HOPEX Administration (Web) > Gérer les utilisateurs > Mise en correspondance (Mapping) > Diagramme de mise en correspondance
Diagramme de mise en correspondance
Le diagramme suivant décrit complètement le processus de mise en correspondance (mapping) d'un utilisateur, dont le login est authentifié, avec une personne dans HOPEX.
Principe
Une fois le service de mise en correspondance informé de l'identifiant de la personne qui demande la connexion, le service vérifie si l'identifiant est référencé dans le référentiel :
*Cet identifiant est généralement le login, mais si un paramètre d'authentification (LDAP ou SSO) est défini et que son attribut “Index sur les personnes” est sélectionné, alors le service vérifie si la valeur de cet attribut n'existe pas sur une personne, et dans ce cas c'est l'identifiant qui est utilisé pour déterminer si la personne existe dans HOPEX ou pas.
cas 1 :
L'identifiant est référencé dans le référentiel et n'appartient pas à un groupe.
cas 2 :
L'identifiant est référencé dans le référentiel et appartient à un groupe.
cas 3 :
L'identifiant n'est pas référencé dans le référentiel et n'appartient pas à un groupe.
Quand un groupe par défaut est défini, toute personne qui n'appartient pas à un groupe spécifique mais dont l'attribut "Appartient à un groupe" est sélectionné, doit appartenir au groupe par défaut.
Groupe d'authentification
Les groupes d'authentification
Groupe d'authentification LDAP
Un groupe LDAP est une organisation au sein d'un annuaire. Il est souvent caractérisé par le type OU.
Ex. : le groupe LDAP Quality a pour identifiant unique (Distinguished Name) :
OU=Quality,OU=UNIVERSITE,OU=FRANCE,DC=fr,DC=mega,DC=com
Toutes les personnes qui appartiennent à cette organisation appartiennent au groupe LDAP.
Les groupes LDAP représentent une liste de personnes réparties par organisation. Les utilisateurs qui appartiennent à un groupe LDAP bénéficient du paramétrage disponible sur le groupe :
connexion au référentiel HOPEX
accès aux profils
Le groupe LDAP définit un groupe ou une organisation au sein d'un annuaire LDAP ou Active Directory. Il contient une liste d'utilisateurs qui sont autorisés à se connecter à l'application concernée avec le paramétrage du groupe.
 
Groupe d'authentification type SSO
Le processus d'authentification SSO est caractérisé par des claims. Ces claims contiennent les groupes ou rôles auxquels l'utilisateur appartient. Ces groupes ont un identifiant unique qui peut être reporté dans l'attribut Identifiant d'authentification.
Exemple : le claim role "rCmp-WebAXDevRemoteRdpTier2@MEGA"
Définir un groupe d'authentification
Prérequis : dans le cas de l'authentification LDAP, le serveur LDAP doit être configuré, voir Configurer l'authentification LDAP.
Pour définir un groupe d'authentification :
1. Accédez aux pages de gestion des groupes d'authentification.
2. Dans la zone d'édition, dans l'onglet Groupes d'authentification, faites un clic droit sur le dossier Groupes d'Authentification et sélectionnez Nouveau > Groupe d'authentification.
La fenêtre de création d'un groupe d'authentification s'affiche.
3. Dans le champ Nom, saisissez un nom pour le groupe d'authentification.
4. (Authentification LDAP) Dans le champ Serveur LDAP, sélectionné votre serveur LDAP.
5. Dans le champ Identifiant d'authentification :
(Authentification LDAP) saisissez le nom de l'identifiant du groupe au sein de l'annuaire LDAP ou Active Directory.
Exemple : OU=ResearchandDevelopment, OU=UNIVERSITE,OU=FRANCE,DC=fr,DC=mega,DC=com
(Authentification SSO) saisissez l'identifiant du claim avec lequel vous voulez faire correspondre le groupe authentification.
Exemple : le claim role "rCmp-WebAXDevRemoteRdpTier2@MEGA"
6. Associez un groupe de personnes HOPEX au groupe d'authentification.
Associer un groupe de personnes HOPEX à un groupe d'utilisateurs authentifié
Une fois le groupe d'authentification créé, vous devez l'associer à un groupe d'utilisateurs dans HOPEX.
