Cloud et LDAPS (Entra)#
Rappel d'utilisation#
Rappelons qu'utiliser un annuaire Entra permet deux fonctionnalités avec GLPI :
- Synchroniser les utilisateurs
- Permettre l'authentification
L'authentification peut se faire de deux manières :
-
Authentification LDAPS via la synchronisation de l'annuaire (des utilisateurs) dans GLPI
-
Authentification Oauth SSO (la synchronisation n'est pas obligatoire)
Les différents cas d'utilisation résident dans la combinaison ou non de ces deux fonctionnalités: Synchroniser et/ou Authentifier.
Nous allons maintenant détailler les configurations de ces fonctionnalités.
Synchronisation de l'annuaire et/ou Authentification LDAP(S)#
Entra AD requiert l'utilisation du protocole LDAPS pour être synchronisé. Microsoft a parfaitement documenté la configuration de son environnement en vue de l'utilisation de LDAPS. Nous vous invitons donc à suivre la documentation officielle ici afin de préparer votre environnement Entra AD.
A noter
Votre Tenant Entra doit disposer d'une licence suffisamment élevée ou l'achat du Microsoft Entra Domain Services pourrait être nécessaire.
- Rappelez-vous que vous pouvez déterminer l'adresse IP de votre instance GLPI Network Cloud en suivant l'article ici, si vous souhaitez établir des règles d'accès LDAPS sur votre environnement Entra AD.
Attention
**Si votre environnement Entra AD est mal préparé pour LDAPS, il est possible que ça ne fonctionne pas côté GLPI **
- Pensez également à créer un "compte de service" (un utilisateur) dans votre annuaire, uniquement dédié à l'interconnexion entre GLPI et votre annuaire Entra AD.
Une fois votre environnement Entra AD préparé pour LDAPS, Retournez sur GLPI !
Vous devez créer une source d'authentification de type Annuaire LDAP.
- Rendez vous dans le menu
Configuration
>Authentification
>Annuaires LDAP
- En cliquant sur
ajouter
nous allons ajouter un annuaire à connecter. - Ici nous devons configurer notre annuaire pour une connexion LDAPS
Explication des champs :
-
Nom
Le nom à saisir ici sera celui affiché dans la liste de vos annuaires, il n'influence pas la configuration. -
Serveur par défaut
Ce paramètre vous permet de définir si cet annuaire devra être utilisé en priorité ou non. -
Actif
Ce paramètre vous permet d'activer/désactiver cet annuaire suite à sa création. Ce paramètre sera bien entendu modifiable à tout instant. -
Serveur
Devant l'IP ou le FQDN de votre serveur LDAP, ajoutezldaps://
, ex: ldaps://Entra.mycompany.com ou ldaps://xxx.xxx.xxx -
Port
Saisissez ici le port requis pour la connexion à votre annuaire. LDAPS requiert le port 636 -
Filtre de connexion
On peut mettre en place une condition pour la recherche. Celle-ci permet de filtrer la recherche des utilisateurs à un nombre réduit d'enregistrements.
Pour Active Directory, utiliser le filtre suivant, qui ne renvoie que les utilisateurs non désactivés (car les machines sont aussi considérées comme des utilisateurs par AD) :
(&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Ce filtre est un exemple standard, et pourrait être à adapter selon votre contexte
- BaseDN
basdn
la basedn doit être écrite sans espaces après les virgules. De plus, la casse est importante.
Pour une utilisation standard, voici, par exemple, les paramètres à entrer :
Si votre Serveur = entra.mycompany.com
Alors votre BaseDN = dc=mycompany,dc=com
-
DN du compte (pour les connexions non anonymes)
Saisissez ici le DN complet du compte de service qui s'authentifiera auprès de votre annuaire -
Mot de passe du compte (pour les connexions non anonymes)
Saisissez ici le mot de passe du compte de service qui s'authentifiera auprès de votre annuaire. Notez que lors de l'enregistrement de la configuration, ce champ apparaîtra vide, ceci est normal, le mot de passe sera bien enregistré en base de données. -
Champ de l'identifiant
- Pour Entra AD avec authentification SSO ! On indiquera le champ userprincipalname
- Pour Entra AD sans authentification SSO ! On indiquera le champ samaccountname
-
Commentaires
Ce champ n'influence pas la configuration, ce n'est qu'un champ texte vous permettant de placer une indication, une remarques, etc. -
Champ de synchronisation
Dans les schémas fournis par défaut nous conseillons par exemple d’utiliser l’attribut « objectGUID » (correspondant à l’identifiant unique officiel d’un objet) ; Attention à ce champ, une fois configuré il ne pourra pas pas être modifier.
Une fois les champs saisis, cliquez sur Ajouter pour enregistrer votre annuaire.
Lors de l'enregistrement, un test de connexion vers votre annuaire sera effectué par GLPI
Options supplémentaires#
- Une fois votre connexion LDAPS enregitrée, retournez dans la configuration de votre annuaire côté GLPI.
- Dans l'onglet
Informations avancées
, passez le champUtiliser les résultats paginés
àOui
- Nous recommandons de passer le champ
Taille de la page
à100
- Nous recommandons de passer le champ
Nombre maximum de résultats
àIllimité
Votre annuaire est connecté mais à vous maintenant de définir ce que vous souhaitez synchroniser !
- Pour cela rendez vous dans la configuration de votre annuaire et utilisez les onglets
Utilisateurs
etGroupes
en personnalisant les attributs LDAP que vous souhaitez synchroniser et les paramètres qui vous sont utiles.