PDF (adobe.com)

A propos de Contribute et de LDAP ou Active Directory

Le protocole LDAP (Lightweight Directory Access Protocol) permet d'accéder aux annuaires d'informations. Microsoft Active Directory et LDAP constituent deux types de services d'annuaire. Dans le cas des services d'annuaire, un répertoire est semblable à un annuaire téléphonique et non à un répertoire (dossier) sur votre ordinateur.

Vous pouvez intégrer le service Annuaire d'utilisateurs de CPS à votre service d'annuaires. L'annuaire d'utilisateurs est un service d'application qui permet de gérer les utilisateurs de façon centralisée.

Lorsque vous procédez à l'intégration avec vos services d'annuaires LDAP, vous contrôlez les personnes qui peuvent accéder à votre site Web, ainsi que la façon dont elles sont identifiées.

Branches LDAP
Le service Annuaire d'utilisateurs permet d'ajouter l'ensemble de votre annuaire d'utilisateurs LDAP à votre site Web ou d'indiquer les branches à rechercher de façon spécifique.

Vous disposez des options suivantes :

  • Ajouter le nœud racine de votre arborescence LDAP à l'annuaire d'utilisateurs et autoriser la recherche d'utilisateurs ou de groupes dans les différentes branches.

  • Ajouter des branches spécifiques dans l'annuaire d'utilisateur et déterminer la portée de la recherche ; la recherche pouvant porter sur une branche spécifique ou une branche et ses ramifications. De cette façon, vous pouvez exclure certaines branches de l'arborescence LDAP au cours de la recherche.

    Pour toute branche ajoutée, vous pouvez définir une recherche d'utilisateurs ou une recherche d'utilisateurs et de groupes.

    Par exemple, supposons que votre annuaire LDAP comporte trois branches  : Est, Central et Ouest. Vous souhaitez procéder à l'intégration avec l'annuaire LDAP, par conséquent, dans l'exemple suivant, vous allez ajouter une branche pour la recherche d'utilisateurs dans l'annuaire d'utilisateurs :

    User branch with baseDN:o=MyCompany, Search Scope:SUBTREE_LEVEL, filter:(objectClass=organizationalPerson)

    Supposons que vous deviez ensuite inclure uniquement les branches Central et Ouest et définir des recherches d'utilisateurs et de groupes. Ajoutez les quatre branches suivantes à l'annuaire d'utilisateurs :

    User branch with baseDN:ou=Central,o=MyCompany, Search Scope:SUBTREE_LEVEL, filter:(objectClass=organizationalPerson) 
User branch with baseDN:ou=West,o=MyCompany, Search Scope:SUBTREE_LEVEL, filter:(objectClass=organizationalPerson) 
Group branch with baseDN:ou=Central,o=MyCompany, Search Scope:SUBTREE_LEVEL, filter:(objectClass=groupOfNames) 
Group branch with baseDN:ou=West,o=MyCompany, Search Scope:SUBTREE_LEVEL, filter:(objectClass=groupOfNames)

Autorisations LDAP et de Contribute
L'intégration de l'annuaire LDAP au sein du serveur CPS permet d'ajouter une nouvelle couche d'autorisation. Lors de la connexion à un serveur LDAP ou Active Directory, CPS respecte les autorisations de fichier/dossier définies par le service LDAP ou Active Directory. Les autorisations de Contribute se situent au-dessus des autorisations de service de répertoire ou de réseau/serveur et sont appliquées globalement.

Les autorisations de Contribute sont enregistrées dans un fichier XML, au niveau de la racine de votre site Web et contient des commandes spécifiques pour l'environnement de modification de Contribute. Elles ne sont pas attribuées en fonction de l'utilisateur ; elles sont simplement des groupes de paramètres que Contribute lit lors de sa première connexion à un site Web. Contribute se conforme ensuite à ces paramètres lors de la modification. Les administrateurs de Contribute peuvent définir l'accès à certains dossiers pour différents rôles utilisateur.

Types d'authentification LDAP
CPS authentifie les utilisateurs en fonction de l'annuaire LDAP. Pour que le serveur CPS authentifie un utilisateur, le serveur LDAP doit vérifier le nom d'affichage de l'utilisateur. Il s'agit généralement d'un nom unique dans l'arborescence LDAP qui est associé à l'utilisateur. Le serveur CPS reçoit uniquement un nom d'utilisateur, il doit donc extraire le nom d'affichage de l'utilisateur, à partir du nom d'utilisateur, pour authentifier ce dernier.

Lors de la configuration du service Annuaire d'utilisateurs, vous pouvez sélectionner l'un des quatre types d'authentification LDAP :

  1. La liaison LDAP authentifie les utilisateurs en ajoutant le préfixe et le suffixe spécifiés à l'ID utilisateur. Ainsi, vous ne pouvez spécifier qu'un seul préfixe et un seul suffixe.

    Vous pouvez utiliser cette méthode si tous les DN de votre répertoire LDAP sont stockés sous la forme préfixe + <nom d'utilisateur> + suffixe.

    Si certains DN ne sont pas stockés de cette façon, cette méthode ne permet de créer un chemin vers l'ensemble des utilisateurs de votre système.

  2. La liaison LDAP (recherche automatique du DN de l'utilisateur) authentifie les utilisateurs en deux étapes : CPS recherche l'ID de l'utilisateur qui tente de se connecter pour déterminer le DN de cet utilisateur, puis utilise le DN pour authentifier l'utilisateur.

    Vous pouvez utiliser cette méthode si certains DN ne sont pas stockés conformément à la structure préfixe + <nom d'utilisateur> + suffixe. Par exemple, si vous avez configuré le serveur CPS de façon à faire porter la recherche sur plusieurs branches (OU) de votre arborescence LDAP, et si ces branches stockent des DN de plusieurs façons, vous devez appliquer cette méthode d'authentification.

    Bien que cette méthode nécessite une recherche LDAP supplémentaire (par comparaison à la méthode de liaison LDAP), elle offre davantage de souplesse.

  3. Le mot de passe dans un fichier authentifie les utilisateurs que vous spécifiez lorsque vous ajoutez des utilisateurs dans un annuaire dépendant d'un fichier.

    Remarque : Si vous recourez à l'authentification à partir d'un fichier avec un annuaire LDAP, vous devez disposer d'une entrée de fichier pour chaque utilisateur de l'annuaire LDAP.

  4. Le domaine Windows applique la solution d'authentification Microsoft Windows® de votre organisation.

    Si vous utilisez cette méthode, les ID utilisateur de votre répertoire LDAP doivent correspondre à vos ID utilisateur sous Windows.

    Pour plus d'informations sur les modèles de gestion des utilisateurs de Contribute et l'intégration de Contribute avec les services d'annuaire de votre organisation, voir Présentation des modèles de gestion des utilisateurs de Contribute.