Avant de synchroniser un annuaire Active Directory (AD) avec Genetec ClearID™, vous devez configurer Genetec ClearID™ LDAP Synchronization Agent.
Avant de commencer
- Téléchargez une clé d'authentification de service.
- Installez ClearID LDAP Synchronization Agent sur un serveur dédié. Il ne doit pas forcément s'agir d’un serveur Security Center.REMARQUE : En général, ClearID LDAP Synchronization Agent n’est pas disponible en téléchargement public. Le lien de téléchargement de l’outil de synchronisation est généralement fourni par votre contact de déploiement en cas de besoin.
- Référence : CD-IDSYNC-SERVICE-1Y est requis pour l’importation LDAP.
À savoir
Procédure
-
Ouvrez ClearID LDAP Synchronization Agent (Genetec.ClearID.LdapSyncAgentConfiguration.exe) et configurez les réglages.
-
Dans la section Réglages de l'annuaire d'utilisateurs, entrez les informations nécessaires :
La section Réglages d'annuaire d'utilisateurs sert à connecter l'annuaire LDAP qui contient les attributs utilisateur.
- Chemin de recherche LDAP
- Saisissez une unité organisationnelle. Par exemple, OU=Genetec. Ce chemin de recherche spécifie l'emplacement, le dossier ou le groupe contenant les attributs utilisateur Active Directory.REMARQUE : La valeur distinguishedName du groupe AD est obligatoire pour le champ Chemin de recherche LDAP.
- Intervalle d'actualisation (min.)
- Saisissez un intervalle d'actualisation en minutes. Par exemple, 60 pour synchroniser les attributs toutes les heures.REMARQUE : Selon la taille de votre organisation et le nombre d'attributs, des synchronisations toutes les 12 h ou 24 h (720 ou 1440 min) peuvent être pertinentes.
-
Dans la section Réglages de connexion, configurez les réglages de connexion à l’hôte :
La section Réglages de connexion sert à se connecter au serveur qui stocke les réglages de l’annuaire d'utilisateurs.
- Hôte
- Saisissez l'adresse de votre répertoire Active Directory. Par exemple, Genetec.com.
- Port
- Saisissez le port par défaut de votre répertoire Active Directory. Par exemple, 389.
- Type d'authentification LDAP
- Sélectionnez un type d'authentification depuis les éléments suivants :
-
- Identifiants Windows par défaut
- Pour une application côté client, cette option utilise les identifiants Windows (nom d'utilisateur et mot de passe) de l'utilisateur exécutant l'application.
- Association simple
- Avec l'option Association simple, les identifiants (nom d'utilisateur et mot de passe) utilisés pour associer le client LDAP au serveur LDAP sont transmis via le réseau sans chiffrement.ATTENTION :Le type d'authentification Association simple n'est pas recommandé pour les serveurs de production LDAP.
- Association simple via SSL
-
BONNE PRATIQUE : Avec l'option Association simple via SSL, les identifiants (nom d'utilisateur et mot de passe) utilisés pour associer le client LDAP au serveur LDAP sont transmis via le réseau avec chiffrement.
- Nom d'utilisateur
- Si l'option Association simple ou Association simple via SSL a été sélectionnée, saisissez le nom d'utilisateur fourni par votre organisation.
- Mot de passe
- Si l'option Association simple ou Association simple via SSL a été sélectionnée, cliquez sur Définir le mot de passe et saisissez un mot de passe, puis cliquez sur OK.REMARQUE : Utilisez les bonnes pratiques du secteur pour créer des mots de passe fiables. Tous les mots de passe stockés dans le fichier de configuration sont chiffrés.
-
(Facultatif) Dans la section Réglages réseau, configurez les réglages du proxy web :
La section Réglages réseau sert à configurer les réglages de proxy.
- Utiliser un proxy Web
- Cochez la case à cocher Utiliser un proxy web
pour spécifier qu'un proxy web est requis pour accéder à Internet.
Cette option est généralement utilisée par les clients situés derrière un pare-feu ou lorsque l'accès réseau à Internet est restreint.
Un serveur proxy est un serveur qui vérifie et transfère les demandes client entrantes à d'autres serveurs pour une communication ultérieure. Par exemple, lorsqu'un client n'est pas en mesure de répondre aux exigences d'authentification de sécurité du serveur mais doit avoir accès à certains services.
- URL proxy
- Si la case Utiliser un proxy Web est cochée, saisissez l'URL du proxy fournie par votre organisation.
Par exemple, https://proxy:8080/outgoing. Ces informations sont généralement fournies par l'équipe d'administration réseau.
