Application Excel sur la gestion d’annuaire
Gestion d'annuaire et gestion des identités - LDAP
Article rédigé par : Sara Maghty
Avec n'importe quel environnement informatique, les organisations doivent être en mesure de gérer les informations de base du personnel et des ordinateurs afin que les utilisateurs puissent vérifier leurs identités, s’authentifier, trouver et interagir avec les ressources technologiques de l'organisation d'une manière autorisée. Un système d'annuaire fournit ces services et bien d’autres.
Au cœur d'un système d'annuaire se trouve une base de données qui contient les informations nécessaires pour gérer les comptes d'utilisateurs et d'ordinateurs associés à un domaine spécifique. Un domaine peut être un seul ordinateur autonome ou plusieurs ordinateurs associés partageant un annuaire commun. Cette dernière structure de domaine est stockée sur un ou plusieurs serveurs centraux dédiés à cet effet appelés « contrôleurs de domaine ».
Le fait d'avoir plusieurs domaines de production permet de personnaliser facilement les politiques pour répondre aux besoins de chaque organisation. C’est pourquoi, une bonne gestion d’annuaire et des identités s’avère nécessaire.
Qu'est-ce qu'un annuaire ?
Un annuaire permet de stocker, d’organiser et de présenter des données. Généralement, les annuaires (ou les répertoires) sont optimisés pour la recherche, de sorte qu'ils fonctionnent parfaitement pour les données qui changent rarement.
Souvent, les données enregistrées dans un service d'annuaire sont descriptives et sont utilisées pour déterminer les caractéristiques d'une entité. Les services d'annuaire permettent cependant de rendre accessibles des informations de nature descriptive. Un bon exemple d'objet qui pourrait être représenté dans un service d'annuaire est un « carnet d'adresses ». Chaque individu est représenté par une entrée, avec des valeurs décrivant ses coordonnées et d’autres informations.
Un serveur d'annuaire, quant à lui, est une implémentation qui prend en charge un référentiel centralisé pour stocker et gérer les informations des bases de données de l’annuaire. Le serveur d'annuaire permet d'accéder à un type de base de données qui stocke les informations dans une structure hiérarchique similaire à la façon dont le système de fichiers intégré est organisé. LDAP, Microsoft Active Directory et Apache Directory Server en sont quelques exemples.
Qu'est-ce qu'un annuaire LDAP ?
LDAP est l’acronyme de “Lightweight Directory Access Protocol”. Le terme a été initialement utilisé pour désigner le protocole d'accès réseau. Mais au fur et à mesure qu'il devenait plus populaire et plus mature, il faisait désormais plus ou moins référence à l'architecture d'annuaire elle-même, au lieu du protocole seul. LDAP est désormais standardisé. La norme comprend les protocoles réseau, la structure des répertoires et les services fournis par le serveur LDAP.
Le protocole léger d'accès aux annuaires (LDAP) sert à définir et à organiser l'accès à un service d'annuaire. Plus généralement, LDAP décrit la façon dont les données doivent être affichées aux utilisateurs et fixe les différents composants utilisés pour créer des entrées de données.
Considérez un annuaire téléphonique où vous pouvez trouver le numéro de téléphone en recherchant par nom. L'annuaire LDAP est similaire dans son concept mais n'est pas lié à un type d'enregistrement particulier, tel que les enregistrements téléphoniques. Les annuaires LDAP sont génériques et permettent de choisir de définir un annuaire pour les numéros de téléphone ainsi qu'un annuaire pour les utilisateurs (et leurs attributs) dans une organisation. Littéralement, vous pouvez définir n'importe quelle entité en tant que répertoire LDAP.
En quoi LDAP diffère-t-il d'une base de données ?
LDAP est un protocole utilisé pour communiquer avec une base de données d'annuaire pour extraite, ajouter ou modifier des informations. En fait, LDAP n'est qu'un référentiel de différentes entités, que vous pouvez également définir dans une base de données. De ce point de vue, LDAP n'est rien de plus qu'un type spécial de base de données qui organise les données en arborescences, comme un système de fichiers, au lieu d'une structure en table comme dans un SGBDR.
Un attribut phare qui distingue un LDAP des bases de données est que les LDAP sont plus optimisés en lecture que les bases de données. En revanche, les bases de données sont censées être très bonnes en lecture et en écriture. Des fonctionnalités telles que les verrous d'écriture de transaction ne sont pas nécessaires pour un LDAP. Une chose à garder à l'esprit est l'endroit où LDAP stocke les données. A titre d’information, il pourrait s'agir d'une base de données SGBDR. Notez qu'une partie de LDAP est le protocole et qu’il n'impose strictement aucune restriction sur l’ensemble de données. Les implémentations LDAP sont alors libres de choisir ce qui leur convient.
Composants de données LDAP de base
Pour de nombreux utilisateurs, LDAP peut sembler difficile à comprendre car il repose sur une terminologie spéciale, utilise des abréviations peu courantes et est souvent implémenté en tant que composant d'un système plus vaste de parties en interaction.
Dans cette section, nous présentons les principaux composants du protocole LDAP afin que vous ayez une bonne base pour travailler avec la technologie.
Nom unique
Dans un annuaire, il doit y avoir un nom unique pour qu'une entité puisse distinguer deux entrées. Par exemple, dans un annuaire téléphonique, si vous recherchez un nom, et si vous avez deux entrées pour un nom similaire, vous ne pouvez pas faire la distinction entre les deux sans informations supplémentaires. C’est pourquoi, dans les serveurs d'annuaire, il doit y avoir un mécanisme pour identifier de manière unique une entité. LDAP adopte cette stratégie en définissant un nom distinctif pour chaque entité.
