L'activation du LDAP dans les applications QALITEL permet de synchroniser la liste du Personnel avec les comptes LDAP. Il sera néanmoins possible dans les applications de gérer des personnes n'appartenant pas à l'annuaire LDAP.
La synchronisation, comme cela sera présenté plus loin, peut se faire de manière périodique et automatique.
Il est avant tout nécessaire de s'assurer que l'extension LDAP est bien activée dans le PHP.INI. Vous pouvez le voir dans le PHPINFO, page pouvant être lancée à partir des applications QALITEL :
http://nom_serveur/.../app/installation/phpinfo.php
Le paramétrage dans le PHP.INI correspond à la ligne :
extension=php_ldap.dll
Le paramétrage ci-dessous n'est à effectuer que si vous optez pour l'authentification ActiveDirectory (SSO : Single Sign On). Sinon, aucun paramétrage n'est nécessaire pour la connexion LDAP ou l'authentification LDAP.
Pour que l'authentification Active Directory soit fonctionnelle, il est nécessaire d'effectuer les paramétrage suivants dans IIS. Accédez à la console d'IIS puis faites un clic droit Propriétés sur le site Web. Cliquez ensuite sur l'onglet Sécurité de répertoire.
* Décochez la case Activer la connexion anonyme * Cochez la case Authentification Windows intégrée
Redémarrez en suite IIS pour la prise en compte de ces modifications.
La configuration pour les versions 7 et ultérieures d'IIS, il est nécessaire d'ajouter un rôle "Authntification de base" selon le même principe que le rôle IIS a été installé intialement (Pour rappel : Installation d'IIS7 - Installation d'IIS8).
L'accès au gestionnaire de rôles se fait sous Windows 7 via le "Panneau de configuration - Programmes - Activer ou désactiver des fonctionnalités de Windows". Sous Windows 8, 2008, 2012,..., vous y accédez par "Démarrer - Outils d'administration - Gestionnaire de serveur".
Une fois dans le Gestionnaire de rôles, accédez à la rubrique " Services Internet (IIS) - Services World Wide Web - Sécurité" et cochez la case "Authentification de base".
Validez la fenêtre avec le bouton "OK" pour l'installation des composants correspondants.
Ensuite, accédez à la console d'IIS et placez-vous sur votre site Web.
Double cliquez sur l'icone "Authentification".
Vous accédez alors aux 2 rubriques : Authentification Anonyme et Authentification de base.
Une fois les paramétrages éffectués, redémarrez IIS pour leur prise en compte.
L'activation du SSO sous Apache (versions 2.2 et 2.4) nécessite l'installation d'un module spécifique puis le paramétrage du fichier de configuration d'Apache httpd.conf.
Pour l'authentification SSO sous Apache, vous devez télécharger le fichier mod_auth_sspi.so ou mod_authnz_sspi.so correspondant à votre version d'Apache.
Vous pouvez télécharger à partir de ce lien le fichier pour une version d'Apache 2.2 - 32bits.
Vous pouvez télécharger à partir de ce lien le fichier pour une version d'Apache 2.4 - 32bits.
