Configurer l'authentification LDAP
L'authentification LDAP est disponible uniquement avec le module technique HOPEX Power Supervisor.Un annuaire LDAP permet de stocker les données utilisateur de l'entreprise.
HOPEX Administration vous permet de créer des utilisateurs qui sont authentifiés au niveau d'un serveur LDAP.
Seul l'utilisateur (ex. : Administrator) de profil Administrateur HOPEX ou Administrateur des utilisateurs Web peut renseigner les données LDAP, voir Les profils d'Administration livrés.Pour configurer l'authentification LDAP :
1. Créez un serveur LDAP dans HOPEX Administration.
2. Renseignez les paramètres de votre serveur LDAP.
3. (optionnel) Vous pouvez :
• configurer des paramètres LDAP
• modifier les paramètres de l'import LDAP
4. Vérifier la configuration du serveur LDAP.
5. Une fois l'authentification LDAP configurée, vous devez :
• importer des personnes de l'annuaire LDAP.
Ne surchargez pas le référentiel HOPEX avec des utilisateurs qui n'ont pas vocation à se connecter à HOPEX.ou si vous gérez des groupes de personnes :
• définir des groupes d'authentification et les faire correspondre aux groupes de personnes dans HOPEX.
Voir Définir un groupe d'authentification et Associer un groupe de personnes HOPEX à un groupe d'utilisateurs authentifié.Au moment de la connexion à HOPEX, le service d'authentification utilise le login et mot de passe saisi par l'utilisateur pour authentifier l'utilisateur auprès de la liste des serveurs LDAP disponibles.
Accéder à la gestion d'un serveur LDAP
Le dossier Serveurs LDAP est disponible uniquement si vous vous êtes connecté avec un utilisateur qui a le profil Administrateur HOPEX (ex. : Administrator), voir Les profils d'Administration livrés et que l'authentification LDAP est le mode d'authentification par défaut des utilisateurs, voir Définir le mode d'authentification par défaut à LDAP.Pour accéder à la gestion d'un serveur LDAP :
Dans le bureau d'Administration, sélectionnez le sous-dossier Serveurs LDAP.Créer un serveur LDAP
Le serveur LDAP est le serveur sur lequel l'annuaire LDAP est installé.
L'annuaire LDAP peut être un annuaire Active Directory.
Pour créer un serveur LDAP :
1. Accédez à la gestion des serveurs LDAP.
2. Dans la barre de menu des serveurs LDAP, cliquez sur Nouveau 
.
.3. Dans la fenêtre de création d'un serveur LDAP, saisissez le Nom du serveur LDAP et cliquez sur OK.
Le nouveau serveur LDAP apparaît dans la liste des serveurs LDAP.
Vous devez paramétrer le serveur LDAP, voir Paramétrer le serveur LDAP.
Paramétrer le serveur LDAP
Le paramétrage d'un serveur LDAP est réservé aux utilisateurs de profil Administrateur HOPEX ou Administrateur des utilisateurs.Pour paramétrer un serveur LDAP :
Prérequis : le serveur LDAP est créé.
Voir Créer un serveur LDAP.1. Accédez aux pages de gestion des serveurs LDAP.
2. Sélectionnez le serveur LDAP et cliquez sur Propriétés 
.
.
3. Dans Caractéristiques, renseignez les champs suivants :
• Nom du serveur LDAP : nom du serveur qui héberge l'annuaire LDAP.
• Port LDAP : port de communication de LDAP
Ex. : 389
• Adresse racine de l'annuaire : adresse racine du serveur LDAP. C'est un attribut important pour limiter la recherche d'un utilisateur dans l'annuaire LDAP ou pour adresser une forêt particulière.
• Identifiant LDAP : attribut LDAP qui permet d'identifier de manière unique un utilisateur
Ex. : SAMAccountName, UID
• Cryptage LDAP sous SSL : sélectionnez "Oui" si vous souhaitez que la connexion à l'annuaire LDAP soit cryptée par protocole SSL
• Connexion LDAP anonyme : si vous sélectionnez "Non", vous devez préciser l'utilisateur par lequel se fait la connexion à l'annuaire LDAP, ainsi que son mot de passe
Seul un utilisateur administrateur peut se connecter anonymement à un serveur LDAP.• Utilisateur LDAP : saisissez l'identifiant de l'utilisateur LDAP qui est utilisé pour se connecter à l'annuaire LDAP. Si la connexion est anonyme, ce champ ne doit pas être renseigné.
