Fonctionnalités d'intégration d'Active Directory

L'intégration de Unica Platform à Windows™ Active Directory fournit les fonctions décrites dans cette section.

Authentification avec intégration à Active Directory

Les applications Unica recherchent des informations d'autorisation utilisateur sur Unica Platform.

  • Les versions précédentes de Unica Platform prenaient en charge la connexion intégrée à Microsoft Windows basée sur le protocole NTLM v1. Avec l'arrivée de Microsoft Windows 2008 Server et de Microsoft Windows 7, la valeur standard minimale par défaut a changé et nécessite le protocole NTLMv2. NTLMv2 n'est pas nativement pris en charge par Unica Platform.

    Vous pouvez toutefois configurer l'authentification NTLMv2, de sorte que les utilisateurs sont authentifiés dans toutes les applications Unica lorsqu'ils se connectent au réseau de l'entreprise et qu'aucun mot de passe n'est requis pour se connecter aux applications Unica. L'authentification des utilisateurs repose sur leur données de connexion Windows en ignorant les écrans de connexion des applications.

    Pour configurer l'authentification NTLMv2, effectuez les étapes décrites dans ce chapitre.

  • Si l'authentification NTLMv2 n'est pas activée, les utilisateurs doivent toujours se connecter sur l'écran de connexion Unica en utilisant leurs données d'identification Windows.

Gestion des utilisateurs internes et externes

Lorsque l'authentification NTLMv2 est activée, tous les utilisateurs sont créés et gérés sur le serveur Active Directory. (Vous ne pouvez pas créer des utilisateurs dans Unica Platform (appelés utilisateurs internes dans ce guide)). Si vous voulez pouvoir créer des utilisateurs internes, n'activez pas l'authentification NTLMv2.

Une fois l'intégration configurée, vous ne pouvez ni ajouter, ni modifier ni supprimer les comptes utilisateur importés dans Unica Platform. Vous devez effectuer ces tâches de gestion au niveau de LDAP et les modifications sont importées au moment de la synchronisation. Si vous modifiez des comptes utilisateur importés dans Unica Platform, les utilisateurs risquent de rencontrer des problèmes au moment de l'authentification.

Les comptes utilisateur que vous supprimez au niveau de LDAP ne sont pas supprimés de Unica Platform. Vous devez désactiver manuellement ces comptes dans Unica Platform. Il est préférable de désactiver ces comptes utilisateur plutôt que de les supprimer car les utilisateurs possèdent des droits de propriété sur les dossiers dans Unica Campaign et, si vous supprimez un compte utilisateur qui possède un dossier, les objets contenus dans ce dossier ne seront plus disponibles.

Synchronisation

Si Unica est configuré pour s'intégrer à un serveur Windows Active Directory, les utilisateurs et les groupes sont automatiquement synchronisés à des intervalles prédéfinis.

La synchronisation automatique a une fonctionnalité limitée.

  • Les utilisateurs qui sont supprimés du serveur LDAP ne sont pas supprimés lors de la synchronisation automatique.

Vous pouvez forcer la synchronisation intégrale de tous les utilisateurs et tous les groupes en utilisant la fonction Synchroniser dans la zone Utilisateurs d'Unica. Sinon, vous pouvez contacter Services pour demander la définition d'une propriété de configuration masquée qui déclenche une synchronisation automatique complète.

Importation d'utilisateurs basée sur des groupes ou des attributs

Si vous importez des comptes utilisateur à partir du serveur LDAP dans Unica Platform, vous avez le choix entre deux types de filtrage lors de la sélection de ces comptes utilisateur.

Vous devez choisir entre l'importation basée sur des groupes ou l'importation basée sur des attributs. Ces méthodes ne peuvent pas être prises en charge simultanément.

Importation basée sur le groupe

Unica Platform importe les groupes et les utilisateurs à partir de la base de données de serveur d'annuaire via une tâche de synchronisation périodique qui extrait automatiquement les informations à partir du serveur d'annuaire. Si Unica Platform importe les utilisateurs et les groupes à partir de la base de données du serveur, les appartenances de groupe ne sont pas modifiées. Pour sélectionner ces modifications, vous devez effectuer une synchronisation manuelle.