- Authentification proxy
- L'authentification proxy est le processus de validation des identifiants utilisateur permettant d'accéder à un serveur proxy. Cette authentification inclut généralement un nom d'utilisateur et peut également comprendre un mot de passe.
Sélectionnez Identifiants par défaut ou Identifiants spécifiques :
- Identifiants par défaut
- Spécifie qu'aucune authentification proxy n'est requise.
- Identifiants spécifiques
- Spécifie que l'authentification proxy est requise.
-
- Nom d'utilisateur proxy
- Si l'authentification proxy est définie sur Identifiants spécifiques, entrez le nom d'utilisateur proxy fourni par votre organisation.
- Mot de passe proxy
- Cliquez sur Définir le mot de passe et saisissez un mot de passe, puis cliquez sur OK.REMARQUE : Utilisez les bonnes pratiques du secteur pour créer des mots de passe fiables.
- Domaine proxy
- Saisissez le nom de domaine fourni par votre organisation.
- État de la connexion proxy
- Les icônes d'état indiquent une connexion proxy valide () ou non valide (). L'état s'affiche uniquement après avoir cliqué sur le bouton Vérifier.
- vérification
- Cliquez sur Vérifier pour tester les réglages de connexion de votre serveur de proxy.
-
Dans la section Réglages ClearID, configurez les réglages :
La section Réglages ClearID sert à se connecter aux services ClearID et à synchroniser les données.
- Clé d'authentification du service ClearID
- Cliquez sur plus () pour sélectionner la clé d'authentification pour votre intégration API. Cette clé sert à authentifier les communications de l’agent de synchronisation lorsqu’il envoie des requêtes à votre compte ClearID.
- Indique que l'agent de synchronisation n’est pas connecté à ClearID et qu'une clé privée est nécessaire.
- Indique que l'agent de synchronisation est connecté à ClearID et que la clé privée a été fournie.
- URL de l'API Jeton (lecture seule)
- Le service Jeton fournit un jeton d'authentification pour contacter l'identité et le service principal.
- URL de l'API Identité (lecture seule)
- Le service Identity sert à accéder à toutes les informations d’identité ClearID.
- URL de l'API Principal (lecture seule)
- Le service Principal sert à accorder l'accès au portail web aux utilisateurs.
- Pays par défaut (ISO 3166, 3 lettres)
- Saisissez votre code pays à trois lettres. Par exemple, USA ou CAN.REMARQUE : Les codes pays à trois lettres sont basés sur les codes Alpha-3 de la norme de codes pays ISO 3166-1.
- Le service Principal a accès au portail
- Cochez la case pour autoriser les utilisateurs synchronisés à accéder au portail web ClearID.
-
(Facultatif) Dans la section Options avancées, ne remplissez pas ces champs.
La section Options avancées sert à personnaliser le comportement de l'agent de synchronisation.
- Créer des identités inactives
- Cochez cette case pour créer des identités ClearID inactives pour les utilisateurs inactifs détectés dans Active Directory pendant la synchronisation. BONNE PRATIQUE : Cette case est généralement désactivée pour éviter de créer des utilisateurs inactifs.
- Filtres de demandes utilisateur
- (Facultatif) Entrez les filtres de demande utilisateur spécifiés par votre contact de déploiement. IMPORTANT : Utilisez uniquement cette option sur demande de votre contact de déploiement.
-
Cliquez sur Enregistrer.
CONSEIL : Vous pouvez supprimer ce fichier si vous souhaitez supprimer tous vos paramètres et configurer à nouveau l'agent de synchronisation.
-
Ouvrez le Gestionnaire de tâches Windows et faites un clic droit sur le service Windows Genetec ClearID LDAP Synchronizer (Genetec.ClearID.LdapSyncAgent.Service.exe).
- Si vous configurez l'agent pour la première fois, cliquez sur Démarrer pour lancer le service afin d'activer les réglages de configuration.
- Si l'agent est déjà en cours d’exécution, cliquez sur Redémarrer pour appliquer les modifications apportées à votre configuration.
Résultats
Lorsque vous avez terminé
- Consultez le portail Web ClearID pour vérifier que les nouvelles identités pour les utilisateurs Active Directory ont bien été synchronisées et qu’elles contiennent les bons attributs.
- (Facultatif) Vous pouvez cliquer sur Ouvrir le dossier de journalisation pour consulter les fichiers journaux ErrorLog.txt et Eventlog.txt. REMARQUE : Les informations dans le dossier Service Log sont généralement utilisées lorsque vous appelez l’assistance ou lorsque votre contact vous demande d’envoyer les journaux à Genetec Inc.