Copiez le fichier mod_auth_sspi.so ou mod_authnz_sspi.so dans le répertoire des modules d'Apache, en standard : C:\Program Files\Apache Software Foundation\Apache2.x\modules
Accédez au fichier de configuraiton d'Apache, httpd.conf, situé en standard dans le répertoire : C:\Program Files\Apache Software Foundation\Apache2.2\conf
1°) Activation du module :
Entrez la ligne ci-dessous :
(ATTENTION : Ce module doit être chargé avant tout autre module ! Aussi, placez cette ligne en première position avant toutes les autres commandes LoadModule)
Pour Apache 2.2
LoadModule sspi_auth_module modules/mod_auth_sspi.so
Pour Apache2.4
LoadModule authnz_sspi_module modules/mod_authnz_sspi.so
2°) Configuration de l'Alias :
Vous devez ensuite entrer les lignes ci-dessous dans le paramétrage de votre Alias :
AuthName "NomduServeur"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
require valid-user
Pour Apache 2.2 , votre Alias sera alors de la forme suivante :
alias /scoqi/ "c:/scoqi_fullweb/www/"
<Directory "c:/scoqi_fullweb/www/">
AllowOverride all
Options FollowSymLinks
Order allow,deny
Allow from all
AuthName "scoqitech"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
require valid-user
</Directory>
Pour Apache 2.4, votre Alias sera alors de la forme suivante :
alias /scoqi/ "c:/scoqi_fullweb/www/"
<Directory "c:/scoqi_fullweb/www/">
AllowOverride all
Options FollowSymLinks
AuthName "scoqitech"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
require valid-user
ATTENTION : Si dans votre Alias vous aviez la directive "Require all granted" , il est impératif de commenter cette ligne car elle serait prioritaire sur l'authentification SSO !
Avant de commencer le paramétrage du LDAP dans l'application QALITEL, il est nécessaire de définir le filtre à utiliser pour récupérer les personnes que l'on souhaite importer ainsi que les noms de variables à synchroniser.
Pour cela, vous disposez de différents outils tels que le programme LDP.EXE, Softera LDAP Brower ou bien encore l'interface Utilisateurs et Ordinateurs ActiveDirectory. Ces différentes applications vous permettent de tester la chaine de connexion, le filtre à poser et le nom des champs à récupérer de l'annuaire.
Pour accéder à l'écran de paramétrage du LDAP dans les applications, vous devez vous connecter avec un profil Administrateur de QALITEL. Lancez l'application puis accédez, selon les applications, au menu "Configuration - Préfrences globales" ou "Outils - Préférences".
Cliquez sur la rubrique LDAP pour accéder à l'écran suivant :
Ecran disponible dans QALITEL doc - QALITEL conform - QALITEL audit et QALITEL progrès Exemple de paramétrage important les personnes placées au niveau de la racine sans scrutation des sous-niveaux |
Ecran disponible dans QALITEL courrier - QALITEL compar Exemple de paramétrage important les personnes de 3 OU distinctes et initialisation du champ "Service" de l'application (en plus des champs liées à la personne configurés dans le champ "Champs personne". |
Vous trouverez ci-dessous un détail des différents champs de saisie.
Logiciels QALITEL autre que QALITEL courrier |
Logiciel QALITEL courrier |
Pour le champ Service par défaut ou Société par défaut, en fonction du logiciel, vous devez nécessairement en affecter un afin pour que l'import puisse se dérouler correctement. Utilisez le bouton à droite du champ pour sélectionner la valeur de votre choix.
samaccountname
ou
userprincipalname
Cochez cette case pour activer l'authentification LDAP dans l'application. Cette option permet aux utilisateurs QALITEL appartenant à l'annuaire LDAP de se connecter avec leur Login / Mot de Passe LDAP. Pour les autres utilisateurs (non LDAP), ils devront s'identifier avec le Login / Mot de Passe défini dans l'application lors de la création de leur compte Utilisateur.
Cette option permet une connexion SSO. Le profil Windows de l'utilisateur est passé en paramètre au serveur Web. Après vérification de la validité du compte par QALITEL, l'utilisateur entre directement dans l'application sans avoir à saisir ses identifiants de connexion.
Important : Avant tout import "réel" (Bouton "Activer") utiliser ce bouton "Tester" pour simuler l'import et pouvoir ainsi affiner si besoin les différents filtres.
Ce bouton permet de tester les paramèters LDAP saisis. Vous devez, une fois les différents champs renseignés, cliquer sur le bouton "Appliquer" pour l'enregistrement de vos paramètres. Ensuite, vous pouvez utiliser le bouton "Tester" pour simuler votre import LDAP. Une page s'affichera, décrivant le processus de connexion et vous montrant les différents ajouts / modifications / suppressions qui seraient réalisés. Aucune action dans la base de données n'est réalisée. Vous pouvez comme cela corriger ou affiner vos paramètres LDAP pour correspondre à vos besoins.
