Synchroniser avec Active Directory ou LDAP
Cet article vous aidera à commencer à utiliser Directory Connector pour synchroniser les utilisateurs et les groupes de votre service LDAP ou Active Directory vers votre organisation Bitwarden. Bitwarden fournit des connecteurs intégrés pour les serveurs d'annuaires LDAP les plus populaires, y compris :
Microsoft Active Directory
Serveur de répertoire Apache (ApacheDS)
Apple Open Directory
Serveur de répertoire Fedora
Novell eDirectory
OpenDS
OpenLDAP
Sun Directory Server Enterprise Edition (DSEE)
Tout serveur d'annuaire LDAP générique
Suivez les étapes suivantes pour configurer le connecteur de répertoire pour utiliser votre LDAP ou Active Directory :
Ouvrez l'application de bureau Directory Connector.
Naviguez vers l'onglet Paramètres.
Dans le menu déroulant Saisir, sélectionnez Active Directory / LDAP.
Les champs disponibles dans cette section changeront en fonction du type que vous avez choisi de saisir.
Configurez les options suivantes :
Option | Description | Exemples |
|---|---|---|
Nom d'hôte du serveur | Nom d'hôte de votre serveur d'annuaire. |
|
Port du serveur | Port sur lequel votre serveur d'annuaire est à l'écoute. |
|
Chemin Racine | Chemin racine auquel le connecteur de répertoire devrait commencer toutes les requêtes. |
|
Ce serveur utilise Active Directory | Cochez cette case si le serveur est un serveur Active Directory. | |
Ce serveur recherche des pages de résultats | Cochez cette case si le serveur pagine les résultats de recherche (uniquement LDAP). | |
Ce serveur utilise une connexion cryptée | Cocher cette case vous invitera à sélectionner l'une des options suivantes : Utiliser SSL (LDAPS) Si votre serveur LDAPS utilise un certificat non approuvé, vous pouvez configurer les options de certificat sur cet écran. Utilisez TSL (STARTTLS) Si votre serveur LDAP utilise un certificat auto-signé pour STARTTLS, vous pouvez configurer les options de certification sur cet écran. | |
Nom d'utilisateur | Le nom distingué d'un utilisateur administratif que l'application utilisera lors de la connexion au serveur d'annuaire. Pour Active Directory, si la synchronisation de l'état des utilisateurs supprimés de l'annuaire est souhaitée, l'utilisateur doit être un membre du groupe administrateur intégré. | |
Mot de passe | Le mot de passe de l'utilisateur spécifié ci-dessus. Le mot de passe est stocké en toute sécurité dans le gestionnaire de références d'identification natif du système d'exploitation. |
pointe
When you are finished configuring, navigate to the More tab and select the Clear Sync Cache button to prevent potential conflicts with prior sync operations. For more information, see Clear Sync Cache.
Suivez les étapes suivantes pour configurer les paramètres utilisés lors de la synchronisation à l'aide de Directory Connector:
note
If you are using Active Directory, many of these settings are predetermined for you and are therefore are not shown.
Ouvrez l'application de bureau Directory Connector.
Naviguez vers l'onglet Paramètres.
Dans la section Synchroniser, configurez les options suivantes comme vous le souhaitez :
Option | Description |
|---|---|
Intervalle | Temps entre la vérification automatique de synchronisation (en minutes). |
Supprimer les utilisateurs désactivés lors de la synchronisation | Cochez cette case pour supprimer les utilisateurs de l'organisation Bitwarden qui ont été désactivés dans votre organisation. |
Écraser les utilisateurs existants de l'organisation en fonction des paramètres de synchronisation actuels | Cochez cette case pour écraser complètement l'utilisateur défini à chaque synchronisation, y compris la suppression des utilisateurs de votre organisation lorsqu'ils sont absents de l'ensemble des utilisateurs du répertoire. Exécutez toujours une synchronisation de test avant de synchroniser après avoir activé cette option. |
Plus de 2000 utilisateurs ou groupes sont censés se synchroniser. | Cochez cette case si vous prévoyez de synchroniser 2000+ utilisateurs ou groupes. Si vous ne cochez pas cette case, Directory Connector limitera une synchronisation à 2000 utilisateurs ou groupes. |
Attribut de membre | Nom de l'attribut utilisé par le répertoire pour définir l'adhésion d'un groupe (par exemple, |
Attribut de Donnée de Création | Nom de l'attribut utilisé par le répertoire pour spécifier quand une entrée a été créée (par exemple, |
Date de Révision Attribut | Nom de l'attribut utilisé par le répertoire pour spécifier quand une entrée a été modifiée pour la dernière fois (par exemple, |
Si un utilisateur n'a pas d'adresse courriel, combinez un préfixe de nom d'utilisateur avec une valeur de suffixe pour former un courriel. | Cochez cette case pour former des options de courriel valides pour les utilisateurs qui n'ont pas d'adresse de courriel. Les utilisateurs sans adresses de courriel réelles ou formées seront ignorés par le Connecteur de Répertoire. |
Attribut de Préfixe de Courriel | Attribut utilisé pour créer un préfixe pour les adresses de courriel formées. |
Suffixe de courriel | Une chaîne ( |
Synchroniser les utilisateurs | Cochez cette case pour synchroniser les utilisateurs à votre organisation. |
Filtre Utilisateur | Voir Spécifier les filtres de synchronisation. |
Chemin d'utilisateur | Attribut utilisé avec le Chemin Racine spécifié pour rechercher des utilisateurs (par exemple, |
Classe d'Objet Utilisateur | Nom de la classe utilisée pour l'objet utilisateur LDAP (par exemple, |
Attribut de courriel de l'utilisateur | Attribut à utiliser pour charger l'adresse de courriel enregistrée d'un utilisateur. |
Synchroniser les groupes | Cochez cette case pour synchroniser les groupes à votre organisation. |
Filtre de groupe | Voir Spécifier les filtres de synchronisation. |
Chemin de groupe | Attribut utilisé avec le Chemin Racine spécifié pour rechercher des groupes (par exemple, |
Classe d'Objet Groupe | Nom de la classe utilisée pour l'objet de groupe LDAP (par exemple, |
Attribut de Nom de Groupe | Nom de l'attribut utilisé par le répertoire pour définir le nom d'un groupe (par exemple, |
Les filtres d'utilisateur et de groupe peuvent être sous la forme de n'importe quel filtre de recherche compatible avec LDAP.
