Intégration Active Directory

RoboForm Connecteur Active Directory
 

Le client RoboForm Active Directory permet à un administrateur d’entreprise de synchroniser ses utilisateurs et groupes Active Directory (AD) avec le compte d’entreprise RoboForm pour Business. 

Les comptes utilisateurs et groupes RoboForm pour Business peuvent être créés à partir des utilisateurs et groupes AD déjà existants de votre entreprise. Si le connecteur AD est laissé en fonctionnement comme service, il pourra continuer à mettre à jour l’entreprise RoboForm pour Business avec toutes les modifications effectuées dans l’AD de l’entreprise. Selon les paramètres de filtrage, ces modifications seront propagées à vos utilisateurs et groupes RoboForm pour Business. Les changements détectés incluent les modifications du nom d’utilisateur et de l’adresse e-mail AD, l’appartenance à un groupe, ainsi que le statut (création, suspension, suppression). 

Le connecteur AD peut être téléchargé depuis la section Active Directory local de la page Intégrations de la console d’administration RoboForm pour Business.

 

Configuration de la synchronisation Active Directory

Commencez par télécharger et exécuter le programme d’installation du Connecteur RoboForm Active Directory.

RoboForm Active Directory nécessite Microsoft .NET Framework 4.6.2 et Microsoft Visual C++ 2017 Runtime Libraries pour fonctionner. S’ils ne sont pas déjà installés, le programme d’installation du Connecteur RoboForm Active Directory installera également .NET 4.6.2 et VC++ 2017. Le connecteur AD prend en charge Windows Server 2008R2 et les appareils Windows exécutant Windows 7 ou version ultérieure. Une fois l’installation terminée, cliquez simplement sur "Lancer".

Pour commencer à synchroniser Active Directory avec un compte RoboForm pour Business, connectez-vous à un compte administrateur.

Le client RoboForm AD nécessite des connexions avec :

1) Compte d’entreprise RoboForm pour Business (compte de niveau administrateur)

 

2) Serveur Active Directory (identifiants de niveau administrateur requis) 

Fournissez des identifiants pour vous connecter au serveur Active Directory (si aucun identifiant n’est fourni, les identifiants de l’utilisateur actuel seront utilisés). Les identifiants utilisés pour se connecter au serveur Active Directory doivent disposer des privilèges d’administrateur et de l’autorisation Replicate directory changes. Pour obtenir les instructions permettant d’activer cette autorisation, cliquez ici. Si le Connecteur AD n’est pas installé directement sur le serveur Active Directory et que le nom de domaine du serveur AD n’a pas été spécifié dans le fichier hosts de Windows, saisissez plutôt l’adresse IP du serveur AD.

Le Connecteur AD commencera à rechercher les unités organisationnelles (OU) et les conteneurs (CN) à synchroniser à l’aide du Nom distinctif de base (Base Distinguished Name, DN) spécifié. Il est recommandé de définir un DN de base pour les grands domaines, car cela permet de réduire la plage de recherche et peut considérablement diminuer le temps nécessaire pour répertorier les groupes du domaine. Vous pouvez copier le DN à partir de l’éditeur d’attributs dans le menu des propriétés de l’OU cible, par exemple : "OU=where-synced-groups-are,DC=domain,DC=com".

Si les utilisateurs des domaines enfants doivent être synchronisés en plus de ceux d’un domaine parent, activez l’option Catalogue global. Avec cette fonctionnalité activée, le Connecteur AD peut rechercher des utilisateurs dans l’ensemble de l’annuaire. Gardez à l’esprit que l’élargissement de la portée du Connecteur AD peut augmenter le temps nécessaire pour découvrir tous les groupes de votre domaine et ralentir le processus.

Si tous les utilisateurs devant être synchronisés se trouvent dans un seul domaine enfant, connectez-vous directement à ce domaine enfant plutôt que d’utiliser l’option Catalogue global.

Lorsque vous continuez à synchroniser des groupes situés dans un domaine enfant, ne désactivez pas l’option Catalogue global. Le Connecteur AD interprétera cela comme si tous les utilisateurs membres de ces groupes avaient été supprimés de tous les groupes de votre AD, ce qui, selon la manière dont les règles de synchronisation ont été définies, peut entraîner la suspension ou la suppression de leurs comptes RoboForm.

Après que le Client AD RoboForm pour Business a établi avec succès une connexion au compte d’entreprise RoboForm pour Business et au serveur Active Directory, des filtres et des règles peuvent être appliqués.

Filtre des groupes du client Active Directory

Cliquez sur le bouton "Sélectionner les groupes AD" puis, à l’étape suivante, choisissez quels groupes Active Directory doivent être créés (synchronisés) dans votre compte d’entreprise RoboForm pour Business.


 

L’option Afficher tous les nœuds, activée par défaut, affichera toutes les OU et tous les groupes dans le DN spécifié. Si cette option est désactivée, seules les OU de ce DN seront affichées. La désactivation de cette option permet de réduire le temps nécessaire au Connecteur AD pour découvrir toutes les OU dans le DN.

Règles de synchronisation

Spécifiez comment le Client Active Directory RoboForm doit gérer les modifications effectuées sur le serveur Active Directory ou sur votre compte d’entreprise RoboForm pour Business..  


