Configurer les paramètres d'approvisionnement de LDAP à Okta

Après avoir installé et configuré l'agent LDAP d'Okta, vous pourrez recourir à cette procédure pour mettre à jour vos paramètres d'approvisionnement de LDAP à Okta suivant l'évolution des besoins de votre org. Les paramètres d'approvisionnement de LDAP à Okta définissent la façon dont les données utilisateur sur LDAP sont partagées et gérées avec Okta.

  1. Dans l'Admin Console, accédez à RépertoireIntégrations de répertoires.
  2. Sélectionnez l'agent LDAP dans la liste des répertoires.
  3. Cliquez sur l'onglet Provisioning (Approvisionnement), puis sélectionnez To Okta (Dans Okta) dans la liste de paramètres.
  4. Cliquez sur Modifier et configurez les paramètres suivants :
    • Planifier l'importation) – sélectionnez la fréquence d'importation d'utilisateurs de LDAP vers Okta.
    • Format de nom d'utilisateur Okta — spécifiez un format de nom d'utilisateur. Lorsque vous importez des utilisateurs de LDAP, Okta utilise cet attribut pour générer le nom d'utilisateur Okta. Lorsque vous accédez aux Import Settings (Paramètres d'importation) durant la configuration LDAP, le format de nom d'utilisateur correspond à l'option que vous avez sélectionnée lorsque vous avez testé la configuration, et vous ne devriez pas avoir besoin de le modifier. Vous pouvez également accéder à cette page ultérieurement et sélectionner une autre option, si nécessaire. Les noms d'utilisateur doivent être au format "adresse e-mail", alors veillez à ce que l'option sélectionnée soit adaptée à votre environnement.

    Vous pouvez utiliser des expressions personnalisées afin de créer des noms d'utilisateur pour les utilisateurs importés, mais l'expression personnalisée n'est pas prise en compte lors de la détermination de la requête de recherche utilisée pour localiser des comptes sur LDAP durant un approvisionnement JIT. Si vous configurez le champ dédié au format de nom d'utilisateur Okta comme Personnalisé, activez l'approvisionnement JIT, et qu'un compte utilisateur LDAP n'existe pas, le répertoire LDAP sera exploré afin de trouver l'attribut de l'identifiant unique (uid) ou de l'e-mail (mail) correspondant au nom d'utilisateur utilisé pour la connexion à Okta.

    • Mettre à jour le nom d'utilisateur sur l'application : ce paramètre ne peut être modifié.
    • E-mails d'activation : sélectionnez cette option si vous souhaitez envoyer des e-mails d'activation pour les nouveaux utilisateurs.
    • Importation incrémentielle — sélectionnez cette option pour importer uniquement les utilisateurs qui ont été créés ou mis à jour depuis votre dernière importation. Les règles de correspondance sont uniquement évaluées par rapport à ces utilisateurs. C'est le type d'importation effectué via les importations planifiées.
    • Décalage maximal de l'horloge : l'importation incrémentielle utilise l'attribut modifyTimestamp afin de déterminer si une entrée LDAP a été importée. Toutefois, l'horloge système sur certains serveurs LDAP locaux peut reculer, ce qui peut entraîner un défaut de certaines mises à jour. Afin d'empêcher le défaut de mises à jour, définissez la variation d'horloge sur une valeur qui constituera le taux maximal de dérive de l'horloge sur le serveur. Pour améliorer les performances de l'importation incrémentielle, il est important d'indexer l'attribut modifyTimestamp sur votre serveur LDAP.
  5. Cliquez sur Enregistrer.
  6. Afin de définir les paramètres de Création et correspondance d'utilisateurs, cliquez sur Modifier et effectuez les paramétrages suivants :

    • L'utilisateur importé correspond parfaitement à un utilisateur Okta si : Les règles de correspondance sont utilisées dans le cadre de l'importation d'utilisateurs depuis toutes les applications et tous les répertoires qui autorisent l'importation. En établissant des critères de correspondance, vous pouvez spécifier la manière dont un utilisateur importé doit être défini en tant que nouvel utilisateur ou mappé à un utilisateur Okta existant.

      Sélectionnez les critères de correspondance permettant de déterminer si un utilisateur importé correspond bien à un utilisateur Okta existant. Pour établir vos critères, sélectionnez la combinaison de votre choix dans la liste des options. Pour que le nouvel utilisateur importé soit considéré comme une correspondance exacte, chaque option que vous sélectionnez doit être True. Remarque : si vous optez pour la troisième option, les premiers et deuxièmes choix sont désactivés.

    • Autoriser les correspondances partielles : une correspondance partielle apparaît lorsque le prénom et le nom de famille d'un utilisateur importé correspondent à ceux d'un utilisateur Okta existant, mais que le nom d'utilisateur ou l'adresse e-mail de l'utilisateur ne correspondent pas.

