Paramétrage > Utilisateurs > Annuaire 

SEEWARNING Avant de commencer, voici la documentation sur le mode SSO/LDAP intégré à SAFE X3 :documentation annexe.


Cette fonction permet de déclarer un annuaire LDAPqui est pris en compte si le mode SSO est activé.

Deux types d'informations sont déclarées dans cette fonction :

Connexion LDAP

On trouvera dans ce pavé la façon dont la connexion à l'annuaire est faite (le nom du serveur LDAP, un numéro de port, un compte d'accès et un mot de passe).

Deux champs de paramètres complémentaires définissent la façon dont l'annuaire est interrogé.

Mapping de champs

Il est décrit la correspondance entre les champs de l'annuaire LDAP et les champs de la fiche utilisateur X3 ou bien des valeurs paramètres utilisateur.

Il existe quatre types de champs :

Identifiant d'un élément de l'annuaire LDAP

Le champ  X3 dans la fiche utilisateur ADDNAM est un identifiant unique dans X3 ainsi que dans l'annuaire. Il doit posséder le type 'Identifiant' et il est associé par défaut au champ annuaire distinguishedName.

Deuxième identifiant

Cas oû la valeur paramètreSSOREFMAJ est égale à 1 :

Lorsque le champ de type 'identifiant' n'a pas encore été mis à jour dans le champ ADDNAM de la fiche utilisateur c'est ce deuxième identifiant qui est pris en compte pour faire correspondre de façon unique un utilisateur X3 avec un utilisateur dans l'annuaire.

En général on prend le champ login de la fiche utilisateur X3 qui sera lié au champ sAMAccountName  de l'annuaire.

Cas oû la valeur paramètreSSOREFMAJ est égale à 2 :

La recherche se fait d'abord avec le champ de type 'identifiant 2' puis avec le champ de type 'identifiant'.

Fiche

C'est un champ de la fiche utilisateur X3, qui pourra être mis à jour à partir de l'annuaire.

Paramètre

C'est la valeur d'un paramètre utilisateur, qui pourra être mis à jour à partir de l'annuaire.

Exemple de mapping des champs

 Type

Champ X3

Intitulé

Champ annuaire

Identifiant

ADDNAM

Référence AD

distinguishedName

Fiche

NOMUSR

Nom

DisplayName

Fiche

ADDEML

Adresse email

mail

Identifiant 2

LOGIN

Login

sAMAccountName

Fiche

OBJGUID

 

objectGUID

Paramètre

DATSTADEB

Date début statistiques

WhenCreated

Pré-requis

SEEREFERTTO Reportez-vous à la documentation de Mise en oeuvre

Gestion de l'écran

Ecran de saisie

Présentation

Deux blocs sont à saisir : le premier contient les informations de configuration permettant à SAFE X3 de dialoguer avec l'annuaire, le second définit les informations échangées lors de cette phase.

 

Champs

Les champs suivants sont présents dans cet onglet :

Bloc numéro 1

Ce code identifie de façon unique les fiches créées.

  • Intitulé (champ INTIT)

Saisissez la description de la fiche concernée.

Cet intitulé long est utilisé en titre dans les écrans et les états.

  • Actif (champ ENAFLG)

Sélectionnez cette case à cocher pour activer la fiche courante.

Les enregistrements non sélectionnés conservent leur contenu et paramétrage, mais ne pourront pas être utilisés en rappelant leur code dans :

  • les autres enregistrements, comme les documents et paramètres,
  • les traitements en masse.

Les habilitations sur une fonction donnée peuvent interdire la création d'une fiche active. Dans ce cas, la case est désactivée par défaut. Elle est modifiable uniquement par un utilisateur autorisé, ou via un Workflow de signature.

Configuration

  • Domaine (champ DOMAIN)

Le nom du domaine permet de retrouver le code annuaire qui sera utilisé pour authentifier l'utilisateur connecté.

Si le nom de domaine est vide, on va utiliser utiliser le code annuaire actif avec domaine vide.

S'il n'est pas vide, on va utiliser le code annuaire actif avec domaine = domaine de l'utilisateur connecté.

Dans les deux cas, si on ne trouve pas d'enregistrement actif, on refuse la connexion.

  • Serveur primaire (champ SERV1)

Permet de définir le nom du serveur sur lequel sera ouvert l'annuaire LDAP.
Le deuxième serveur est utilisé en cas d'erreur de connection sur le premier serveur.

  • Serveur secondaire (champ SERV2)

Permet de définir le nom du deuxième serveur sur lequel sera ouvert l'annuaire LDAP si le premier est en erreur.

  • Numéro port (champ PORT)

Il s'agit du port d'interrogation de l'annuaire. Par défaut ce numéro est égal à 389.

