Authentification d'utilisateur LDAP

Vous utilisez un protocole LDAP (Lightweight Directory Access Protocol), ainsi qu'un serveur HTTP Active Directory, pour gérer les utilisateurs et les authentifications. Vous souhaitez connaître les bonnes pratiques d'utilisation de ce serveur LDAP/AD pour gérer l'accès utilisateur à Link.

Link prend en charge Keycloak (https://www.keycloak.org/) pour gérer et authentifier les utilisateurs.

Les bases de données existantes d'utilisateurs contiennent les données d'identification des utilisateurs. Keycloak fédère ces bases de données d'utilisateurs externes existantes à l'aide du concept de fournisseurs de stockage. Par défaut, Keycloak prend en charge un fournisseur de stockage LDAP et Active Directory. L'ajout d'un fournisseur de stockage vous permet de mapper les attributs utilisateur LDAP dans Keycloak. Vous pouvez également configurer davantage de mappages.

Avant de configurer Keycloak pour utiliser un fournisseur LDAP/AD existant, vous devez tenir compte des bonnes pratiques suivantes :
  • Configurez votre fournisseur LDAP/AD en tant que référentiel en lecture seule afin que le serveur Keycloak ne puisse pas le modifier.
  • Ajoutez et supprimez des utilisateurs dans LDAP/AD et non dans la base de données utilisateur locale Keycloak.
  • Importez et synchronisez vos utilisateurs LDAP/AD dans votre base de données locale Keycloak.
    • Une importation d'un utilisateur LDAP/AD peut échouer si la zone LDAP/AD choisie pour le mappage du nom d'utilisateur dans Keycloak n'est pas renseignée pour cet utilisateur dans LDAP/AD.
    • Filtrez les utilisateurs LDAP/AD à l'aide du filtre LDAP Utilisateur personnalisé afin de pouvoir importer un sous-ensemble de tous vos utilisateurs LDAP. Par exemple, vous pouvez configurer un groupe d'utilisateurs Serveur dans LDAP et importer uniquement ces utilisateurs dans Keycloak.
  • Mappez un nom de style de connexion, par exemple utilisateur1@serveur.com, à l'aide de l'attribut UserPrincipalName dans LDAP/AD à un nom d'utilisateur dans Keycloak. Si vous souhaitez que le nom complet de l'utilisateur soit votre style de connexion, utilisez l'attribut cn dans LDAP/AD.
Remarque : L'attribut de nom d'utilisateur LDAP/AD doit correspondre à l'attribut de nom d'utilisateur du fournisseur LDAP/AD (attribut LDAP de nom d'utilisateur) dans Keycloak pour que le fournisseur LDAP/AD se connecte à Keycloak.

Les sections suivantes utilisent ces bonnes pratiques pour vous guider dans la configuration de Keycloak afin de vous connecter à votre serveur HTTP LDAP/AD.