Ce bouton permet de lancer l'import de l'annuaire LDAP selon les paramètres précédemment définis. Le processus d'import se décompose en 3 phases (qui s'enchaînent automatiquement) :
Afin de disposer d'une liste du personnel actualisée, il convient de lancer régulièrement l'import LDAP. Cela peut se faire en planifiant une tâche ou en lançant manuellement la page suivante :
http://nom_serveur/..../app/query/import_ldap.php
Attention : Si après avoir cliqué sur le bouton Activer vous obtenez une page avec une erreur interne du serveur Web, cela peut provenir du fait que l'extension PHP gérant le LDAP n'est pas chargée. Vous pouvez vérifier cela dans la page affichant le PHPINFO (http://...../app/installation/phpinfo.php) ou par le menu "? - Informations logiciel".
Cette option est réservée pour ceux qui souhaite activer la connexion LDAP alors que la liste du personnel a été saisie. A l'issue de l'import LDAP, une même personne se retrouvera 2 fois dans l'application, une fois en personne LDAP et une fois en personne non LDAP. Cette option vous permet alors de fusionner ces 2 personnes afin de ne conserver que la personne LDAP.
En cliquant sur le bouton Fusion, vous accédez alors à l'écran suivant :
Cette fenêtre vous propose en première colonne toutes les personnes LDAP qui ont été importées. Dans la barre d'outils de cette fenêtre, cliquez sur le bouton Choisir la personne à remplacer (Bouton bleu encadré de rouge). Vous accédez alors à votre liste du Personnel :
Placez vous la personne que vous souhaitez fusionner avec la personne LDAP. Double-cliquez sur la ligne ou faites un clic droit Choisir. Celle-ci viendra alors se mettre sur la même ligne que la personne LDAP mais dans la colonne Remplace.
Réalisez ainsi cette correspondance pour l'ensemble des personnes LDAP puis validez la fusion par un clic droit Valider la page (ou en cliqaunt sur le bouton de la barre d'outils encadré en rouge).
Toutes les données de la personne non LDAP seront alors associées à la personne LDAP.
ATTENTION : Si la personne LDAP possédait des données au sein de l'application QALITEL, elles seront alors définitivement perdues.
FUSION AUTOMATIQUE :
Ce bouton présent dans la liste du personnel vous permet d'effectuer une fusion automatique des personnes plutôt que la sélection manuelle décrite précédemment. Cette correspondance automatique s'effectue sur le nom complet (NOM - PRENOM) tel qu'il est affiché dans les copies d'écran précédentes. |
Vous accédez ensuite à une page vous simulant le résultat de cette fusion automatique. Si cela vous convient, vous disposez alors d'un lien "Valider la fusion" qui effectuera de manière effective la fusion.
Pour connaître en détail le processus d'authentification des applications QALITEL, vous pouvez consulter cette page.
http://www.petri.co.il/ldap_search_samples_for_windows_2003_and_exchange.htm
http://www.microsoft.com/france/technet/prodtechnol/exchange/2003/insider/ldapquery.mspx
De manière à scanner votre annuaire LDAP afin d'en connaître précisément les noms des champs (et leurs valeurs), vous pouvez utiliser un utilitaire externe.
Softerra LDAP Browser Application gratuite permettant de lister un annuaire LDAP http://www.ldapbrowser.com/download.htm
Vous trouverez sur la F.A.Q. dédiée au LDAP les réponses aux questions les plus fréquemment posées ainsi que les erreurs pouvant être rencontrées lors de la mise en place / paramétrage. Vous pouvez accéder directement à la F.A.Q. en cliquant sur ce lien.