L’authentification LDAP
L’authentification LDAP est disponible uniquement avec le module technique
HOPEX Power Supervisor.
Un annuaire LDAP permet de stocker les données utilisateur de l’entreprise.
HOPEX Administration vous permet de créer des utilisateurs qui sont authentifiés au niveau d’un serveur LDAP.
Seul l’utilisateur (ex. : Administrator) de profil
Administrateur HOPEX ou
Administrateur des utilisateurs Web peut renseigner les données LDAP, voir
"Les profils d’Administration livrés".
Accéder à la gestion d’un serveur LDAP
Pour accéder à la gestion d’un serveur LDAP :
Dans le bureau d’
Administration, sélectionnez le sous-dossier
Serveurs LDAP.
Configurer l’authentification LDAP
Pour configurer l’authentification LDAP :
1. Créez un serveur LDAP dans HOPEX Administration.
2. Renseignez les paramètres de votre serveur LDAP.
3. (optionnel) Vous pouvez :
• configurer des paramètres LDAP
• modifier les paramètres de l’import LDAP
4. Vérifier la configuration du serveur LDAP.
Une fois l’authentification LDAP configurée :
• vous pouvez importer des personnes de l’annuaire LDAP.
• ou vous pouvez faire correspondre manuellement un groupe d’utilisateurs HOPEX à un groupe d’utilisateurs déclarés dans votre serveur LDAP.
Au moment de la connexion à
HOPEX, le service d’authentification utilise le Login et mot de passe
HOPEX de l’utilisateur pour authentifier l’utilisateur auprès de la liste des serveurs LDAP disponibles.
Créer un serveur LDAP
Le serveur LDAP est le serveur sur lequel l’annuaire LDAP est installé.
L’annuaire LDAP peut être un annuaire Active Directory.
Pour créer un serveur LDAP :
1. Accédez à la gestion des serveurs LDAP.
2. Dans la barre de menu des serveurs LDAP, cliquez sur
Nouveau 
.
3. Dans la fenêtre de création d’un serveur LDAP, saisissez le Nom du serveur LDAP et cliquez sur OK.
Le nouveau serveur LDAP apparaît dans la liste des serveurs LDAP.
Paramétrer le serveur LDAP
Le paramétrage d’un serveur LDAP est réservé aux utilisateurs de profil Administrateur HOPEX ou Administrateur des utilisateurs.
Pour paramétrer un serveur LDAP :
Prérequis : le serveur LDAP est créé.
1. Accédez aux pages de gestion des serveurs LDAP.
2. Sélectionnez le serveur LDAP et cliquez sur
Propriétés 
.
3. Dans Caractéristiques, renseignez les champs suivants :
• Nom du serveur LDAP : nom du serveur qui héberge l'annuaire LDAP.
• Port LDAP : port de communication de LDAP
Ex. : 389
• Adresse racine de l’annuaire : adresse racine du serveur LDAP. C'est un attribut important pour limiter la recherche d'un utilisateur dans l'annuaire LDAP ou pour adresser une forêt particulière.
• Identifiant LDAP : attribut LDAP qui permet d’identifier de manière unique un utilisateur
Ex. : SAMAccountName, UID
• Cryptage LDAP sous SSL : sélectionnez "Oui" si vous souhaitez que la connexion à l’annuaire LDAP soit cryptée par protocole SSL
• Connexion LDAP anonyme : si vous sélectionnez "Non", vous devez préciser l’utilisateur par lequel se fait la connexion à l’annuaire LDAP, ainsi que son mot de passe
Seul un utilisateur administrateur peut se connecter anonymement à un serveur LDAP.
• Utilisateur LDAP : saisissez l’identifiant de l’utilisateur LDAP qui est utilisé pour se connecter à l’annuaire LDAP. Si la connexion est anonyme, ce champ ne doit pas être renseigné.
Cet utilisateur doit avoir les droits en lecture sur les données auxquelles
HOPEX a besoin d’accéder (ex.: groupe de personnes LDAP, appartenance à un groupe dans LDAP, e-mail dans LDAP, etc.).
• Mot de passe de l’authentification : saisissez le mot de passe de l’utilisateur LDAP utilisé pour se connecter à l’annuaire LDAP. Si la connexion est Anonyme, ce champ ne doit pas être enseigné.