Ainsi quand une personne du groupe de personnes HOPEX se connecte à HOPEX, elle est authentifiée grâce au groupe d'utilisateurs authentifié auprès de l'annuaire LDAP ou du service SSO.
*Si un groupe de personnes par défaut est défini (ex. "Guests") toute personne dans HOPEX, dont l'attribut Appartient à un groupe de personnes est sélectionné (voir Propriétés d'une personne) appartient automatiquement au groupe défini par défaut (ex. : "Guests").
Prérequis : le groupe de personnes HOPEX et le groupe d'utilisateurs authentifié sont créés.
*Voir :
Pour associer un groupe de personnes HOPEX à un groupe d'utilisateurs authentifié :
1. Accédez aux propriétés :
du groupe d'authentification
ou
du groupe de personnes.
2. Affichez la page Caractéristiques.
3. Cliquez sur la flèche du champ :
Groupe de personnes et connectez le groupe de personnes HOPEX à associer au groupe d'utilisateurs authentifié.
ou
Groupe d'authentification et connectez le groupe d'utilisateurs authentifié à associer au groupe de personnes.
L'assistant de recherche du groupe d'authentification apparaît.
*Utilisez la touche [Ctrl] pour relier plusieurs groupes d'authentification à la fois.
Le groupe de personnes HOPEX et le groupe d'utilisateurs authentifié sont associés.
Définir un paramètre d'authentification
Un paramètre d'authentification est un paramètre qui existe dans l'annuaire LDAP ou dans le service SSO et qui est associé de manière unique à un attribut HOPEX.
Configurer un paramètre d'authentification est utile lors de l'import de personnes à partir d'un annuaire LDAP ou d'un service SSO.
Les paramètres d'authentification permettent :
d'identifier une personne à partir des renseignements fournis par le serveur d'authentification.
de prédéfinir les caractéristiques d'une personne créée dans HOPEX, en utilisant la mise en correspondance entre les valeurs des paramètres d'authentification (stockées dans l'annuaire LDAP ou le service SSO) et les MetaAttributes HOPEX.
Exemple (LDAP) : le MetaAttribute "Adresse e-mail" de la personne est initialisé avec le paramètre LDAP "mail" de la personne dans l'annuaire LDAP "Active Directory" (si la correspondance a été effectuée).
Exemple (SSO) : le MetaAttribute "Adresse e-mail" de la personne est initialisé avec le claim "email" de la personne dans le service SSO (si la correspondance a été effectuée).
Pour configurer un paramètre d'authentification :
1. Accédez aux pages de gestion de l'authentification.
2. Sélectionnez Paramètres d'authentification.
3. Cliquez sur Nouveau .
*Le paramètre d'authentification permet de pré remplir les caractéristiques d'une personne qui correspondent aux paramètres d'authentification.
4. Saisissez un Nom pour le paramètre d'authentification puis cliquez sur Propriétés .
Exemples : E-mail, Nom de la personne.
5. (Optionnel, accès au metamodel "expert") Sélectionnez Index sur les personnes, pour que la valeur du paramètre permette d'identifier de manière unique une personne. Si une personne dans HOPEX a le même e-mail que celui défini dans l'annuaire LDAP ou le service SSO, cette personne est réutilisée (au lieu d'en créer une nouvelle et de risquer de créer un doublon de personne)
6. (Optionnel, accès au metamodel "expert") Sélectionnez Est disponible pour la recherche, pour que dans la zone de saisie de l'import la saisie d'un e-mail soit possible.
Ex. : si vous saisissez ctodd@mega.com, vous devez retrouver Clara TODD.
7. Dans le champ Identifiant d'authentification saisissez :
(LDAP) le nom de l'attribut qui correspond au paramètre au sein de l'annuaire LDAP ou Active Directory.
Exemples : mail, DN
(SSO) le claim associé dans le service SSO.
Ex. : email
8. Dans le champ MetaAttribute associé, cliquez sur la flèche et sélectionnez Relier MetaAttribute.
9. Effectuez la recherche et sélectionnez le MetaAttribute au sein d'HOPEX qui va être associé à l'identifiant d'authentification (LDAP ou SSO) défini à l'étape 7.
Exemples : Adresse e-mail, Nom (personne).
10. (LDAP) Dans le cadre Serveur LDAP, cliquer sur Relier et relier le serveur LDAP.