Configurer les paramètres d'intégration LDAP

Une fois l'agent LDAP d'Okta installé, vous devrez configurer les paramètres de l'intégration de façon à autoriser l'échange de données avec Okta.

  1. Dans l'Admin Console, accédez à RépertoireIntégrations de répertoires.

  2. Cliquez sur l'agent LDAP d'Okta présentant la mention Not yet configured (Configuration non effectuée).
  3. Configurez les paramètres suivants :
    • Version LDAP — sélectionnez un fournisseur LDAP. Consultez Répertoires LDAP pris en charge.

      Quand vous sélectionnez un fournisseur LDAP, les valeurs de configuration spécifiques audit fournisseur sont automatiquement ajoutées. Si votre fournisseur LDAP n'est pas dans la liste, remplissez les champs de configuration manuellement, en utilisant les informations contenues dans la documentation de votre fournisseur. Confirmez l'exactitude des valeurs par défaut. Il n'est pas nécessaire d'insérer des valeurs pour l'ensemble des paramètres de configuration.

      Après avoir sélectionné votre fournisseur LDAP , configuré votre intégration et utilisé votre intégration dans votre org, vous ne pourrez pas modifier le fournisseur de cette intégration. Vous devez créer une autre intégration et la configurer avec les différents fournisseurs LDAP.

    • Attribut d'identificateur unique — valeur automatiquement saisie, définie par le fournisseur LDAP sélectionné. Cette valeur définit l'attribut unique non modifiable de l'ensemble des objets LDAP importés (utilisateurs et groupes). Seuls les objets avec cet attribut peuvent être importés dans votre org Okta. Vous pouvez modifier la valeur renseignée automatiquement durant la configuration initiale. Remarque : si votre serveur LDAP implémente RFC 4530, veillez à saisir entryuuid dans ce champ. Pour AD LDS, utilisez objectguid.
    • Attribut DN — valeur automatiquement saisie, définie par le fournisseur LDAP sélectionné. L'attribut sur l'ensemble des objets LDAP qui contiennent la valeur Distinguished Name (Nom unique).
  4. Dans la section User (Utilisateur), configurez les paramètres suivants :
    • Base de recherche des utilisateurs — saisissez le nom unique (DN) du conteneur dédié aux recherches d'utilisateurs, soit la racine du sous-arbre. Il s'agit du nom unique de base du conteneur qui contient tous les utilisateurs importés à votre org Okta. Par exemple : cn=Utilisateurs, dc=exemple, dc=com.
    • Classe d'objets utilisateur  — la classe d'objets objectClass d'un utilisateur utilisée par Okta lors de sa requête au moment de l'importation d'utilisateurs. Par exemple, inetorgperson, posixaccount, posixuser.
    • classe d'objets auxiliaires: Facultative. Saisissez une liste de classes d'objets objectClass, avec la virgule comme séparateur, qui pourront être utilisés dans les requêtes d'importation d'Okta. Par exemple, auxClass1,auxClass2.
    • Filtre d'objets utilisateur — valeur automatiquement saisie, définie par le fournisseur LDAP sélectionné. Par défaut, il s'agit de objectClass (objectClass=<nom objectClass saisi>). Il doit s'agit d'un filtre LDAP valide.

      Utilisez la notation de filtre de recherche LDAP standard (RFC 2254). Par exemple : (&(givenName=Bab*)(|(sn=Jensen)(cn=Babs J*)))

      La même fonction de filtre est disponible pour les objets de groupe.

    • Attribut de compte désactivé — saisissez l'attribut indiquant si le compte utilisateur est désactivé dans Okta. Si cet attribut présente la valeur spécifiée dans le champ Account Disabled Value (Valeur du compte désactivé), le compte utilisateur est désactivé.
    • Valeur du compte désactivé — saisissez la valeur qui indique que le compte est verrouillé (par exemple, TRUE).
    • Attribut du mot de passe — saisissez l'attribut du mot de passe.
    • Attribut d'expiration du mot de passe — une valeur automatiquement renseignée lorsqu'un fournisseur LDAP compatible est sélectionné. Si votre fournisseur de répertoire n'est pas dans la liste, consultez la documentation de votre serveur LDAP ou sa configuration en ce qui concerne la valeur liée à l'expiration de mot de passe. Bien souvent, cet attribut est une valeur booléenne.
    • Attributs utilisateur supplémentaires — Facultatif. Saisissez davantage d'attributs utilisateur à importer depuis LDAP.
  5. Complétez la section Group (Groupe) ou Role (Rôle). Généralement, l'une ou l'autre est utilisée.

    Groupe

    • Base de recherche de groupes— saisissez le nom unique du conteneur dédié aux recherches de groupes, soit la racine du sous-arbre des groupes, qui contient l'ensemble des groupes qui seront importés dans votre org Okta. For exemple : ou=groupes, dc=exemple, dc=com.
    • Classe d'objets de groupe — saisissez la classe d'objets (objectClass) du groupe utilisé par Okta dans sa requête lors que l'importation de groupes. Par exemple, groupofnames, groupofuniquenames, posixgroup.
    • Filtre d'objets de groupe– une valeur automatiquement remplie lorsqu'un fournisseur LDAP compatible est sélectionné. (objectClass=<nom objectClass saisi>).
    • Attribut de membre — l'attribut contenant l'ensemble des noms uniques de membres.
    • Attribut d'utilisateur — Okta utilise l'attribut de membre sur l'objet de groupe afin de déterminer les appartenances aux groupes d'utilisateurs durant l'exécution. Si votre objet de groupe et votre filtre de groupe ne sont pas précisément posixGroup et (objectclass=posixGroup), laissez ce champ vide. Si vous utilisez posixGroup, configurez la valeur d'attribut de membre comme memberUID (UID de membre) et la valeur d'attribut d'utilisateur comme uid. Examinez les scénarios suivants :
      • Si l'objet de groupe et le filtre de groupe sont tous les deux posixGroup, alors saisissez memberUid dans le champ Attribut d'utilisateur ) .
      • Si l'objet de groupe et le filtre de groupe sont tous les deux posixGroup, alors saisissez Attribut d'utilisateur dans le champ Attribut utilisateur ) .