 

Lorsque le compte RoboForm est créé pour les utilisateurs synchronisés via AD :
 

Cette règle détermine ce qui se passe lorsqu’un compte RoboForm est créé pour un nouvel utilisateur de votre groupe AD. Les options sont soit d’envoyer automatiquement un e-mail à chaque utilisateur pour lequel un compte RoboForm pour Business vient d’être créé, contenant son mot de passe temporaire et les instructions pour finaliser la configuration de son compte, soit de ne pas envoyer d’e-mail à l’utilisateur, en laissant aux administrateurs le soin de lui transmettre plus tard un e-mail d’activation.

Lorsqu’un utilisateur dans Active Directory est détecté

Cette règle détermine quelle action entreprendre si un utilisateur AD est détecté dans l’un des groupes Active Directory présélectionnés. Les options sont soit de créer pour lui un compte utilisateur RoboForm pour Business basé sur son compte AD (nom d’utilisateur et e-mail) et de le placer dans le groupe approprié, soit de ne rien faire. 

 

Lorsqu’un utilisateur dans Active Directory est supprimé

Cette règle détermine quelle action entreprendre si un utilisateur AD inclus dans l’un des groupes Active Directory présélectionnés est supprimé de l’Active Directory. Les options sont soit de supprimer son compte utilisateur RoboForm pour Business, soit de le suspendre, soit de ne rien faire. 

 

Lorsqu’un utilisateur dans Active Directory est désactivé

Cette règle détermine quelle action entreprendre si un utilisateur AD inclus dans l’un des groupes Active Directory présélectionnés est désactivé dans Active Directory. Les options sont soit de supprimer son compte utilisateur RoboForm pour Business, soit de le suspendre, soit de ne rien faire.

 

Lorsqu’un utilisateur dans Active Directory est retiré d’un groupe dans le filtre

Cette règle détermine quelle action entreprendre si un utilisateur AD n’est plus membre d’aucun des groupes sélectionnés. Les options sont soit de supprimer son compte utilisateur RoboForm pour Business, soit de le suspendre, soit de ne rien faire.
 

Lorsqu’un utilisateur est retiré d’un groupe dans RFO, mais est toujours présent dans Active Directory

Cette règle détermine quelle action entreprendre si un utilisateur est retiré d’un groupe RoboForm pour Business mais pas du même groupe dans Active Directory. Les options sont soit de réintégrer l’utilisateur dans le groupe RoboForm pour Business, soit de ne rien faire. 

Lorsqu’un utilisateur est supprimé de RFO, mais existe toujours dans Active Directory
 

Cette règle détermine quelle action entreprendre si le compte RoboForm pour Business d’un utilisateur est supprimé.  Les options sont soit de recréer leur compte utilisateur RoboForm pour Business lors du prochain processus de synchronisation (manuel ou automatique), soit de ne rien faire (le compte utilisateur restera supprimé).

 

Lorsqu’un utilisateur est suspendu dans RFO, mais actif dans Active Directory
 

Cette règle détermine quelle action entreprendre si le compte RoboForm pour Business d’un utilisateur est suspendu. Les options sont soit de restaurer son compte utilisateur RoboForm pour Business lors du prochain processus de synchronisation (manuel ou automatique), soit de ne rien faire (le compte utilisateur restera suspendu).

 

Lorsqu’un nom d’utilisateur dans RFO et Active Directory n’est pas identique

Cette règle détermine quelle action entreprendre si le compte RoboForm pour Business d’un utilisateur possède un enregistrement de nom différent de celui de son compte Active Directory. Les options sont soit de mettre à jour l’enregistrement de nom de son compte utilisateur RoboForm pour Business (selon l’enregistrement trouvé dans son compte AD), soit de ne rien faire (le nom d’utilisateur restera tel qu’il apparaît dans son compte utilisateur RoboForm pour Business).

Cette option est utilisée lorsque nous voulons modifier les enregistrements des utilisateurs dans leur compte d’entreprise RoboForm pour Business tout en conservant intacts leurs enregistrements AD. 

 

Lorsqu’un e-mail utilisateur dans RFO et Active Directory n’est pas identique

Cette règle détermine quelle action entreprendre si le compte RoboForm pour Business d’un utilisateur possède un enregistrement d’e-mail différent de celui de son compte Active Directory. Les options sont soit de mettre à jour l’enregistrement d’e-mail de son compte utilisateur RoboForm pour Business (selon l’enregistrement trouvé dans son compte AD), soit de ne rien faire (l’e-mail de l’utilisateur restera tel qu’il apparaît dans son compte utilisateur RoboForm pour Business).

Cette option est utilisée lorsque nous voulons modifier les enregistrements des utilisateurs dans leur compte d’entreprise RoboForm pour Business tout en conservant intacts leurs enregistrements AD. 


 

Planificateur

Ce paramètre règle le nombre de minutes entre deux exécutions de synchronisation planifiées.

Le nombre de minutes défini ici règle l’intervalle entre chaque synchronisation effectuée par le Client AD RoboForm entre l’Active Directory et le compte d’entreprise RoboForm pour Business.

Pour que le service non surveillé s’exécute, l’utilisateur Windows configurant le service doit disposer au minimum des privilèges d’administrateur de domaine sur la machine où le Client AD RoboForm est installé.

Journal de synchronisation

Définissez l’emplacement où le Client AD RoboForm enregistre ses journaux.

Après avoir terminé la configuration initiale, appuyez sur "Démarrer" et RoboForm Le Client AD commencera à synchroniser selon la planification. Pour modifier l’un de ces paramètres, cliquez sur "Modifier la configuration."