Active Directory offre des options avancées et des limitations pour écrire des filtres de recherche, par rapport aux directives LDAP standard. Apprenez-en plus sur comment écrire des filtres de recherche Active Directory ici.
note
Nested groups can sync multiple group objects with a single referent in the Directory Connector. Do this by creating a group whose members are other groups.
Échantillons
Pour filtrer une synchronisation pour toutes les entrées qui ont objectClass=user et cn (nom commun) qui contient Marketing :
Bash(&(objectClass=user)(cn=*Marketing*))
(LDAP-seulement) Pour filtrer une synchronisation pour toutes les entrées avec un composant ou (unité d'organisation) de leur dn (nom distinctif) qui est soit Miami soit Orlando :
Bash(|(ou:dn:=Miami)(ou:dn:=Orlando))
(LDAP-seulement) Pour exclure les entités qui correspondent à une expression, par exemple toutes les entrées ou=Chicago sauf celles qui correspondent également à un attribut ou=Wrigleyville :
Bash(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville)))
(Publicité uniquement) Pour filtrer une synchronisation pour les utilisateurs dans le groupe Heroes :
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=Heroes,ou=users,dc=company,dc=com))
(Publicité uniquement) Pour filtrer une synchronisation pour les utilisateurs qui sont membres du groupe Héros, soit par annuaire, soit par imbrication:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=Heroes,ou=users,dc=company,dc=com))
pointe
Before testing or executing a sync, check that Directory Connector is connected to the right cloud server (e.g. US or EU) or self-hosted server. Learn how to do so with the desktop app or CLI.
Pour vérifier si le connecteur de répertoire se connectera avec succès à votre répertoire et renverra les utilisateurs et les groupes souhaités, naviguez vers l'onglet Tableau de bord et sélectionnez le bouton Tester maintenant. Si réussi, les utilisateurs et les groupes seront affichés dans la fenêtre du Connecteur de Répertoire selon les options de synchronisation et les filtres spécifiés :
Une fois que les options de synchronisation et les filtres sont configurés et testés, vous pouvez commencer à synchroniser. Suivez les étapes suivantes pour commencer la synchronisation automatique avec Directory Connector :
Ouvrez l'application de bureau Directory Connector.
Naviguez vers l'onglet Tableau de bord.
Dans la section Synchroniser, sélectionnez le bouton Démarrer la synchronisation.
Vous pouvez également sélectionner le bouton Synchroniser maintenant pour exécuter une synchronisation manuelle unique.
Le connecteur de répertoire commencera à interroger votre répertoire en fonction des options de synchronisation et des filtres configurés.
Si vous quittez ou fermez l'application, la synchronisation automatique s'arrêtera. Pour garder Directory Connector en cours d'exécution en arrière-plan, minimisez l'application ou cachez-la dans la barre des tâches.
note
Si vous êtes sur le plan Équipes Starter, vous êtes limité à 10 membres. Le connecteur de répertoire affichera une erreur et arrêtera de synchroniser si vous essayez de synchroniser plus de 10 membres.
Limite de valeur atteinte lors de la synchronisation à partir d'une instance Active Directory :
Le MaxValRange de l'Active Directory a un paramètre par défaut de 1500. Si un attribut, tel que membres sur un Groupe a plus de 1500 valeurs, Active Directory renverra à la fois un attribut membres vide, ainsi qu'une liste tronquée de membres sur des attributs séparés, jusqu'à la valeur de MaxValRange.
Vous pouvez ajuster la politique de
MaxValRangeà une valeur supérieure au nombre de membres de votre plus grand groupe dans Active Directory. Consultez la documentation de Microsoft pour définir les politiques de sécurité LDAP d'Active Directory en utilisant l'utilitaire ntdsutll.exe.