Configurer ClearID LDAP Synchronization Agent

2023-07-26Dernière mise à jour

Avant de synchroniser un annuaire Active Directory (AD) avec Genetec ClearIDMC, vous devez configurer Genetec ClearIDMC LDAP Synchronization Agent.

Avant de commencer

  • Téléchargez une clé d'authentification de service.
  • Installez ClearID LDAP Synchronization Agent sur un serveur dédié. Il ne doit pas forcément s'agir d’un serveur Security Center.
    REMARQUE : En général, ClearID LDAP Synchronization Agent n’est pas disponible en téléchargement public. Le lien de téléchargement de l’outil de synchronisation est généralement fourni par votre contact de déploiement en cas de besoin.
  • Référence : CD-IDSYNC-SERVICE-1Y est requis pour l’importation LDAP.

À savoir

Cette procédure est menée par service informatique ou le personnel de sécurité qui gère l'annuaire Active Directory (AD).
La synchronisation des attributs LDAP avec les attributs d'identité ClearID ne fonctionne qu’en mode ENTRANT.
ATTENTION : Toute modification apportée aux identités dans ClearID peut être remplacée lors de la synchronisation Active Directory suivante.

Procédure

  1. Ouvrez ClearID LDAP Synchronization Agent (Genetec.ClearID.LdapSyncAgentConfiguration.exe) et configurez les réglages.
    Agent de synchronisation LDAP de ClearID affichant les réglages de configuration.
  2. Dans la section Réglages de l'annuaire d'utilisateurs, entrez les informations nécessaires :
    La section Réglages d'annuaire d'utilisateurs sert à connecter l'annuaire LDAP qui contient les attributs utilisateur.
    Chemin de recherche LDAP
    Saisissez une unité organisationnelle. Par exemple, OU=Genetec. Ce chemin de recherche spécifie l'emplacement, le dossier ou le groupe contenant les attributs utilisateur Active Directory.
    REMARQUE : La valeur distinguishedName du groupe AD est obligatoire pour le champ Chemin de recherche LDAP.
    Intervalle d'actualisation (min.)
    Saisissez un intervalle d'actualisation en minutes. Par exemple, 60 pour synchroniser les attributs toutes les heures.
    REMARQUE : Selon la taille de votre organisation et le nombre d'attributs, des synchronisations toutes les 12 h ou 24 h (720 ou 1440 min) peuvent être pertinentes.
  3. Dans la section Réglages de connexion, configurez les réglages de connexion à l’hôte :
    La section Réglages de connexion sert à se connecter au serveur qui stocke les réglages de l’annuaire d'utilisateurs.
    Hôte
    Saisissez l'adresse de votre répertoire Active Directory. Par exemple, Genetec.com.
    Port
    Saisissez le port par défaut de votre répertoire Active Directory. Par exemple, 389.
    Type d'authentification LDAP
    Sélectionnez un type d'authentification depuis les éléments suivants :
    Identifiants Windows par défaut
    Pour une application côté client, cette option utilise les identifiants Windows (nom d'utilisateur et mot de passe) de l'utilisateur exécutant l'application.
    Association simple
    Avec l'option Association simple, les identifiants (nom d'utilisateur et mot de passe) utilisés pour associer le client LDAP au serveur LDAP sont transmis via le réseau sans chiffrement.
    ATTENTION : Le type d'authentification Association simple n'est pas recommandé pour les serveurs de production LDAP.
    Association simple via SSL
    BONNE PRATIQUE : Avec l'option Association simple via SSL, les identifiants (nom d'utilisateur et mot de passe) utilisés pour associer le client LDAP au serveur LDAP sont transmis via le réseau avec chiffrement.
    Nom d'utilisateur
    Si l'option Association simple ou Association simple via SSL a été sélectionnée, saisissez le nom d'utilisateur fourni par votre organisation.
    Mot de passe
    Si l'option Association simple ou Association simple via SSL a été sélectionnée, cliquez sur Définir le mot de passe et saisissez un mot de passe, puis cliquez sur OK.
    REMARQUE : Utilisez les bonnes pratiques du secteur pour créer des mots de passe fiables. Tous les mots de passe stockés dans le fichier de configuration sont chiffrés.
  4. (Facultatif) Dans la section Réglages réseau, configurez les réglages du proxy web :
    La section Réglages réseau sert à configurer les réglages de proxy.
    Utiliser un proxy Web
    Cochez la case à cocher Utiliser un proxy web pour spécifier qu'un proxy web est requis pour accéder à Internet.

    Cette option est généralement utilisée par les clients situés derrière un pare-feu ou lorsque l'accès réseau à Internet est restreint.

    Un serveur proxy est un serveur qui vérifie et transfère les demandes client entrantes à d'autres serveurs pour une communication ultérieure. Par exemple, lorsqu'un client n'est pas en mesure de répondre aux exigences d'authentification de sécurité du serveur mais doit avoir accès à certains services.

    URL proxy
    Si la case Utiliser un proxy Web est cochée, saisissez l'URL du proxy fournie par votre organisation.

    Par exemple, https://proxy:8080/outgoing. Ces informations sont généralement fournies par l'équipe d'administration réseau.