Cet utilisateur doit avoir les droits en lecture sur les données auxquelles HOPEX a besoin d'accéder (ex.: groupe de personnes LDAP, appartenance à un groupe dans LDAP, e-mail dans LDAP, etc.).• Mot de passe de l'authentification : saisissez le mot de passe de l'utilisateur LDAP utilisé pour se connecter à l'annuaire LDAP. Si la connexion est Anonyme, ce champ ne doit pas être enseigné.
• (si besoin) sélectionnez Synchronisation avec l'annuaire LDAP, pour synchroniser les paramètres LDAP définis sur le serveur LDAP (HOPEX) avec les mises à jour des paramètres de l'annuaire LDAP.
4. Cliquez sur Enregistrer.
Le serveur LDAP est configuré.
Vous pouvez aussi :
• configurez un paramètre LDAP, voir Configurer un paramètre LDAP.
• modifier le contenu de l'import d'un annuaire LDAP, voir Modifier le contenu de l'import d'un annuaire LDAP.
Configurer un paramètre LDAP
Un paramètre LDAP est un paramètre d'authentification qui existe dans l'annuaire LDAP et qui est associé de manière unique à un attribut HOPEX.
Configurer un paramètre LDAP est utile lors de l'import de personnes à partir d'un annuaire LDAP. Cette configuration permet d'initialiser les attributs (de la personne ou du login créé dans HOPEX) qui correspondent aux paramètres avec les valeurs stockées dans l'annuaire LDAP.
Ex. : le MetaAttribute "Adresse e-mail" de la personne est initialisé avec le paramètre LDAP "mail" de la personne dans l'annuaire LDAP "Active Directory" (si la correspondance a été effectuée).
Pour configurer un paramètre LDAP :
1. Accédez aux pages de gestion des serveurs LDAP.
2. Sélectionnez le serveur LDAP pour lequel vous voulez configurer un paramètre LDAP et cliquez sur Propriétés 
.
.3. Dans Paramètres LDAP, cliquez sur Nouveau .
.Le paramètre LDAP permet de pré remplir les caractéristiques d'une personne qui correspondent aux paramètres LDAP.4. Saisissez un Nom pour le paramètre d'authentification puis cliquez sur Propriétés 
.
.Exemples : E-mail, Nom de la personne.
5. (Optionnel, accès au metamodel "expert") Sélectionnez Index sur les personnes, pour que la valeur du paramètre permette d'identifier de manière unique une personne. Si une personne dans HOPEX a le même e-mail que celui défini dans l'annuaire LDAP, cette personne est réutilisée (au lieu d'en créer une nouvelle et de risquer de créer un doublon de personne)
6. (Optionnel, accès au metamodel "expert") Sélectionnez Est disponible pour la recherche, pour que dans la zone de saisie de l'import la saisie d'un e-mail soit possible.
Ex. : si vous saisissez ctodd@mega.com, vous devez retrouver Clara TODD.
7. Dans le champ Identifiant d'authentification saisissez le nom de l'attribut qui correspond au paramètre au sein de l'annuaire LDAP ou Active Directory.
Exemples : mail, DN
8. Dans le champ MetaAttribute associé, cliquez sur la flèche et sélectionnez Relier MetaAttribute.
9. Effectuez la recherche et sélectionnez le MetaAttribute qui correspond au paramètre au sein d'HOPEX.
Ex. : Adresse e-mail, Nom (personne).
Lors de l'import des personnes de l'annuaire LDAP, le paramètre LDAP (Ex. : mail) va initialiser le MetaAttribute (Ex. : Adresse E-mail).
Modifier le contenu de l'import d'un annuaire LDAP
Vous pouvez modifier le contenu de l'import d'un annuaire LDAP :
• les objets candidats à l'export :
Cette option permet de définir le type des objets à importer à partir de l'annuaire LDAP.
