Gestionnaires d'utilisateurs
|
<< Click to Display Table of Contents >> Navigation: Sécurité > Gestionnaires d'utilisateurs |
Vous pouvez accéder à la configuration du gestionnaire d'utilisateurs dans JMap Admin en appuyant sur Utilisateurs / Groupes à partir de la section JMap Server. Sélectionnez l'onglet Gestionnaire.
Le gestionnaire d'utilisateurs permet de définir comment JMap gère les compte d'utilisateurs et les groupes. Il existe deux façons de gérer ces informations avec JMap :
•En utilisant la base de données de comptes d'utilisateurs de JMap, vous créez et supprimez les comptes d'utilisateurs directement à partir de JMap Admin;
•En vous connectant à une base de données de comptes d'utilisateurs existante telle qu'un système Windows Active Directory, un système compatible avec LDAP ou une base de données relationnelle.
Il est aussi possible combiner plusieurs systèmes pour les utiliser simultanément (p. ex. la base de données de JMap et Windows Active Directory). Les différents systèmes sont alors utilisés comme un seul système. Quand JMap Server se connecte à une base de données existante, la gestion des comptes d'utilisateurs est simplifiée car aucun compte ni groupe d'utilisateurs n'ont besoin d'être créés et gérés dans JMap.
Les sections suivantes décrivent chacune des options disponibles.
Gestionnaire d'utilisateurs JMap DB
Ce type de gestion des comptes d'utilisateurs enregistre les utilisateurs et groupes directement dans la base de données System de JMap Server, ou dans une base de données externe qui comporte les tables et champs requis. L'administrateur JMap doit créer et gérer tous les comptes et groupes d'utilisateurs.
À partir de la section Utilisateurs / Groupes, cliquez sur l'onglet Gestionnaire. Sélectionnez Gestionnaire d'utilisateurs JMap DB afin d'indiquer que les comptes d'utilisateurs seront gérés à l'intérieur d'une base de données relationnelle. Pour stocker les informations dans la base de données System de JMap Server, sélectionnez l'option Base de données de JMap Server.
Vous pouvez aussi utiliser toute base de données relationnelle qui contient au moins les tables et champs requis, en sélectionnant l'option Base de données externe. Lorsque vous le faites, une interface s'affiche, vous permettant de spécifier les paramètres de configuration. En utilisant l'interface de configuration, sélectionnez la base de données à utiliser. Sélectionnez ensuite les tables et champs qui contiennent les diverses informations relatives aux utilisateurs et aux groupes. Au besoin, vous pouvez sélectionner le mode lecture seule pour empêcher les informations des comptes d'être modifiées par JMap Admin.
Une fois cette configuration définie, vous pouvez créer, modifier et supprimer des comptes d'utilisateurs directement à partir de JMap Admin.
Gestionnaire d'utilisateurs Active Directory
Vous pouvez vous connecter à Windows Active Directory (en lecture seulement) en sélectionnant Gestionnaire d'utilisateurs Active Directory sous Gestionnaire d'utilisateurs. Lorsque vous sélectionnez cette option, une nouvelle interface s'affiche, vous permettant de spécifier les paramètres de configuration.
Active Directory |
|
Adresse du serveur |
Adresse du serveur contrôleur de domaine Windows configuré avec Active Directory. |
DN |
Identifiant unique (Distinguished Name) permettant de définir la racine de l'annuaire. Composé d'une liste d'entrées DC (Domain Component). Exemple: dc=ABC,dc=COM |
Domaine |
Nom du domaine Windows (p.e. ABC.COM). |
Utilisateur / SPN |
Nom de l'utilisateur que JMap Server utilisera pour se connecter au Active Directory. Il est conseillé de créer un utilisateur spécialement pour les besoins de JMap. Son mot de passe ne devrait jamais expirer. Si vous souhaitez utiliser l'authentification unique, vous devrez créer un SPN (Service Principal Name) associé à cet utilisateur. Voir Authentification Unique pour plus de détails. |
Mot de passe |
Mot de passe de l'utilisateur que JMap Server utilisera pour se connecter au Active Directory. |
Mot de passe admin. |
Un utilisateur nommé administrator doit toujours exister dans JMap. S'il n'existe pas d'utilisateur administrator dans l'Active Directory, JMap se chargera d'en simuler un. Dans un tel cas, fournir le mot de passe associé à cet utilisateur. Si jamais l'utilisateur administrator existe dans l'Active Directory et qu'un mot de passe est saisi, ce dernier sera ignoré. |
Activer l'authentification unique |
Permet d'activer l'authentification unique. Voir Authentification Unique pour plus de détails. |
Configuration LDAP (9 paramètres suivants) |
Active Directory est basé sur le protocole LDAP. Les paramètres LDAP qui sont configurés par défaut sont ceux qui sont le plus souvent en application avec Active Directory. Par contre, si ces paramètres ne correspondent pas à ceux utilisés, il est possible de modifier les valeurs. |
Taille maximale de la page |
Active Directory limite la taille de transactions à un nombre maximal d'enregistrements à la fois (taille de la page). La valeur de ce paramètre ne doit pas dépasser la taille maximale autorisée par Active Directory (1000 est la valeur par défaut dans Active Directory). Une taille trop petite peut réduire les performances. Une taille plus grande que la limite autorisée causera des données manquantes dans la liste des utilisateurs. |
Gestionnaire d'utilisateurs JMap LDAP
Vous pouvez vous connecter à tout annuaire compatible avec LDAP (en lecture seulement). Il existe de nombreux annuaires compatibles avec LDAP sur les systèmes Unix, Linux et Windows.
