Fonctionnalités d'intégration d'Active Directory
L'intégration de Marketing Platform à Windows Active Directory fournit les fonctions décrites dans cette section.
Authentification avec intégration à Active Directory
Les applications IBM® EMM recherchent les informations d'autorisation utilisateur dans Marketing Platform. Lorsque l'intégration au serveur Active Directory est implémentée et que la connexion intégrée Windows est activée, les utilisateurs sont authentifiés dans toutes les applications IBM® EMM lorsqu'ils se connectent au réseau de l'entreprise et aucun mot de passe n'est donc nécessaire pour se connecter aux applications IBM® EMM. L'authentification des utilisateurs repose sur leur données de connexion Windows en ignorant les écrans de connexion des applications.
Si la connexion intégrée Windows n'est pas activée, les utilisateurs doivent toujours se connecter dans l'écran de connexion IBM® EMM en utilisant leurs données d'identification Windows.
Seuls trois caractères spéciaux sont autorisés dans les noms de connexion : le point (.), le souligné ( _ ) et le trait d'union (-). S'il figure d'autres caractères spéciaux (notamment des espaces) dans le nom de connexion d'un utilisateur que vous envisagez d'importer dans Marketing Platform depuis un serveur Active Directory, vous devez modifier ce nom de connexion afin que l'utilisateur ne rencontre pas d'incident lors de sa déconnexion ou lorsqu'il exécutera des tâches d'administration (s'il a les droits requis pour cela).
Gestion des utilisateurs internes et externes
Lorsque la connexion intégrée Windows est activée, tous les utilisateurs sont créés et gérés dans le serveur Active Directory (Vous ne pouvez pas créer des utilisateurs dans Marketing Platform où les utilisateurs s'appellent des utilisateurs internes dans ce guide). Si vous voulez créer des utilisateurs internes, n'activez pas la connexion intégrée Windows.
Si vous préférez ne pas activer la connexion intégrée Windows, suivez les instructions d'intégration à un serveur LDAP. Pour plus de détails, voir Liste de contrôle du processus de configuration (intégration à LDAP).
Si l'intégration est configurée, vous ne pouvez ni ajouter, ni modifier ou supprimer les comptes utilisateur importés dans Marketing Platform. Vous devez effectuer ces tâches de gestion au niveau de LDAP et les modifications seront importées au moment de la synchronisation. Si vous modifiez des comptes utilisateur dans Marketing Platform, les utilisateurs risquent de connaître des incidents au moment de l'authentification.
Les comptes utilisateur que vous supprimez au niveau de LDAP ne sont pas automatiquement supprimés dans Marketing Platform. Vous devez désactiver manuellement ces comptes dans Marketing Platform. Il est préférable de désactiver ces comptes utilisateur plutôt que de les supprimer car les utilisateurs possèdent des droits de propriété sur les dossiers dans Campaign et, si vous supprimez un compte utilisateur qui possède un dossier, les objets contenus dans ce dossier ne seront plus disponibles.
Importation d'utilisateurs sur la base de groupes, d'attributs ou de noms distinctifs de base
Si vous importez des comptes utilisateur à partir du serveur LDAP dans Marketing Platform, vous pouvez sélectionner ces comptes utilisateur en effectuant trois types de filtrages possibles.
Vous devez choisir entre l'importation basée sur des groupes, sur des attributs ou sur des noms distinctifs. Ces méthodes ne peuvent pas être prises en charge simultanément.
Importation basée sur le groupe
Marketing Platform importe les groupes et les utilisateurs de leur base de données de serveur d'annuaire via une tâche de synchronisation périodique qui extrait automatiquement les informations à partir du serveur d'annuaire. Si Marketing Platform importe les utilisateurs et les groupes à partir de la base de données du serveur, les appartenances de groupe sont conservées.
Vous pouvez accorder des privilèges IBM® EMM en mappant un groupe Active Directory à un groupe IBM® EMM. Ce mappage permet aux nouveaux utilisateurs ajoutés au groupe Active Directory mappé de disposer des privilèges définis pour le groupe d'IBM® EMM.
Un sous-groupe existant dans Marketing Platform n'hérite pas des mappages Active Directory ou des appartenances d'utilisateur de ses parents.
La configuration de l'importation par groupe est détaillée dans la suite de ce chapitre.
Importation basée sur l'attribut
Si vous ne voulez pas créer sur votre serveur Active Directory de groupes qui soient spécifiques aux produits IBM® EMM, vous pouvez contrôler quels utilisateurs seront importés en spécifiant des attributs. Pour ce faire, vous devez procéder comme suit pendant la configuration.
1.
Déterminez la chaîne utilisée sur votre serveur Active Directory pour les attributs à partir desquels vous voulez effectuer le filtrage.
2.
Affectez à la propriété Platform | Security | LDAP synchronization | LDAP user reference attribute name la valeur DN.