• (si besoin) sélectionnez Synchronisation avec l’annuaire LDAP, pour synchroniser les paramètres LDAP définis sur le serveur LDAP (HOPEX) avec les mises à jour des paramètres de l’annuaire LDAP.
4. Cliquez sur Enregistrer.
Le serveur LDAP est configuré.
Vous pouvez aussi :
Configurer un paramètre LDAP
Un paramètre LDAP est un paramètre qui existe dans l’annuaire LDAP et qui est associé de manière unique à un attribut HOPEX.
Configurer un paramètre LDAP est utile lors de l’import de personnes à partir d’un annuaire LDAP. Cette configuration permet d’initialiser les attributs (de la personne ou du login créé dans HOPEX) qui correspondent aux paramètres avec les valeurs stockées dans l’annuaire LDAP.
Ex. : le MetaAttribute "Adresse e-mail" de la personne est initialisé avec le paramètre LDAP "mail" de la personne dans l’annuaire LDAP " Active Directory" (si la correspondance a été effectuée).
Pour configurer un paramètre LDAP :
1. Accédez aux pages de gestion des serveurs LDAP.
2. Sélectionnez le serveur LDAP pour lequel vous voulez configurer un paramètre LDAP et cliquez sur
Propriétés 
.
3. Dans
Paramètres LDAP,
cliquez sur
Nouveau 
.
Le paramètre LDAP permet de préremplir les caractéristiques d’une personne qui correspondent aux paramètres LDAP.
4. Saisissez le
Nom du paramètre LDAP (Ex. : Mail) puis cliquez sur
Propriétés 
.
5. (Optionnel, accès au métamodèle "expert") Sélectionnez Index sur les personnes, pour que la valeur du paramètre permette d’identifier de manière unique une personne. Si une personne dans HOPEX a le même e-mail que celui défini dans l’annuaire LDAP, cette personne est réutilisée (au lieu d’en créer une nouvelle et de risquer de créer un doublon de personne)
6. (Optionnel, accès au métamodèle "expert") Sélectionnez Est disponible pour la recherche, pour que dans la zone de saisie de l’import la saisie d’un e-mail soit possible.
Ex. : si vous saisissez ctodd@mega.com, vous devez retrouver Clara TODD.
7. Dans le champ MetaAttribute, cliquez sur la flèche et sélectionnez Relier MetaAttribute.
8. Effectuez la recherche sur le MetaAttribute (Ex. : E-mail).
Lors de l’import des personnes de l’annuaire LDAP, le paramètre LDAP (Ex. : mail) va initialiser le MetaAttribute (Ex. : Adresse E-mail).
Modifier le contenu de l’import d’un annuaire LDAP
Vous pouvez modifier le contenu de l’import d’un annuaire LDAP :
• les objets candidats à l’export :
Cette option permet de définir le type des objets à importer à partir de l’annuaire LDAP.
Valeur par défaut : person.
• la liste des objets parcourus pour la recherche LDAP
Cette option permet d’ajouter à l’import une personne particulière et/ou toutes les personnes d’une équipe ("organization").
Valeur par défaut : organization,organizationalUnit,person
Pour définir le contenu de l’import d’un annuaire LDAP :
1. Accédez aux options de l’environnement.
2. Dans l’arbre des options, dans le dossier Installation, sélectionnez Gestion des utilisateurs.
3. (optionnel) Dans le volet de droite, modifiez l’option Liste des ObjectClass candidats pour l’import depuis LDAP.
Pour importer d’autres objets que des personnes (valeur par défaut), par exemple des ressources ou des acteurs, spécifiez-le dans ce champ. Les objets doivent être séparés par des virgules.
Tout ce qui est importé crée des occurrences de personnes avec login.
4. (optionnel) Dans le volet de droite, modifiez l’option Liste des ObjectClass parcourus pour la recherche LDAP.
Pour ajouter une personne ou une organisation à l’import, saisissez le nom de la personne ou de l’organisation (ex. : Quality) dans le champ.
Le résultat est la Liste des ObjectClass candidats pour l’import à partir de LDAP, c’est à dire par défaut des personnes.
Vérifier la configuration d’un serveur LDAP
Pour vérifier la configuration d’un serveur LDAP :
1. Accédez à la gestion des serveurs LDAP.
2. Dans la zone d’édition, sélectionnez le serveur LDAP et cliquez sur Vérifier LDAP.
Importer les personnes d’un serveur LDAP
L’import de personnes à partir d’un annuaire LDAP permet d’initialiser les attributs (de la personne ou du login créé dans HOPEX) qui correspondent aux paramètres avec les valeurs stockées dans l’annuaire LDAP.