Les attributs
Les données elles-mêmes dans un système LDAP sont principalement stockées dans des éléments appelés attributs. Les attributs sont essentiellement des paires clé-valeur. En fonction du système utilisé, les clés ont généralement des noms prédéfinis par les classes d'objets sélectionnées. De plus, les données d'un attribut doivent correspondre au type employé dans la définition initiale de l'attribut.
Gestion centralisée d’un annuaire
La gestion centralisée d’un annuaire implique l'utilisation d'un emplacement unique pour stocker et gérer les informations sur les utilisateurs et les ordinateurs. Vous pouvez utiliser un système de gestion centralisé pour accorder aux utilisateurs d'un annuaire central l'accès aux fonctionnalités et services du serveur d'intégration.
Par exemple, si un nouvel utilisateur souhaite accéder au serveur d'intégration ou aux réseaux commerciaux via les interfaces de votre organisation, il suffit d’utiliser la session Administrateur pour créer le compte utilisateur puis lui donner accès aux zones nécessaires. Si de tels utilisateurs sont déjà définis dans un annuaire externe tel que LDAP, vous pouvez le configurer pour qu'il fonctionne avec l'annuaire externe. Lorsqu'elles sont configurées de cette manière, les demandes d'authentification et d'autorisation sont toujours effectuées par le serveur d'intégration. Cependant, le serveur crée la connexion au répertoire externe à l'aide des paramètres de répertoire définis par la base de données. Voici ce qu’un système de gestion d’annuaire efficace permet de faire :
Gérer des utilisateurs
Grace à une interface intuitive, la gestion des comptes des utilisateurs et des appareils est simplifiée. Cela permet d’améliorer la productivité et de gagner du temps et de l’effort, même pour les entreprises avec les bases de données les plus complexes.
Améliorer l'efficacité
Un bon système de gestion d’annuaire intègre des fonctionnalités pour configurer efficacement les autorisations d’accès, les espaces de stockage, les limites de vitesse et d’autres privilèges de manipulation d’outils et de données.
S'intégrer dans les environnements existants
Avec un système de gestion d’annuaire centralisé, vous pouvez adapter vos déploiements avec une variété d'appareils et d'applications. Il suffit de définir les autorisations d'accès aux périphériques existants pour les appliquer à chaque nouvelle entrée.
Centraliser la gestion des utilisateurs
Bénéficiez d'un système de gestion des utilisateurs flexible pour gérer facilement les accès et les profils. Consolidez la gestion des comptes et des appareils dans une seule application. Contrôlez chaque compte individuellement, affectez les privilèges par compte ou par groupe et envoyez les mises à jour critiques à de nombreux postes de travail.
Minimiser les dépenses
Éliminez le matériel coûteux, les systèmes d'exploitation traditionnels et les frais de main d’œuvre associés à votre département informatique en gérant vous-même votre serveur d'annuaire ou en déléguant le rôle à une seule personne.
Créer et gérer des utilisateurs d'annuaire cloud
Les systèmes de gestion d’annuaire cloud fournissent un service utilisateur intégré, que vous pouvez utiliser pour gérer les comptes de votre organisation. L’annuaire cloud fournit des services performants pour créer, modifier et supprimer des utilisateurs, ainsi que récupérer des informations sur les utilisateurs actuels. Il offre également un ensemble de fonctions génériques qui s'appliquent à tous les utilisateurs, à la fois les utilisateurs de l’annuaire cloud et les utilisateurs d'autres sources, telles qu'Active Directory ou la connexion sociale. Par exemple, pour récupérer la photo d'un utilisateur, réinitialiser le mot de passe d'un compte, définir la question de sécurité ou envoyer une invitation à un utilisateur, entre autres, maintes fonctions utilisateur génériques sont mises à votre disposition.
Avec un système de gestion d’annuaire cloud, bénéficiez des fonctionnalités suivantes :
Moteur de politique central et sécurisé
Renforcez la sécurité en définissant des politiques d'accès utilisateur cohérentes avec un moteur de politique central. Créez des stratégies basées sur des contextes utilisateur uniques tels que l'emplacement de l'utilisateur, l'adresse IP, l'appareil, l'appartenance à un groupe, etc. Appliquez ensuite ces stratégies avec n'importe quelle combinaison de privilèges.
Gestion simplifiée des mots de passe
Personnalisez les stratégies de mot de passe basées sur des adresses e-mails, appliquez les stratégies de mot de passe et activez les réinitialisations de mot de passe en libre-service pour alléger la charge de votre service d'assistance informatique.
Espace illimité pour chaque utilisateur
Avec un répertoire cloud, vous pouvez stocker un nombre illimité de comptes, y compris les comptes d’utilisateurs variables tels que des sous-traitants, des stagiaires ou des travailleurs temporaires. Stockez un nombre illimité d'attributs personnalisés ainsi que des informations d'identification et des attributions d'applications. Vous pouvez même stocker des informations personnelles pour chaque appareil.
Surveillance, création de rapports et exportation
Obtenez un journal en temps réel pour dépanner et résoudre immédiatement les problèmes de sécurité. Utilisez des rapports prédéfinis pour voir comment les utilisateurs finaux utilisent les applications et les services de votre organisation. Enfin, téléchargez ou exportez facilement vos données au format CSV, synchronisez-les avec les divers appareils ou accédez-y via l'API.