activer les protections d'importation pour l'ensemble de l'org, ou sélectionnez Désactivé afin de désactiver les protections d'importation pour l'ensemble de l'org.

    • est le seuil pour les annulations d'affectation dans l'ensemble de l'org : saisissez le pourcentage de désaffectations autorisées par application ou à l'échelle de l'organisation, ou sélectionnez Définir la valeur par défaut, afin de définir ce pourcentage comme valeur par défaut dans l'organisation.

  14. Cliquez sur Enregistrer.

Étapes suivantes

Configurer les paramètres d'approvisionnement Active Directory