Vous pouvez accorder des privilèges Unica en mappant un groupe Active Directory à un groupe Unica. Ce mappage permet aux nouveaux utilisateurs ajoutés au groupe Active Directory mappé de disposer des privilèges définis pour le groupe d'Unica.

Un sous-groupe existant dans Unica Platform n'hérite pas des mappages Active Directory ou des appartenances d'utilisateur de ses parents.

La configuration de l'importation par groupe est détaillée dans la suite de ce chapitre.

Importation basée sur l'attribut

Si vous ne voulez pas créer sur votre serveur Active Directory de groupes qui soient spécifiques aux produits Unica, vous pouvez contrôler quels utilisateurs seront importés en spécifiant des attributs. Pour ce faire, vous devez procéder comme suit pendant la configuration.

  1. Déterminez la chaîne utilisée sur votre serveur Active Directory pour l'attribut à partir duquel vous voulez effectuer le filtrage.
  2. Attribuez la valeur DN à la propriété Unica Platform | Sécurité | Synchronisation LDAP | Nom d'attribut de référence de l'utilisateur LDAP.

    Cela signale à Unica Platform que la synchronisation n'est pas basée sur un groupe avec des références de membres, mais sur une unité organisationnelle ou une organisation (Org Unit ou Org).

  3. Lorsque vous configurez la propriété Mappe de référence LDAP, définissez la portion Filter de la valeur avec l'attribut sur lequel vous voulez effectuer la recherche. Pour le filtre, utilisez la chaîne que vous avez déterminée au point 1.

Lorsque vous utilisez une synchronisation basée sur des attributs, la synchronisation périodique est toujours une synchronisation complète et non une synchronisation partielle, comme c'est le cas pour la synchronisation basée sur des groupes. Pour la synchronisation basée sur des attributs, vous devez donner à la propriété Intervalle de synchronisation LDAP une valeur élevée ou une valeur 0 si vous voulez désactiver la synchronisation automatique et vous contenter de la synchronisation complète manuelle lorsque des utilisateurs sont ajoutés à l'annuaire.

Suivez les instructions fournies dans la suite de ce chapitre pour configurer l'intégration et reportez-vous aux instructions ci-dessus quand vous devrez définir les propriétés de configuration.

A propos d'Active Directory et des partitions

Dans des environnements à plusieurs partitions, l'appartenance à une partition d'un utilisateur est déterminée par le groupe dont fait partie l'utilisateur lorsque ce groupe est affecté à une partition. Un utilisateur ne peut faire partie que d'une seule partition à la fois. Si l'utilisateur fait partie de plusieurs groupes Active Directory mappés à des groupes d'Unica eux-mêmes affectés à différentes partitions, le système doit choisir une seule partition pour cet utilisateur.

Essayez d'éviter cette situation. Si toutefois elle venait à se produire, la partition du groupe d'Unica à laquelle appartient l'utilisateur est celle qui a été la plus récemment mappée à un groupe Active Directory. Pour déterminer le dernier groupe Active Directory qui a été mappé, consultez les mappages de groupe LDAP affichés dans la zone Configuration. Ils s'affichent dans l'ordre chronologique, le plus récent étant le dernier élément de la liste.

Caractères spéciaux dans les noms de connexion

Seuls trois caractères spéciaux sont autorisés dans les noms de connexion : le point (.), le trait de soulignement ( _ ) et le trait d'union (-). S'il figure d'autres caractères spéciaux (notamment des espaces) dans le nom de connexion d'un utilisateur que vous envisagez d'importer dans Unica Platform depuis un serveur Active Directory, vous devez modifier ce nom de connexion afin que l'utilisateur ne rencontre pas de problèmes lors de sa déconnexion ou lorsqu'il exécutera des tâches d'administration (s'il a les droits requis pour cela).