Ex. : le MetaAttribute "Adresse e-mail" de la personne est initialisé avec le paramètre LDAP "mail" de la personne dans le fichier LDAP (si la correspondance a été effectuée).
Pour importer des personne d’un annuaire LDAP :
1. Accédez aux pages de Gestion des utilisateurs.
2. Dans Personnes, cliquez sur Importer depuis LDAP.
3. L’assistant LDAP Import Wizard apparaît.
4. Dans le champ Serveur LDAP, à l’aide du menu déroulant sélectionnez le serveur à partir duquel vous voulez importer des personnes.
5. Dans le champ Saisissez l’élément recherché, saisissez la chaîne de caractère recherchée.
Ex. : Service support.
6. Les noms qui résultent de la recherche sont listés.
7. Sélectionnez toutes les personnes que vous voulez importer.
8. Cliquez sur OK.
Associer un groupe d’utilisateurs HOPEX à un groupe d’utilisateurs LDAP
Un groupe LDAP définit un groupe ou une organisation au sein d’un annuaire LDAP ou Active Directory. Il contient une liste d’utilisateurs qui peuvent potentiellement se connecter à l’application.
Après avoir paramétré le serveur LDAP (voir
"Paramétrer le serveur LDAP"), vous pouvez spécifier un groupe d’utilisateurs qui est authentifié auprès de l’annuaire LDAP.
Si un groupe de personnes par défaut est défini (ex. "Guests") et qu’aucun groupe LDAP n’est spécifié, une personne authentifiée dans LDAP (et dont l’attribut
Appartient à un groupe de personnes est sélectionné, voir
"Propriétés d’une personne") appartient automatiquement au groupe défini par défaut (ex. : "Guests").
Pour spécifier un groupe utilisateurs authentifié auprès de l’annuaire LDAP :
1. Accédez aux pages de gestion des serveurs LDAP.
2. Sélectionnez le serveur LDAP que vous voulez configurer et cliquez sur
Propriétés 
.
3. Dans les pages de propriétés du serveur LDAP, sélectionnez Groupes LDAP.
4. Cliquez sur
Relier 
pour relier le groupe d’utilisateurs LDAP existant.
L’assistant de recherche du groupe LDAP apparaît.
5. (optionnel) Dans le champ de recherche, saisissez la chaîne de caractères recherchée.
6. Cliquez sur
Rechercher 
.
Pour effectuer une recherche avancée, cliquez sur
Ouvrir l’outil de recherche 
.
Le résultat de la recherche s’affiche.
7. Sélectionnez le groupe d’utilisateurs LDAP et cliquez sur Relier.
Utilisez la touche [Ctrl] pour relier plusieurs groupes d’utilisateurs LDAP à la fois.
Le groupe d’utilisateurs LDAP apparaît dans la liste.
8. Reliez le groupe d’utilisateur HOPEX au groupe d’utilisateurs LDAP.
L’authentification et un utilisateur créé à la volée
Lorsqu’un utilisateur est créé à la volée, les paramètres LDAP peuvent servir d’identifiant d’indexation (attribut
Index sur la personne, voir
"Configurer un paramètre LDAP") et permettre de vérifier qu’une personne avec un attribut ayant la même valeur que dans l’annuaire LDAP existe déjà dans
HOPEX.
Exemple d’utilisation :
Anne, Responsable d’envois de questionnaires, veut envoyer un questionnaire. Si un des destinataires n’existe pas :
• Anne peut créer la personne (Ex. : "Thomas KOCH" avec pour e-mail "tkoch@mega.com")
• Anne ne peut pas créer le login de Thomas Koch car elle n’est pas administratrice.
Lorsque Thomas KOCH se connecte à HOPEX (Web Front-End), avec tkh :
1. Le service d’authentification authentifie tkh auprès de l’annuaire LDAP : le paramètre "mail" existe et est de type identifiant d’indexation (Index sur la personne est sélectionné),
2. Le service d’authentification vérifie si une personne a déjà cet e-mail.
Réponse : oui.
3. Le service d’authentification crée le login associé à la personne.
Si Thomas KOCH a des assignations pour remplir le questionnaire, il peut se connecter à l’application pour remplir ce questionnaire.
