Aller au contenu

Cloud et LDAPS (Entra)#

Rappel d'utilisation#

Rappelons qu'utiliser un annuaire Entra permet deux fonctionnalités avec GLPI :

  • Synchroniser les utilisateurs
  • Permettre l'authentification

L'authentification peut se faire de deux manières :

  • Authentification LDAPS via la synchronisation de l'annuaire (des utilisateurs) dans GLPI

  • Authentification Oauth SSO (la synchronisation n'est pas obligatoire)

Les différents cas d'utilisation résident dans la combinaison ou non de ces deux fonctionnalités: Synchroniser et/ou Authentifier.

Nous allons maintenant détailler les configurations de ces fonctionnalités.

Synchronisation de l'annuaire et/ou Authentification LDAP(S)#

Entra AD requiert l'utilisation du protocole LDAPS pour être synchronisé. Microsoft a parfaitement documenté la configuration de son environnement en vue de l'utilisation de LDAPS. Nous vous invitons donc à suivre la documentation officielle ici afin de préparer votre environnement Entra AD.

A noter

Votre Tenant Entra doit disposer d'une licence suffisamment élevée ou l'achat du Microsoft Entra Domain Services pourrait être nécessaire.

  • Rappelez-vous que vous pouvez déterminer l'adresse IP de votre instance GLPI Network Cloud en suivant l'article ici, si vous souhaitez établir des règles d'accès LDAPS sur votre environnement Entra AD.

Attention

**Si votre environnement Entra AD est mal préparé pour LDAPS, il est possible que ça ne fonctionne pas côté GLPI **

  • Pensez également à créer un "compte de service" (un utilisateur) dans votre annuaire, uniquement dédié à l'interconnexion entre GLPI et votre annuaire Entra AD.

Une fois votre environnement Entra AD préparé pour LDAPS, Retournez sur GLPI !

Vous devez créer une source d'authentification de type Annuaire LDAP.

  • Rendez vous dans le menu Configuration > Authentification > Annuaires LDAP
  • En cliquant sur ajouter nous allons ajouter un annuaire à connecter.
  • Ici nous devons configurer notre annuaire pour une connexion LDAPS

Alt text

Explication des champs :

  • Nom
    Le nom à saisir ici sera celui affiché dans la liste de vos annuaires, il n'influence pas la configuration.

  • Serveur par défaut
    Ce paramètre vous permet de définir si cet annuaire devra être utilisé en priorité ou non.

  • Actif
    Ce paramètre vous permet d'activer/désactiver cet annuaire suite à sa création. Ce paramètre sera bien entendu modifiable à tout instant.

  • Serveur
    Devant l'IP ou le FQDN de votre serveur LDAP, ajoutez ldaps://, ex: ldaps://Entra.mycompany.com ou ldaps://xxx.xxx.xxx

  • Port
    Saisissez ici le port requis pour la connexion à votre annuaire. LDAPS requiert le port 636

  • Filtre de connexion
    On peut mettre en place une condition pour la recherche. Celle-ci permet de filtrer la recherche des utilisateurs à un nombre réduit d'enregistrements.

Pour Active Directory, utiliser le filtre suivant, qui ne renvoie que les utilisateurs non désactivés (car les machines sont aussi considérées comme des utilisateurs par AD) :

(&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Ce filtre est un exemple standard, et pourrait être à adapter selon votre contexte

  • BaseDN

basdn

la basedn doit être écrite sans espaces après les virgules. De plus, la casse est importante.

Pour une utilisation standard, voici, par exemple, les paramètres à entrer :

Si votre Serveur = entra.mycompany.com

Alors votre BaseDN = dc=mycompany,dc=com

  • DN du compte (pour les connexions non anonymes)
    Saisissez ici le DN complet du compte de service qui s'authentifiera auprès de votre annuaire

  • Mot de passe du compte (pour les connexions non anonymes)
    Saisissez ici le mot de passe du compte de service qui s'authentifiera auprès de votre annuaire. Notez que lors de l'enregistrement de la configuration, ce champ apparaîtra vide, ceci est normal, le mot de passe sera bien enregistré en base de données.

  • Champ de l'identifiant

    • Pour Entra AD avec authentification SSO ! On indiquera le champ userprincipalname
    • Pour Entra AD sans authentification SSO ! On indiquera le champ samaccountname
  • Commentaires
    Ce champ n'influence pas la configuration, ce n'est qu'un champ texte vous permettant de placer une indication, une remarques, etc.

  • Champ de synchronisation
    Dans les schémas fournis par défaut nous conseillons par exemple d’utiliser l’attribut « objectGUID » (correspondant à l’identifiant unique officiel d’un objet) ; Attention à ce champ, une fois configuré il ne pourra pas pas être modifier.

Une fois les champs saisis, cliquez sur Ajouter pour enregistrer votre annuaire.

Lors de l'enregistrement, un test de connexion vers votre annuaire sera effectué par GLPI

Options supplémentaires#

  • Une fois votre connexion LDAPS enregitrée, retournez dans la configuration de votre annuaire côté GLPI.
  • Dans l'onglet Informations avancées, passez le champ Utiliser les résultats paginés à Oui
  • Nous recommandons de passer le champ Taille de la page à 100
  • Nous recommandons de passer le champ Nombre maximum de résultats à Illimité

Alt text

Votre annuaire est connecté mais à vous maintenant de définir ce que vous souhaitez synchroniser !

  • Pour cela rendez vous dans la configuration de votre annuaire et utilisez les onglets Utilisateurs et Groupes en personnalisant les attributs LDAP que vous souhaitez synchroniser et les paramètres qui vous sont utiles.