Valeur par défaut : person.
• la liste des objets parcourus pour la recherche LDAP
Cette option permet d'ajouter à l'import une personne particulière et/ou toutes les personnes d'une équipe ("organization").
Valeur par défaut : organization,organizationalUnit,person
Pour définir le contenu de l'import d'un annuaire LDAP :
1. Accédez aux options de l'environnement.
2. Dans l'arbre des options, dépliez le dossier Installation et sélectionnez Gestion des utilisateurs.
3. (optionnel) Dans le volet de droite, modifiez l'option Liste des ObjectClass candidats pour l'import depuis LDAP.
Pour importer d'autres objets que des personnes (valeur par défaut), par exemple des ressources ou des acteurs, spécifiez-le dans ce champ. Les objets doivent être séparés par des virgules.
Tout ce qui est importé crée des occurrences de personnes avec login.
4. (optionnel) Dans le volet de droite, modifiez l'option Liste des ObjectClass parcourus pour la recherche LDAP.
Pour ajouter une personne ou une organisation à l'import, saisissez le nom de la personne ou de l'organisation (ex. : Quality) dans le champ.
Le résultat est la Liste des ObjectClass candidats pour l'import à partir de LDAP, c'est à dire par défaut des personnes.
Vérifier la configuration d'un serveur LDAP
Pour vérifier la configuration d'un serveur LDAP :
1. Accédez à la gestion des serveurs LDAP.
2. Dans la zone d'édition, sélectionnez le serveur LDAP et cliquez sur Vérifier LDAP.
Importer les personnes d'un serveur LDAP
L'import de personnes à partir d'un annuaire LDAP permet d'initialiser les attributs (de la personne ou du login créé dans HOPEX) qui correspondent aux paramètres avec les valeurs stockées dans l'annuaire LDAP.
Ex. : le MetaAttribute "Adresse e-mail" de la personne est initialisé avec le paramètre LDAP "mail" de la personne dans l'annuaire LDAP " Active Directory" (si la correspondance a été effectuée).
Pour importer des personne d'un annuaire LDAP :
1. Accédez aux pages de Gestion des utilisateurs.
2. Dans Personnes, cliquez sur Importer depuis LDAP.
3. L'assistant LDAP Import Wizard apparaît.
4. Dans le champ Serveur LDAP, à l'aide du menu déroulant sélectionnez le serveur à partir duquel vous voulez importer des personnes.
Le serveur LDAP doit être créé, voir Créer un serveur LDAP.5. Dans le champ Saisissez l'élément recherché, saisissez la chaîne de caractère recherchée.
Ex. : Service support.
6. Les noms qui résultent de la recherche sont listés.
7. Sélectionnez toutes les personnes que vous voulez importer.
8. Cliquez sur OK.
L'authentification et un utilisateur créé à la volée
Lorsqu'un utilisateur est créé à la volée, les paramètres LDAP peuvent servir d'identifiant d'indexation (attribut Index sur la personne, voir Configurer un paramètre LDAP) et permettre de vérifier qu'une personne avec un attribut ayant la même valeur que dans l'annuaire LDAP existe déjà dans HOPEX.
Exemple d'utilisation :
Anne, Responsable d'envois de questionnaires, veut envoyer un questionnaire. Si un des destinataires n'existe pas :
• Anne peut créer la personne (Ex. : "Thomas KOCH" avec pour e-mail "tkoch@mega.com")
• Anne ne peut pas créer le login de Thomas Koch car elle n'est pas administratrice.
Lorsque Thomas KOCH se connecte à HOPEX (Web Front-End), avec tkh :
1. Le service d'authentification authentifie tkh auprès de l'annuaire LDAP : le paramètre "mail" existe et est de type identifiant d'indexation (Index sur la personne est sélectionné),
2. Le service d'authentification vérifie si une personne a déjà cet e-mail.
• Réponse oui : le service d'authentification crée le login associé à la personne.
• Réponse non : le service d'authentification crée la personne et le login associés à l'e-mail.
Si Thomas KOCH a des assignations pour remplir le questionnaire, il peut se connecter à l'application pour remplir ce questionnaire.