DownloadGLPI ChangelogPricesGLPI Website45-day free trial

Intégrer GLPI Network Cloud et LDAPS (Entra)

Rappel d'utilisation

Rappelons d'abord que l'utilisation d'un répertoire Entra permet deux fonctionnalités avec GLPI :

  • Synchroniser les utilisateurs

  • Les authentifier.

L'authentification peut se faire de deux manières :

  • Authentification LDAPS via synchronisation de répertoire (des utilisateurs) dans GLPI

  • Authentification Oauth SSO (la synchronisation n'est pas requise)

Nous allons maintenant détailler les configurations de ces fonctionnalités.

Synchronisation de répertoire et/ou authentification LDAPS

Entra AD nécessite l'utilisation du protocole LDAPS pour être synchronisé. Microsoft a entièrement documenté la configuration de son environnement pour l'utilisation de LDAPS. Nous vous invitons donc à suivre la documentation officielle ici afin de préparer votre environnement Entra AD.

Note

Votre tenant Entra doit avoir une licence suffisamment élevée ou l'achat de Microsoft Entra Domain Services peut être nécessaire.

  • N'oubliez pas que vous pouvez déterminer l'adresse IP de votre instance GLPI Network Cloud en suivant l'article ici, si vous souhaitez établir des règles d'accès LDAPS sur votre environnement Entra AD.

Attention

Si votre environnement Entra AD est mal préparé pour LDAPS, cela ne fonctionnera pas côté GLPI

  • N'oubliez pas également de créer un compte de service (un utilisateur) dans votre répertoire, uniquement dédié à l'interconnexion entre GLPI et votre répertoire Entra AD.

Une fois votre environnement Entra AD préparé pour LDAPS, revenez dans GLPI !

Vous devez créer une source d'authentification de type Répertoire LDAP.

  • Allez dans Configuration > Authentification > Répertoires LDAP

  • Cliquez sur ajouter pour ajouter un nouveau répertoire

  • Nous devons configurer le nouveau répertoire pour les connexions LDAPS

Alt text

Explication des champs :

  • Nom Le nom à saisir ici sera celui affiché dans la liste de vos répertoires, il n'influence pas la configuration.

  • Serveur par défaut Ce paramètre vous permet de définir si ce répertoire doit être utilisé en priorité.

  • Actif Avec ce paramètre, vous pouvez activer ou non le répertoire

  • Serveur Devant l'IP ou le FQDN de votre serveur LDAP, ajoutez ldaps://, ex : ldaps://Entra.mycompany.com ou ldaps://xxx.xxx.xxx

  • Port Saisissez le port de votre LDAP. LDAPS nécessite le port 636

  • Filtre de connexion Vous pouvez définir une condition pour la recherche. Il est possible de filtrer la recherche d'utilisateurs à un nombre réduit d'enregistrements.

Pour Active Directory, utilisez le filtre suivant, qui ne retourne que les utilisateurs non désactivés (car les machines sont aussi considérées comme des utilisateurs par AD) :

(&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Ce filtre est un exemple standard, vous pouvez le modifier selon vos besoins.

  • BaseDN

basedn

Le basedn doit être écrit sans espaces après les virgules. De plus, la casse doit être identique

Pour un usage standard, les paramètres à saisir sont très simples, par exemple :

Si votre Serveur = Entra.mycompany.com

Alors votre BaseDN = dc=mycompany,dc=com

  • RootDN (pour les liaisons non anonymes) Saisissez ici le DN complet du compte de service qui s'authentifiera avec votre répertoire

  • Mot de passe (pour les liaisons non anonymes) Saisissez ici le mot de passe du compte de service qui s'authentifiera avec votre répertoire. Notez que lors de la sauvegarde de la configuration, ce champ apparaîtra vide, c'est normal, le mot de passe sera sauvegardé dans la base de données.

  • Champ de connexion\

    • Pour Entra AD avec authentification SSO ! Nous indiquerons le champ userprincipalname

    • Pour Entra AD sans authentification SSO ! Nous indiquerons le champ samaccountname

  • Commentaires Ce champ n'influence pas la configuration, c'est seulement un champ texte vous permettant de placer une indication, une remarque, etc.

  • Champ de synchronisation Dans les schémas fournis par défaut, nous recommandons, par exemple, d'utiliser l'attribut "objectGUID" (correspondant à l'identifiant unique officiel d'un objet) ; Attention avec ce champ, une fois configuré il ne peut pas être modifié.

Une fois les champs saisis, cliquez sur Ajouter pour sauvegarder votre répertoire.

Lors de l'enregistrement, un test de connexion à votre répertoire sera effectué par GLPI !

Options supplémentaires

  • Une fois votre connexion LDAPS enregistrée, revenez dans la configuration de votre répertoire côté GLPI.

  • Dans les informations avancées, changez le champ Utiliser les résultats paginés à Oui

  • Nous recommandons de changer la taille de page à 100

  • Nous recommandons de changer le champ nombre maximum de résultats à illimité

Alt text

Votre répertoire est connecté mais vous devez définir les options pour synchroniser.

  • Pour cela, allez dans la configuration de votre répertoire et utilisez les onglets Utilisateurs et Groupes en personnalisant les attributs LDAP que vous souhaitez synchroniser et les paramètres qui vous sont utiles. Cette section est complète.

PreviousS'authentifier avec LDAP localNextConfiguration LDAP

Last updated

Was this helpful?