    Rôle

    • Classe d'objets — la classe d'objets objectClass d'un rôle.
    • Attribut d'appartenance — l'attribut de l'objet utilisateur qui indique l'appartenance d'un rôle, en d'autres termes, ce qui contient les noms uniques des rôles.
  6. Configurez les paramètres suivants dans la section sur la configuration de la Validation :
    1. Exemple de nom d'utilisateur.

      Lorsque vous importez des utilisateurs depuis LDAP? ces paramètres sont utilisés pour générer le nom d'utilisateur Okta que vos utilisateurs utilisent pour se connecter sur Okta.

      Okta exige que les noms d'utilisateur soient au format e-mail. En configurant ces options correctement, vous vous assurerez que les noms d'utilisateur répondent à cette exigence.

      • Adresse e-mail

        Sélectionnez cette option si vous souhaitez que l'adresse e-mail LDAP d'un utilisateur soit leur nom d'utilisateur Okta. Sur LDAP, les adresses e-mail doivent être uniques.

        Par exemple, si les adresses e-mail dans LDAP sont user.name@example.com et que vous sélectionnez le format de nom d'utilisateur Adresse e-mail Okta, saisissez user.name@example.com dans le champ Nom d'utilisateur.

      • Numéro de l'employé (employeeNumber)

        Sélectionnez cette option afin d'utiliser le nom commun d'un utilisateur comme nom d'utilisateur Okta.

      • Common Name — CN (Nom courant)

        Sélectionnez cette option afin d'utiliser le nom commun d'un utilisateur comme nom d'utilisateur Okta.

      • Identifiant de l'utilisateur (UID)

        Sélectionnez cette option uniquement si la valeur de l'UID dans le répertoire LDAP est déjà au format "adresse e-mail".

        Par exemple, si l'UID sur LDAP est déjà au format adresse e-mail, par exemple user.name@example.com, et que vous sélectionnez le format de nom d'utilisateur Okta ID utilisateur (UID), saisissez user.name@example.com dans le champ Nom d'utilisateur.

      • ID utilisateur (UID) + suffixe configurable

        Sélectionnez cette option uniquement si la valeur UID dans LDAP ne possède pas de suffixe d'e-mail et si vous souhaitez que les utilisateurs finaux se connectent en utilisant un suffixe d'e-mail configurable.

        Par exemple, si l'UID dans LDAP est user.1234 et que vous sélectionnez le format de nom d'utilisateur Okta ID utilisateur (UID) + suffixe configurable, saisissez yourconfigurablesuffix.com dans le champ Suffixe configurable, et saisissez user.1234@yourconfigurablesuffix.com dans le champ Nom d'utilisateur.

      • ID utilisateur (UID) @ Domaine

        Sélectionnez cette option uniquement si la valeur UID dans LDAP ne possède pas de suffixe d'e-mail et si vous souhaitez que les noms d'utilisateur Okta incluent le nom de domaine de votre entreprise dans le suffixe de l'e-mail.

        Si l'UID dans LDAP est user.1234, que le nom de domaine de votre entreprise est yourdomainname et que vous sélectionnez le format de nom d'utilisateur Okta ID utilisateur (UID) @ domaine, saisissez user.1234@yourdomainname.com dans le champ Nom d'utilisateur.

      • Choisir à partir du schéma

        Sélectionnez cette option pour utiliser une unique valeur, un attribut de chaîne LDAP, comme nom d'utilisateur Okta. Une liste des attributs disponibles apparaît à la sélection de cette option.

    2. Saisissez le nom d'utilisateur Username.

      Saisissez le nom d'utilisateur d'un utilisateur au format spécifié pour les noms d'utilisateur. Le nom d'utilisateur que vous saisissez identifie exclusivement un unique utilisateur dans votre répertoire LDAP. Okta exécute une requête qui récupère la liste de détails suivante pour cet utilisateur spécifique. Vérifiez que l'ensemble des informations qui s'affichent sont correctes.

      • Statut
      • UID
      • Identifiant unique
      • Distinguished Name (Nom unique)
      • Full Name (Nom complet)
      • E-mail
      • Groupes — l'ensemble des groupes de la classe d'objets de groupe spécifiée Group Object Class dans la Group Search Base (Base de recherche de groupe) dont l'utilisateur est membre. Si les groupes attendus ne sont pas inclus dans la liste, les importations de groupes sont susceptibles d'échouer ultérieurement.
    3. Cliquez sur Tester la configuration.

      Si les paramètres de votre configuration sont valides, le message Validation successful! (Validation réussie !) s'affichera en regard des informations retournées concernant l'objet utilisateur. S'il y a un problème avec votre configuration, ou si l'utilisateur ne peut pas être trouvé, vous serez invité(e) à vérifier vos paramètres.

  7. Lorsque vos paramètres sont validés cliquez sur Suivant, puis sur Terminé afin de finaliser la configuration LDAP.

    Une fois vos paramètres validés, Okta commence le processus de reconnaissance de schémas LDAP.

Rubrique liée

Gérer l'agent LDAP Okta