Cela signale à Marketing Platform que la synchronisation n'est pas basée sur un groupe avec des références de membres, mais sur une unité organisationnelle ou une organisation (Org Unit ou Org).
3.
Lorsque vous configurez la propriété Mappe de référence LDAP, définissez la portion Filter de la valeur avec l'attribut sur lequel vous voulez effectuer la recherche. Pour le filtre, utilisez la chaîne que vous avez déterminée au point 1.
Lorsque vous utilisez une synchronisation basée sur des attributs, la synchronisation périodique est toujours une synchronisation complète et non une synchronisation partielle, comme c'est le cas pour la synchronisation basée sur des groupes. Pour la synchronisation basée sur des attributs, vous devez donner à la propriété Intervalle de synchronisation LDAP une valeur élevée ou une valeur 0 si vous voulez désactiver la synchronisation automatique et vous contenter de la synchronisation complète manuelle lorsque des utilisateurs sont ajoutés à l'annuaire.
Suivez les instructions fournies dans la suite de ce chapitre pour configurer l'intégration et reportez-vous aux instructions ci-dessus quand vous devrez définir les propriétés de configuration.
Importation basée sur le nom distinctif
Si les utilisateurs sont très nombreux, vous pouvez décider de les importer sur la base des noms distinctifs de base. Pour ce faire, vous devez procéder comme suit pendant la configuration de LDAP.
1.
Déterminez la chaîne utilisée sur votre serveur Active Directory pour le nom distinctif de base.
2.
Affectez à la propriétéPlatform | Security | LDAP synchronization | LDAP BaseDN periodic search enabled la valeur true.
Quand cette propriété a la valeur True, Marketing Platform exécute la recherche de synchronisation LDAP avec le nom distinctif défini dans la propriété Nom distinctif de base, dans la catégorie IBM EMM | Platform | Sécurité | LDAP.
3.
Affectez à la propriété Platform | Security | LDAP synchronization | LDAP user reference attribute name la valeur DN.
Cela signale à Marketing Platform que la synchronisation n'est pas basée sur un groupe avec des références de membres, mais sur une unité organisationnelle ou une organisation (Org Unit ou Org).
4.
Lorsque vous configurez la propriété Platform | Sécurité | Détail du mode de connexion | Synchronisation LDAP | Référence LDAP à la mappe du groupe IBM Marketing Platform | Mappe de référence LDAP, choisissez l'attribut à utiliser comme critère de recherche pour définir la valeur du filtre. Pour le filtre, utilisez la chaîne que vous avez déterminée au point 1.
Suivez les instructions fournies dans la suite de ce chapitre pour configurer l'intégration et reportez-vous aux instructions ci-dessus quand vous devrez définir les propriétés de configuration.
A propos d'Active Directory et des partitions
Dans des environnements à plusieurs partitions, l'appartenance d'un utilisateur à une partition est déterminée par le groupe dont fait partie l'utilisateur lorsque ce groupe est affecté à une partition. Un utilisateur ne peut faire partie que d'une seule partition à la fois. Si l'utilisateur fait partie de plusieurs groupes Active Directory mappés à des groupes d'IBM® EMM eux-mêmes affectés à différentes partitions, le système doit choisir une seule partition pour cet utilisateur.
Essayez d'éviter cette situation. Si toutefois elle venait à se produire, la partition du groupe d'IBM® EMM à laquelle appartient l'utilisateur est celle qui a été la plus récemment mappée à un groupe Active Directory. Pour déterminer le dernier groupe Active Directory qui a été mappé, consultez les mappages de groupe LDAP affichés dans la zone Configuration. Ils s'affichent dans l'ordre chronologique, le plus récent étant le dernier élément de la liste.
Synchronisation
Si IBM® EMM est configuré pour s'intégrer à un serveur Windows Active Directory, les utilisateurs et les groupes sont automatiquement synchronisés à des intervalles prédéfinis. Pendant ces synchronisations automatiques, seuls les utilisateurs et les groupes (spécifiés par la configuration) créés ou modifiés depuis la dernière synchronisation sont importés dans IBM® EMM. Vous pouvez forcer la synchronisation de tous les utilisateurs et de tous les groupes. Pour ce faire, utilisez la fonction Synchroniser dans la zone Utilisateurs d'IBM® EMM.
Vous pouvez également forcer une synchronisation complète, comme indiqué dans Synchronisation forcée des utilisateurs externes.
Caractères spéciaux dans les noms de connexion
Les utilisateurs LDAP dont les noms de connexion contiennent des caractères spéciaux peuvent connaître des incidents lors de l'authentification. Pour connaître les caractères spéciaux autorisés, voir Référence des fenêtres Utilisateurs. Pour les comptes LDAP que vous envisagez d'importer dans IBM® EMM, changez les noms de connexion qui contiennent des caractères spéciaux non autorisés.
Copyright IBM Corporation 2014. All Rights Reserved.