Fonctionnalités d'intégration LDAP

Les applications IBM® EMM recherchent les informations d'autorisation utilisateur dans Marketing Platform. Lorsque l'intégration à LDAP est implémentée, les utilisateurs saisissent leur nom d'utilisateur et mot de passe LDAP valides afin de s'authentifier auprès des applications d'IBM® EMM.

Seuls trois caractères spéciaux sont autorisés dans les noms de connexion : le point (.), le souligné ( _ ) et le trait d'union (-). S'il figure d'autres caractères spéciaux (notamment des espaces) dans le nom de connexion d'un utilisateur que vous envisagez d'importer dans Marketing Platform depuis un serveur LDAP, vous devez modifier ce nom de connexion afin que l'utilisateur ne rencontre pas d'incident lors de sa déconnexion ou lorsqu'il exécutera des tâches d'administration (s'il a les droits requis pour cela).

Si l'intégration est configurée, vous ne pouvez ni ajouter, ni modifier ou supprimer les comptes utilisateur importés dans Marketing Platform. Vous devez effectuer ces tâches de gestion au niveau de LDAP et les modifications seront importées au moment de la synchronisation. Si vous modifiez des comptes utilisateur dans Marketing Platform, les utilisateurs risquent de connaître des incidents au moment de l'authentification.

Les comptes utilisateur que vous supprimez au niveau de LDAP ne sont pas automatiquement supprimés dans Marketing Platform. Vous devez désactiver manuellement ces comptes dans Marketing Platform. Il est préférable de désactiver ces comptes utilisateur plutôt que de les supprimer car les utilisateurs possèdent des droits de propriété sur les dossiers dans Campaign et, si vous supprimez un compte utilisateur qui possède un dossier, les objets contenus dans ce dossier ne seront plus disponibles.

Si vous importez des comptes utilisateur à partir du serveur LDAP dans Marketing Platform, vous pouvez sélectionner ces comptes utilisateur en effectuant trois types de filtrages possibles.

Vous devez choisir entre l'importation basée sur des groupes, sur des attributs ou sur des noms distinctifs. Ces méthodes ne peuvent pas être prises en charge simultanément.

Importation basée sur le groupe

Marketing Platform importe les groupes et les utilisateurs de leur base de données de serveur d'annuaire via une tâche de synchronisation périodique qui extrait automatiquement les informations à partir du serveur d'annuaire. Si Marketing Platform importe les utilisateurs et les groupes à partir de la base de données du serveur, les appartenances de groupe sont conservées.

Vous pouvez accorder des privilèges IBM® EMM en mappant un groupe LDAP à un groupe d'IBM® EMM. Ce mappage permet aux nouveaux utilisateurs ajoutés au groupe LDAP mappé de disposer des privilèges définis pour le groupe d'IBM® EMM.

Un sous-groupe existant dans Marketing Platform n'hérite pas des mappages LDAP ou des appartenances d'utilisateur de ses parents.

La configuration de l'importation par groupe est détaillée dans la suite de ce chapitre.

Importation basée sur l'attribut

Si vous ne voulez pas créer sur votre serveur LDAP de groupes qui soient spécifiques aux produits IBM® EMM, vous pouvez contrôler quels utilisateurs sont importés en spécifiant des attributs. Pour ce faire, vous devez procéder comme suit pendant la configuration de LDAP.

2.	Affectez à la propriété Platform \| Security \| LDAP synchronization \| LDAP user reference attribute name la valeur DN.

Cela signale à Marketing Platform que la synchronisation n'est pas basée sur un groupe avec des références de membres, mais sur une unité organisationnelle ou une organisation (Org Unit ou Org).

3.	Lorsque vous configurez la propriété Mappe de référence LDAP, définissez la portion Filter de la valeur avec l'attribut sur lequel vous voulez effectuer la recherche. Pour le filtre, utilisez la chaîne que vous avez déterminée au point 1.