Afin d'utiliser cette option, sélectionnez Gestionnaire d'utilisateurs JMap LDAP sous Gestionnaire d'utilisateurs. Lorsque vous sélectionnez cette option, une nouvelle interface s'affiche, vous permettant de spécifier les paramètres de configuration.
Gestionnaire d'utilisateurs LDAP |
|
|---|---|
URL du serveur |
Adresse du serveur LDAP. |
DN |
Identifiant unique (Distinguished Name) permettant de définir la racine de l'annuaire. Composé d'une liste d'entrées DC (Domain Component). Exemple: dc=ABC,dc=COM |
Utilisateur |
Nom de l'utilisateur que JMap Server utilisera pour se connecter à l'annuaire LDAP. Il est conseillé de créer un utilisateur spécialement pour les besoins de JMap. Son mot de passe ne devrait jamais expirer. |
Mot de passe |
Mot de passe de l'utilisateur que JMap Server utilisera pour se connecter à l'annuaire LDAP. |
Mot de passe admin. |
Un utilisateur nommé administrator doit toujours exister dans JMap. S'il n'existe pas d'utilisateur administrator dans l'annuaire LDAP, JMap se chargera d'en simuler un. Dans un tel cas, fournir le mot de passe associé à cet utilisateur. Si jamais l'utilisateur administrator existe dans l'annuaire LDAP et qu'un mot de passe est saisi, ce dernier sera ignoré. |
Préfixe d'authentification |
Certains serveurs LDAP nécessitent qu'un préfixe soit concaténé au nom de l'utilisateur pour effectuer l'authentification. Exemple : Préfixe : un_domaine\ Utilisateur : un_utilisateur Résultat : un_domaine\un_utilisateur |
Suffixe d'authentification |
Certains serveurs LDAP nécessitent qu'un suffixe soit concaténé au nom de l'utilisateur pour effectuer l'authentification. Exemple : Suffixe=@un_domaine Utilisateur=un_utilisateur Résultat : un_utilisateur@un_domaine |
Classe des utilisateurs |
Nom de la classe d'objets LDAP à utiliser pour identifier un utilisateur dans l'annuaire LDAP. |
Classe des groupes |
Nom de la classe d'objets LDAP à utiliser pour identifier un groupe dans l'annuaire LDAP. |
Filtre d'utilisateur |
Filtre de recherche à utiliser pour extraire les utilisateurs de l'annuaire LDAP. Ce filtre doit être formaté selon la syntaxe standard LDAP. |
Filtre de groupe |
Filtre de recherche à utiliser pour extraire les groupes de l'annuaire LDAP. Ce filtre doit être formaté selon la syntaxe standard LDAP. |
Attribut utilisateur |
Attribut d'un utilisateur LDAP pour définir l'identité de celui-ci. |
Attribut groupe |
Attribut d'un groupe LDAP pour définir l'identité de celui-ci. |
Attribut membre |
Attribut d'un groupe LDAP pour définir quels utilisateurs sont membres de celui-ci. |
Attribut nom complet |
Attribut d'un utilisateur LDAP pour définir le nom complet de celui-ci. |
Attribut courriel |
Attribut d'un utilisateur LDAP pour définir l'adresse de courriel de celui-ci. |
Taille maximale de la page |
Dans les annuaires LDAP, la taille de transactions est limitée à un nombre maximal d'enregistrements à la fois (taille de la page). La valeur de ce paramètre ne doit pas dépasser la taille maximale autorisée par l'annuaire (1000 est la valeur par défaut dans les annuaires LDAP). Une taille trop petite peut réduire les performances. Une taille plus grande que la limite autorisée causera des données manquantes dans la liste des utilisateurs. |
Pour plus de détails sur le protocole LDAP, consultez http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol.
Gestionnaire d'utilisateurs composite
Ce type de gestion d'utilisateurs permet de combiner plusieurs gestionnaires ensemble. Vous pouvez ajouter autant de gestionnaires que nécessaire. Tous les gestionnaires fonctionneront comme un seul et unique gestionnaire d'utilisateurs. Consultez les sections précédentes pour la configuration des gestionnaires d'utilisateurs.
Synchronisation des permissions d'utilisateurs
Lorsque vous vous connectez à une base de données de comptes d'utilisateurs existante (Active Directory, LDAP ou une base de données relationnelle externe), il peut être utile de synchroniser JMap Server avec la base de données pour 2 raisons :
•Lorsque des utilisateurs ou groupes sont supprimés de la base de données et que ceux-ci détenaient des permissions dans JMap (p. ex. ouverture d'un projet ou permission de visualiser certaines couches), les permissions ne sont pas supprimées des listes de permissions dans JMap Server. Cette situation peut se produire parce que JMap Server n'est pas au courant de la suppression des utilisateurs et des groupes de la base de données. En effectuant la synchronisation, JMap Server supprime toutes les permissions qui existent pour les utilisateurs et groupes supprimés. Toutefois, même si vous n'effectuez pas de synchronisation, cette situation n'entraîne pas de problèmes de sécurité car les utilisateurs supprimés ne seront pas en mesure de s'authentifier.
•Lorsque la composition des groupes d'utilisateurs est modifiée (membres ajoutés ou enlevés) pour que JMap Server charge à nouveau la liste des membres des groupes. JMap Server conserve la liste des membres en mémoire pour des raisons de performances.
Vous pouvez automatiser la synchronisation en activant l'option Synchronisation automatique à chaque et en spécifiant une période de temps.