Comment importer des utilisateurs LDAP dans KentixONE ?
Ce guide vous montre étape par étape comment connecter KentixONE à votre LDAP/Active Directory, attribuer des groupes d'utilisateurs et synchroniser les attributs d'utilisateurs. Une description complète du formulaire est disponible à la fin.
Conditions préalables
- Adresse IP ou nom d'hôte du serveur LDAP
- Mode de sécurité : non chiffré (LDAP) ou chiffré (LDAPS/SSL)
- Port du service LDAP (par défaut : 389 ou 636 pour LDAPS)
- Base DN (par ex.
DC=example,DC=local) - Bind DN d'un compte LDAP avec des droits de lecture et mot de passe associé
- Facultatif : groupes LDAP pour l'attribution des rôles KentixONE (Observateur/Gestionnaire/Administrateur)
Guide étape par étape
1. Configurer le serveur LDAP
Dans KentixONE, ouvrez les paramètres de communication et sélectionnez LDAP. Activez le service et saisissez le serveur, le port, le chiffrement et le Base DN.
L'option « Soft Delete » désactive les utilisateurs LDAP supprimés dans KentixONE au lieu de les supprimer. Cela permet de conserver les historiques.
2. Ajouter l'authentification
Saisissez les identifiants du compte LDAP (Bind DN) ayant des droits de lecture ainsi que le mot de passe.
3. Attribuer les autorisations système (groupes)
Attribuez vos groupes LDAP aux rôles KentixONE. Les utilisateurs des groupes LDAP correspondants obtiennent automatiquement les autorisations appropriées dans KentixONE.
Jusqu'à trois groupes peuvent être attribués. Les groupes imbriqués ne sont pas pris en charge.
4. Faire correspondre les attributs
Définissez quels attributs LDAP sont transférés dans quels champs de KentixONE (par ex. sAMAccountName → Nom d'utilisateur, mail → E‑mail, numéro de téléphone, etc.).
Utilisez un attribut booléen pour le champ « Utilisateur actif » ou mappez par exemple userAccountControl pour désactiver automatiquement des utilisateurs.
5. Démarrer la synchronisation
Enregistrez les paramètres et lancez la synchronisation pour importer des utilisateurs. Alternativement, définissez un intervalle pour une synchronisation automatique.
Si des DoorLocks doivent fonctionner sans connexion au AccessManager (par ex. accès d'urgence), veillez à inclure les attributs pertinents tels que PIN/RFID dans le mapping.
Astuces
Une description complète des champs avec toutes les options est disponible dans l'article de formulaire : Configuration LDAP.
PIN et RFID
Données d'identification des utilisateurs dans le système. Si ces données sont déjà mentionnées dans LDAP lors de la création des utilisateurs, elles peuvent être transférées.
Pour cela, les valeurs correspondantes doivent être saisies dans le champ d'attribut LDAP prévu et configurées en conséquence dans le champ de synchronisation LDAP.
RFID :
Avec UID et données : UID;DONNÉES
Données seules sans UID : ;DONNÉES
La longueur totale des PINs est configurable globalement dans "Sécurité". Si des poignées RA4 avec PIN sont utilisées pour accéder et activer les groupes d'alarme, notez qu'elles acceptent uniquement les chiffres 1–4. Assignez aux utilisateurs des PINs comprises dans cet intervalle.
Accès d'urgence
Permet l'accès à des utilisateurs sélectionnés lorsque le DoorLock ne peut pas se connecter au AccessManager. Les données de l'utilisateur sont enregistrées localement dans le DoorLock pour cet accès. Assignez un attribut indiquant « 0 » ou « 1 » (Accès d'urgence actif).
- L'accès d'urgence n'est pas disponible immédiatement après son attribution à un utilisateur.
- Les données d'utilisateur pour l'accès d'urgence sont transférées aux DoorLocks lors des réservations. Chaque utilisateur d'urgence nécessite le même nombre de réservations que d'utilisateurs d'urgence définis pour être sauvegardé localement.
Profils d'accès depuis LDAP
Si des profils identiques existent dans KentixONE et dans la structure LDAP, ils peuvent être transférés avec les utilisateurs. Ces profils sont liés aux utilisateurs dans KentixONE. Les profils multiples peuvent être définis dans LDAP en tant qu'énumération. Exemple de format : Profil1, Profil2, Profil3.
Les groupes sont importés dans KentixONE pour la gestion des accès. Les autorisations pour accéder au système KentixONE peuvent être configurées pour ces groupes.
Glossaire
- LDAP : Protocole réseau pour interroger et gérer des services d'annuaire (comme Active Directory).
- LDAPS : LDAP via SSL/TLS. Variante sécurisée de LDAP, typiquement sur le port 636.
- Base-DN : Point d'entrée (Distinguished Name) dans la structure d'annuaire, à partir duquel la recherche des objets commence (par ex. DC=example,DC=local).
- DN : Distinguished Name ; chemin unique d'un objet dans l'annuaire LDAP.
- OU : Organizational Unit ; unité logique/dossier dans l'arborescence de l'annuaire, par ex. pour des départements.
- Bind-DN : Identifiant utilisateur permettant à KentixONE de s'authentifier sur le serveur LDAP pour exécuter des requêtes.
- Mapping des attributs : Association des attributs LDAP à des champs de KentixONE (par ex. mail → E‑mail, sAMAccountName → Nom d'utilisateur).
- Utilisateur actif : Champ/attribut booléen contrôlant si un utilisateur est actif dans KentixONE.
- userAccountControl : Attribut Active Directory contenant des indicateurs de statut d'un compte (peut être utilisé pour l'activation/la désactivation des comptes).