    Authentification proxy
    L'authentification proxy est le processus de validation des identifiants utilisateur permettant d'accéder à un serveur proxy. Cette authentification inclut généralement un nom d'utilisateur et peut également comprendre un mot de passe.

    Sélectionnez Identifiants par défaut ou Identifiants spécifiques :

    Identifiants par défaut
    Spécifie qu'aucune authentification proxy n'est requise.
    Identifiants spécifiques
    Spécifie que l'authentification proxy est requise.
    Nom d'utilisateur proxy
    Si l'authentification proxy est définie sur Identifiants spécifiques, entrez le nom d'utilisateur proxy fourni par votre organisation.
    Mot de passe proxy
    Cliquez sur Définir le mot de passe et saisissez un mot de passe, puis cliquez sur OK.
    REMARQUE : Utilisez les bonnes pratiques du secteur pour créer des mots de passe fiables.
    Domaine proxy
    Saisissez le nom de domaine fourni par votre organisation.
    État de la connexion proxy
    Les icônes d'état indiquent une connexion proxy valide () ou non valide (). L'état s'affiche uniquement après avoir cliqué sur le bouton Vérifier.
    vérification
    Cliquez sur Vérifier pour tester les réglages de connexion de votre serveur de proxy.
  5. Dans la section Réglages ClearID, configurez les réglages :
    La section Réglages ClearID sert à se connecter aux services ClearID et à synchroniser les données.
    Clé d'authentification du service ClearID
    Cliquez sur plus () pour sélectionner la clé d'authentification pour votre intégration API. Cette clé sert à authentifier les communications de l’agent de synchronisation lorsqu’il envoie des requêtes à votre compte ClearID.
    • Indique que l'agent de synchronisation n’est pas connecté à ClearID et qu'une clé privée est nécessaire.
    • Indique que l'agent de synchronisation est connecté à ClearID et que la clé privée a été fournie.
    Les réglages URL API suivants sont automatiquement renseignés lorsque la clé d'authentification du service ClearID est sélectionnée :
    URL de l'API Jeton (lecture seule)
    Le service Jeton fournit un jeton d'authentification pour contacter l'identité et le service principal.
    URL de l'API Identité (lecture seule)
    Le service Identity sert à accéder à toutes les informations d’identité ClearID.
    URL de l'API Principal (lecture seule)
    Le service Principal sert à accorder l'accès au portail web aux utilisateurs.
    Pays par défaut (ISO 3166, 3 lettres)
    Saisissez votre code pays à trois lettres. Par exemple, USA ou CAN.
    REMARQUE : Les codes pays à trois lettres sont basés sur les codes Alpha-3 de la norme de codes pays ISO 3166-1.
    Le service Principal a accès au portail
    Cochez la case pour autoriser les utilisateurs synchronisés à accéder au portail web ClearID.
  6. (Facultatif) Dans la section Options avancées, ne remplissez pas ces champs.
    La section Options avancées sert à personnaliser le comportement de l'agent de synchronisation.
    Créer des identités inactives
    Cochez cette case pour créer des identités ClearID inactives pour les utilisateurs inactifs détectés dans Active Directory pendant la synchronisation.
    BONNE PRATIQUE : Cette case est généralement désactivée pour éviter de créer des utilisateurs inactifs.
    Filtres de demandes utilisateur
    (Facultatif) Entrez les filtres de demande utilisateur spécifiés par votre contact de déploiement.
    IMPORTANT : Utilisez uniquement cette option sur demande de votre contact de déploiement.
  7. Cliquez sur Enregistrer.
    Agent de synchronisation LDAP de ClearID affichant les réglages de configuration.
    Le fichier de configuration de l'agent de synchronisation est enregistré dans C:\ProgramData\Genetec ClearID LDAP Synchronizer\config.json
    CONSEIL : Vous pouvez supprimer ce fichier si vous souhaitez supprimer tous vos paramètres et configurer à nouveau l'agent de synchronisation.
  8. Ouvrez le Gestionnaire de tâches Windows et faites un clic droit sur le service Windows Genetec ClearID LDAP Synchronizer (Genetec.ClearID.LdapSyncAgent.Service.exe).
    Onglet Services dans le Gestionnaire de tâches Windows dans lequel Genetec ClearID Synchronizer Service est sélectionné.
    1. Si vous configurez l'agent pour la première fois, cliquez sur Démarrer pour lancer le service afin d'activer les réglages de configuration.
    2. Si l'agent est déjà en cours d’exécution, cliquez sur Redémarrer pour appliquer les modifications apportées à votre configuration.
Votre agent de synchronisation ClearID est à présent configuré pour synchroniser automatiquement les attributs LDAP Active Directory avec les attributs d'identité ClearID.

Lorsque vous avez terminé

  1. Consultez le portail Web ClearID pour vérifier que les nouvelles identités pour les utilisateurs Active Directory ont bien été synchronisées et qu’elles contiennent les bons attributs.
  2. (Facultatif) Vous pouvez cliquer sur Ouvrir le dossier de journalisation pour consulter les fichiers journaux ErrorLog.txt et Eventlog.txt.
    REMARQUE : Les informations dans le dossier Service Log sont généralement utilisées lorsque vous appelez l’assistance ou lorsque votre contact vous demande d’envoyer les journaux à Genetec Inc.