    • Confirmer les utilisateurs qui correspondent : cette fonctionnalité permet d'automatiser la confirmation ou l'activation des utilisateurs existants. Les correspondances décochées doivent être confirmées manuellement.

    • Confirmer les nouveaux utilisateurs : cette fonctionnalité permet d'automatiser la confirmation ou l'activation d'un utilisateur qui vient d'être importé. Si vous sélectionnez cette option, il vous sera possible de la décocher lors de la confirmation de l'importation. Remarque : cette fonctionnalité ne s'applique pas aux utilisateurs déjà existants dans Okta.

      Pour plus d'informations sur l'annulation de l'approvisionnement, consultez la section Approvisionner les applications.

  7. Cliquez sur Enregistrer.
  8. Afin de définir les paramètres de Sourcing de profil et de cycle de vie, cliquez sur Modifier et effectuez les paramétrages suivants :
    • Allow LDAP to source Okta users (Autoriser LDAP à sourcer les utilisateurs Okta) – cette option est activée par défaut. Le sourcing de profils fait de LDAP l'autorité d'identité pour les utilisateurs connectés. Après activation, les profils d'utilisateurs ne sont pas modifiables dans Okta et les modifications sont synchronisées avec Okta lors des événements d'approvisionnement. Vous pouvez désactiver cette option pour que LDAP soit traité comme une application normale. Si vous désactivez cette fonctionnalité, les mises à jour utilisateur que vous effectuerez sur LDAP ne seront pas renvoyées vers l'utilisateur dans Okta. Par exemple, si vous modifiez un nom d'utilisateur dans LDAP, la modification n'affectera pas l'utilisateur Okta. Si vous désactivez LDAP comme source de profil, vous ne pourrez pas réinitialiser le mot de passe LDAP d'un utilisateur dans Okta, car ses identifiants seront toujours gérés par LDAP. Vous pouvez, toutefois, désactiver l'authentification déléguée et (voir Activer l'authentification déléguée pour LDAP) activer l'option Synchroniser un mot de passe afin de renvoyer les mots de passe vers LDAP. En d'autres termes, vos utilisateurs ont leur mot de passe Okta délégué, mais toute mise à jour de mot de passe ultérieure sera renvoyée vers LDAP.
    • Lorsqu'un utilisateur est désactivé dans l'application : spécifiez quelle action Okta doit effectuer si le compte de l'utilisateur est désactivé dans Okta.
      • Ne rien faire – aucune action n'est effectuée.
      • Désactiver – désactive le compte LDAP des utilisateurs dès lors qu'ils sont désaffectés d'Okta ou que leur compte Okta est désactivé. Les comptes peuvent être réactivés si l'application est réaffectée à un utilisateur dans Okta.
      • Suspendre – suspend le compte LDAP des utilisateurs dès lors qu'ils sont désaffectés d'Okta ou que leur compte Okta est désactivé. Les comptes peuvent être réactivés si l'application est réaffectée à un utilisateur dans Okta.
    • Lorsqu'un utilisateur est réactivé dans l'application : spécifiez quelle action Okta doit effectuer si le compte de l'utilisateur est réactivé dans Okta.
      • Réactiver les utilisateurs Okta suspendus – réactiver les utilisateurs Okta suspendus s'ils sont réactivés dans LDAP.
      • Réactiver les utilisateurs Oktadésactivés – réactiver les utilisateurs Okta désactivés s'ils sont réactivés dans LDAP.
  9. Cliquez sur Enregistrer.
  10. Facultatif. Pour définir les paramètres de protection d'importations, cliquez sur Modifier et procédez comme suit :
    • Protection contre les annulations d'affectation d'applications — sélectionnez Activé afin d'activer les protections d'importation, ou sélectionnez Désactivé afin de désactiver les protections d'importation.
    • seuil pour les annulations d'affectation provenant de n'importe quelle application – saisissez le pourcentage de désaffectations autorisées par application ou à l'échelle de l'org, ou sélectionnez Définir la valeur par défaut, afin de définir ce pourcentage comme valeur par défaut.

    • Protection contre les annulations d'affectation dans l'ensemble de l'Org — sélectionnez Activé afin d'activer les protections d'importation pour l'ensemble de l'org, ou sélectionnez Désactivé afin de désactiver les protections d'importation pour l'ensemble de l'org.

    • est le seuil pour les annulations d'affectation dans l'ensemble de l'org – saisissez le pourcentage de désaffectations autorisées par application ou à l'échelle de l'org, ou sélectionnez Définir la valeur par défaut, afin de définir ce pourcentage comme valeur par défaut dans l'org.

  11. Cliquez sur Enregistrer.

Rubriques liées

Protections d'importation