Lorsque vous utilisez une synchronisation basée sur des attributs, la synchronisation périodique est toujours une synchronisation complète et non une synchronisation partielle, comme c'est le cas pour la synchronisation basée sur des groupes. Pour la synchronisation basée sur des attributs, vous devez donner à la propriété LDAP sync interval une valeur élevée ou une valeur 0 si vous voulez désactiver la synchronisation automatique et vous contenter de la synchronisation complète manuelle lorsque des utilisateurs sont ajoutés à l'annuaire.

Importation basée sur le nom distinctif

Si les utilisateurs sont très nombreux, vous pouvez décider de les importer sur la base des noms distinctifs de base. Pour ce faire, vous devez procéder comme suit pendant la configuration de LDAP.

2.	Affectez à la propriété Platform \| Security \| \| LDAP synchronization \| LDAP BaseDN periodic search enabled la valeur true.

Quand cette propriété a la valeur True, Marketing Platform exécute la recherche de synchronisation LDAP avec le nom distinctif défini dans la propriété Nom distinctif de base, dans la catégorie IBM EMM | Platform | Sécurité | LDAP.

3.	Affectez à la propriété Platform \| Security \| LDAP synchronization \| LDAP user reference attribute name la valeur DN.

Cela signale à Marketing Platform que la synchronisation n'est pas basée sur un groupe avec des références de membres, mais sur une unité organisationnelle ou une organisation (Org Unit ou Org).

Lorsque vous configurez la propriété Platform | Security | LDAP synchronization | LDAP reference to IBM Marketing Platform group map | LDAP reference map, choisissez l'attribut à utiliser comme critère de recherche pour définir la valeur du filtre. Pour le filtre, utilisez la chaîne que vous avez déterminée au point 1.

Dans des environnements à plusieurs partitions, l'appartenance à une partition d'un utilisateur est déterminée par le groupe dont fait partie l'utilisateur lorsque ce groupe est affecté à une partition. Un utilisateur ne peut faire partie que d'une seule partition à la fois. Si l'utilisateur fait partie de plusieurs groupes LDAP mappés à des groupes d'IBM® EMM eux-mêmes affectés à différentes partitions, le système doit choisir une seule partition pour cet utilisateur.

Essayez d'éviter cette situation. Si toutefois elle venait à se produire, la partition du groupe d'IBM® EMM à laquelle appartient l'utilisateur est celle qui a été la plus récemment mappée à un groupe LDAP. Pour déterminer le groupe LDAP qui a été le plus récemment mappé, consultez les mappages de groupe LDAP affichés dans la zone Configuration. Ils s'affichent dans l'ordre chronologique, le plus récent étant le dernier élément de la liste.

IBM® EMM prend en charge deux types de comptes et groupes d'utilisateur.

Interne - Comptes et groupes d'utilisateurs créés dans IBM® EMM à l'aide de l'interface utilisateur de sécurité d'IBM® EMM. Ces utilisateurs sont authentifiés via Marketing Platform.

Externe – Comptes et groupes d'utilisateurs qui sont importés dans IBM® EMM par synchronisation à l'aide d'un serveur LDAP pris en charge. La synchronisation n'a lieu que si IBM® EMM a été configuré pour s'intégrer au serveur LDAP. Ces utilisateurs sont authentifiés via le serveur LDAP.

Il est préférable de disposer des deux types d'utilisateur et de groupe si, par exemple, vous souhaitez autoriser les clients à accéder aux applications d'IBM® EMM sans les ajouter au serveur LDAP en tant qu'utilisateurs jouissant de tous les droits.

L'utilisation de ce modèle d'authentification hybride nécessite davantage de maintenance qu'un modèle d'authentification LDAP standard.

Si IBM® EMM est configuré pour s'intégrer à un serveur LDAP, les utilisateurs et les groupes seront automatiquement synchronisés à des intervalles prédéfinis.