Modifier les paramètres d'intégration LDAP
Mettez à jour vos paramètres d'intégration suivant l'évolution des besoins de votre org
- Dans l'Admin Console, accédez à .
- Sélectionnez l'agent LDAP dans la liste des répertoires.
- Cliquez sur l'onglet Provisioning(Approvisionnement), puis sur Integration(Intégration) dans la liste des Paramètres.
- Dans la liste Version (Version), sélectionnez un fournisseur de répertoire. Les modèles de configuration spécifiques à un fournisseur sont fournis et les paramètres de configuration sont alors prédéfinis pour vous. Dans la mesure où chaque environnement LDAP est unique, il vous faut confirmer les valeurs par défaut. Il n'est pas nécessaire d'insérer des valeurs pour l'ensemble des paramètres de configuration. Voir la section Configurer les services du répertoire LDAP pris en charge
Si votre fournisseur LDAP n'est pas sur la liste, remplissez les champs de configuration manuellement.
- Dans la section Configuration (Configuration), configurez les paramètres suivants :
- Attribut d'identificateur unique : saisissez l'attribut inaltérable unique de l'ensemble des objets LDAP qui seront importés (utilisateurs et groupes). Seuls les objets avec cet attribut peuvent être importés dans votre org Okta. Vous pouvez modifier la valeur renseignée automatiquement durant la configuration initiale. Si votre serveur LDAP implémente RFC 4530, veillez à saisir entryuuid dans ce champ. Pour AD LDS, utilisez objectguid.
- Attribut DN : saisissez l'attribut sur l'ensemble des objets LDAP qui contiennent la valeur Distinguished Name (Nom unique).
- Dans la section User (Utilisateur), configurez les paramètres suivants :
- Base de recherche des utilisateurs : saisissez le nom unique du conteneur dédié aux recherches d'utilisateurs, soit la racine du sous-arbre. Il s'agit du nom unique de base du conteneur qui contient tous les utilisateurs importés à votre org Okta. Par exemple : cn=Utilisateurs, dc=exemple, dc=com.
- Classe d'objets utilisateur — saisissez la classe d'objets objectClass d'un utilisateur utilisée par Okta lors de sa requête au moment de l'importation d'utilisateurs. Par exemple, inetorgperson, posixaccount, posixuser.
- Classe d'objets auxiliaires — saisissez une liste de classes d'objets auxiliaires objectClass séparées par une virgule. Okta les utilise dans sa requête lors de l'importation d'utilisateurs. Par exemple, auxClass1,auxClass2.
- Filtre d'objets utilisateur — Okta remplit automatiquement ce champ. Si vous en modifiez la valeur, il devra s'agir d'un filtre LDAP valide.
Utilisez la notation de filtre de recherche LDAP standard (RFC 2254). Par exemple :
(&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))La même fonction de filtre est disponible pour les objets de groupe.
- Attribut de compte désactivé — saisissez l'attribut utilisateur indiquant si le compte est désactivé pour l'utilisateur dans Okta. Si cet attribut présente la valeur spécifiée dans le champ Valeur du compte désactivé, le compte utilisateur est désactivé.
- Valeur du compte désactivé — saisissez la valeur qui indique que le compte est verrouillé (par exemple, TRUE).
- Valeur du compte activé — saisissez la valeur qui indique que le compte est déverrouillé (par exemple, TRUE).
- Attribut du mot de passe — saisissez l'attribut du mot de passe.
- Attribut d'expiration du mot de passe — saisissez le nom d'attribut pour l'expiration de mot de passe. Il s'agit généralement d'une valeur booléenne. Si vous sélectionnez un répertoire LDAP qui ne se trouve pas sur la liste des répertoires pris en charge, consultez la documentation de votre serveur LDAP et utilisez la valeur indiquée.
- Dans la section Attributs utilisateur supplémentaires, vous pouvez spécifier jusqu'à quatre attributs supplémentaires à importer depuis LDAP.
- Dans la section Groupe, renseignez les champs suivants :
- Base de recherche de groupes — saisissez le nom unique du conteneur dédié aux recherches de groupes, soit la racine du sous-arbre des groupes, qui contient l'ensemble des groupes qui seront importés dans votre org Okta. For exemple : ou=groupes, dc=exemple, dc=com.
- Classe d'objets de groupe — saisissez la classe d'objets (objectClass) d'un groupe utilisé par Okta dans sa requête lors que l'importation de groupes. Par exemple, groupofnames, groupofuniquenames, posixgroup.
- Filtre d'objets de groupe – par défaut, Okta remplit automatiquement ce champ avec la classe d'objets objectClass du groupe (objectClass=<nom objectClass saisi>).
- Attribut de membre — saisissez l'attribut contenant l'ensemble des noms uniques de membres.
- Attribut d'utilisateur — Okta utilise l'attribut de membre sur l'objet de groupe afin de déterminer les appartenances aux groupes d'utilisateurs durant l'exécution. Si votre objet de groupe et votre filtre de groupe ne sont pas précisément posixGroup et (objectclass=posixGroup), laissez vide le champ d'attribut utilisateur. Si vous utilisez posixGroup, configurez la valeur d'attribut de membre comme memberUID (UID de membre) et la valeur d'attribut d'utilisateur comme uid.
- Dans la section Rôle, renseignez les champs suivants :
- Classe d'objets — la classe d'objets objectClass d'un rôle.
- Attribut d'appartenance — l'attribut de l'objet utilisateur qui indique l'appartenance d'un rôle, en d'autres termes, ce qui contient les noms uniques des rôles.
- Validez vos paramètres de configuration.
- Saisissez un nom d'utilisateur dans le champ Example username (Exemple de nom d'utilisateur).
Vérifiez que l'ensemble des détails de l'utilisateur qui s'affichent sont correctes. Si les groupes attendus ne sont pas inclus dans la liste, les importations de groupes sont susceptibles d'échouer ultérieurement.
- Cliquez sur Tester la configuration.
Si les paramètres de votre configuration sont valides, le message Validation successful! (Validation réussie !) s'affichera en regard des informations retournées concernant l'objet utilisateur. S'il y a un problème avec votre configuration, ou si l'utilisateur ne peut pas être trouvé, vous serez invité(e) à vérifier vos paramètres.