Comment importer des utilisateurs LDAP dans KentixONE ?
Ce guide vous explique étape par étape comment connecter KentixONE à votre annuaire LDAP/Active Directory, attribuer des groupes d’utilisateurs et synchroniser les attributs des utilisateurs. À la fin, un lien vers la description complète des formulaires est fourni pour des explications détaillées sur tous les champs.
Conditions préalables
- Adresse IP ou nom d’hôte du serveur LDAP
- Mode de sécurité : non chiffré (LDAP) ou chiffré (LDAPS/SSL)
- Port du service LDAP (par défaut : 389 ou 636 pour LDAPS)
- Base DN (par ex.
DC=example,DC=local) - Bind DN d’un compte LDAP avec des droits de lecture et mot de passe associé
- Optionnel : Groupes LDAP pour assigner les rôles KentixONE (Viewer/Manager/Administrator)
Guide pas à pas
1. Configurer le serveur LDAP
Accédez aux paramètres de communication dans KentixONE et sélectionnez LDAP. Activez le service et saisissez les informations sur le serveur, le port, le chiffrement et le Base‑DN.
L’option « Suppression douce » suspend les utilisateurs LDAP supprimés dans KentixONE au lieu de les effacer. Cela permet de conserver l’historique.
2. Ajouter les informations d’authentification
Saisissez les informations d’accès au compte LDAP (Bind‑DN) ayant des droits de lecture ainsi que le mot de passe correspondant.
3. Attribuer les autorisations système (groupes)
Attribuez vos groupes LDAP aux rôles KentixONE. Les utilisateurs de chacun des groupes LDAP reçoivent automatiquement l’autorisation correspondante dans KentixONE.
Vous pouvez attribuer jusqu’à trois groupes. Les groupes imbriqués ne sont pas pris en charge.
4. Mapper les attributs
Définissez quels attributs LDAP doivent être transférés dans quels champs KentixONE (par ex. sAMAccountName → Nom d’utilisateur, mail → E‑mail, numéro de téléphone, etc.).
Utilisez un attribut booléen pour le champ « Utilisateur actif » ou mappez par exemple userAccountControl pour désactiver automatiquement les utilisateurs.
5. Lancer la synchronisation
Enregistrez les paramètres et lancez la synchronisation pour importer les utilisateurs. Alternativement, définissez un intervalle pour la synchronisation automatique.
Si les DoorLocks fonctionnent sans connexion avec le AccessManager (par ex. accès d’urgence), assurez-vous que les attributs pertinents tels que PIN/RFID sont pris en compte dans le mappage.
Astuces et conseils
Une description complète de tous les champs est disponible dans l'article du formulaire : Configuration LDAP.
PIN et RFID
Données à des fins d'identification des utilisateurs dans le système. Si ces données sont déjà enregistrées dans LDAP lors de la création d’utilisateurs, elles peuvent être récupérées.
Les valeurs correspondantes doivent être renseignées dans les champs d’attribut LDAP prévus à cet effet et configurées dans le champ de synchronisation LDAP.
RFID :
Avec UID et données : UID;DONNÉES
Uniquement données sans UID : ;DONNÉES
La longueur totale des codes PIN est définie au niveau du système sous « Sécurité ». Si les poignées de rack RA4 sont utilisées avec des codes PIN pour l'accès et le déclenchement des groupes d’alarme, notez que seuls les chiffres 1 à 4 sont disponibles pour l'entrée. Créez donc uniquement des codes PIN dans cet intervalle pour les utilisateurs des poignées de rack.
Accès d’urgence
Permet aux utilisateurs sélectionnés d’accéder aux locaux lorsque le DoorLock ne peut pas se connecter au AccessManager. Les données de l’utilisateur sont alors localement stockées dans le DoorLock avec cette autorisation. Utilisez ici un attribut avec « 0 » ou « 1 » (Accès d’urgence actif).
- L’accès d’urgence n’est pas immédiatement disponible après son attribution à un utilisateur.
- Les données utilisateur pour l’accès d’urgence sont transférées lors des enregistrements sur DoorLocks. Pour enregistrer localement chaque utilisateur d’urgence dans le DoorLock, autant de validations sont nécessaires que d’utilisateurs d’urgence configurés.
Profils d'accès depuis LDAP
Lorsque des profils portant le même nom existent à la fois dans KentixONE et dans la structure LDAP, les profils d'accès peuvent être transmis avec les utilisateurs. Ces profils sont liés au niveau utilisateur dans KentixONE. Plusieurs profils d'accès peuvent être définis dans LDAP en tant que liste. La syntaxe est : Profil1, Profil2, Profil3.
Les groupes sont importés dans KentixONE pour le contrôle d’accès. Les autorisations pour l’accès au système KentixONE peuvent être configurées pour ces groupes.
Glossaire
- LDAP : Protocole réseau pour interroger et gérer des services d’annuaire (par ex. Active Directory).
- LDAPS : LDAP sur SSL/TLS. Variante sécurisée de LDAP, généralement sur le port 636.
- Base-DN : Point d’entrée (Distinguished Name) dans la structure de l’annuaire, à partir duquel commence la recherche d’objets (par ex. DC=example,DC=local).
- DN : Distinguished Name ; chemin unique d’un objet dans l’annuaire LDAP.
- OU : Organizational Unit ; unité logique/dossier dans l’arborescence de l’annuaire, par ex. pour les départements.
- Bind-DN : Identifiant utilisateur permettant à KentixONE de s'authentifier sur le serveur LDAP pour effectuer des requêtes.
- Mappage d'attributs : Association des attributs LDAP aux champs dans KentixONE (par ex. mail → E‑mail, sAMAccountName → Nom d'utilisateur).
- Utilisateur actif : Champ/attribut booléen qui contrôle si un utilisateur est actif dans KentixONE.
- userAccountControl : Attribut Active Directory contenant des indicateurs de statut d’un compte (peut être utilisé pour la logique Actif/Inactif).