  • Identifiant recherche (champ CONNEC)

Cet identifiant est utilisé pour la recherche dans le LDAP.

  • Mot de passe (champ PASSE)

 

  • champ MODPAS

C'est le mot de passe de l'identifiant utilisé pour la recherche dans le LDAP.

  • Paramètre 1 (champ PARAM1)

Lorsqu'on recherche un utilisateur dans l'annuaire LDAP, on recherche des propriétés associées à un noeud dans un arbre hiérarchique. Ce paramètre permet de définir à quel niveau de la hiérarchie doit commencer la recherche lorsqu'on souhaite retrouver des informations liées à l'utilisateur. Cete recherche se fera en donnant par ailleurs une condition basée sur la valeur du champ Identifiant 1 ou Identifiant 2 donné dans le tableau de paramètres.

  • Paramètre 2 (champ PARAM2)

Le moteur d'exécution de la plateforme SAFE X3 dispose de 3 instructions de recherche dans l'annuaire. Ce paramètre permet de définir l'instruction de recherche qui sera lancée par le moteur lors de la vérification de l'existence d'un utilisateur dans la base LDAP. Il peut prendre les valeurs suivantes :

  • LEVEL provoque l'utilisation de l'instruction Srldaplv, qui provoque un "one level search" (recherche sous le niveau correspondant au noeud indiqué).
  • BASE correspond à l'instruction Srldapbs, qui provoque un "base search" (recherche directe dans le noeud indiqué).
  • SUBTREE (ou toute autre valeur) correspond à l'instruction Srldaptr, qui provoque un "sub-tree search" (recherche dans tout le sous-arbre correspondant à la racine donnée).

Un exemple d'arborescence est donnée en introduction de l'annexe technique du paramétrage LDAP; dans cet exemple, 3 cadres définissent ces 3 niveaux de recherche.

Tableau Mapping

  • Type de champ (champ TYPFLD)

Ce type de paramètre permet de gérer les champs de l'annuaire LDAP.
- Identifiant : c'est l'identifiant unique qui permet de faire le lien avec la clé des tables X3.
- Identifiant2 : c'est l'identifiant qui est utilisé si le premier n'a rien donné.
- Fiche : permet de renseigner le champ de la table des utilisateurs x3 (table AUTILIS).
- Paramètre : permet de renseigner les valeurs des paramètres généraux (table ADOVAL).

  • Champ X3 (champ CODFLD)

Permet de saisir un champ de la table AUTILIS si le type de champ est "Identifiant/Identifiant2/Fiche" ou un code paramètre général si le type de champ est "Paramètre"

  • Intitulé (champ NAMFLD)

 

  • Champ annuaire (champ ADDFLD)

Permet de saisir le nom de l'attribut dans l'annuaire LDAP.

  • Formule (champ FORFOR)

Cette formule permet de saisir le critère de recherche dans la LDAP pour mettre à jour les utilisateurs.
Le %% permet d'encadrer une formule qui sera évaluée au moment de la génération du critère.
Le $$ permet d'indiquer le numéro du champ utilisateur qui servira comme valeur de ce critère.
Si le champ utilisateur est alphanumérique et s'il est utilisé dans une formule, ne pas oublier de rajouter éventuellement les guillemets.

Par exemple, soit la formule (&(objectclass=user)(sAMAccountName=%%toupper("$$4$$")%%))
Le $$4$$ représente le champ [F:AUS]LOGIN.
A la connexion d'un utilisateur, ce champ sera remplacé par le login de l'utilisateur, evalué (majuscule) et le critère de recherche dans la LDAP deviendra pour cet utilisateur :
(&(objectclass=user)(sAMAccountName=LOGIN))

On peut écrire aussi (&(objectclass=user)(sAMAccountName=$$4$$))

 

Boutons spécifiques

Ce bouton permet de générer le traitement qui permettra d'accéder à l'annuaire durant la phase de connexion à SAFE X3.

Barre de menu

Options / Annulation mot de passe

Permet de modifier le mot de passe de l'annuaire.

Options / Test

Présentation

Ceci permet de tester la connexion à l'annuaire LDAP.

Puis de faire une requête LDAP en paramétrant les champs de l'annuaire que l'on veut récupérer

 

Champs

Les champs suivants sont présents dans cet onglet :

Bloc numéro 1

  • Domaine (champ DOMAIN)

 

  • Critère (champ FILTRE)

Requête LDAP respectant la syntaxe normalisée de l'annuaire.

Tableau Colonnes

  • Champ annuaire (champ ADDFLD)

Champ de l'annaire qui a été paramétré.

  • Ordre (champ SELECT)

 

 

Messages d'erreur

Il n'y a pas de message d'erreur autre que les messages d'erreur génériques.

Tables mises en oeuvre

SEEREFERTTO Reportez-vous à la documentation de Mise en oeuvre