[On-Premise/hybride uniquement]{class="badge yellow" title="S’applique uniquement aux déploiements on-premise et hybrides"}

Connexion par LDAP connecting-through-ldap

Configuration Campaign et LDAP configuring-campaign-and-ldap

NOTE
  • La configuration LDAP est uniquement possible pour les installations de type on-premise ou hybride.

  • Assurez-vous que votre système et vos versions openssl sont compatibles avec Campaign dans la matrice de compatibilité. Les versions obsolètes peuvent avoir un impact sur votre authentification LDAP.

La configuration LDAP est réalisée dans l’assistant de déploiement. L’option Intégration LDAP doit être sélectionnée dans la première étape de configuration. Voir Assistant de déploiement.

La fenêtre correspondante permet de configurer l'identification des utilisateurs Adobe Campaign via l'annuaire LDAP spécifié.

  • Indiquez l'adresse du serveur LDAP dans le champ Serveur LDAP. Vous pouvez ajouter le numéro de port. Par défaut, le port utilisé est le 389.

  • Sélectionnez dans la liste déroulante le mécanisme d'authentification des utilisateurs :

    • Mot de passe chiffré (md5) : mode par défaut.

    • Mot de passe en texte brut + SSL (TLS) : l’ensemble de la procédure d’authentification (mot de passe inclus) est chiffrée. Le port sécurisé 636 ne doit pas être utilisé dans ce mode : Adobe Campaign passe automatiquement en mode sécurisé.

      Lorsque vous utilisez ce mode d'authentification, sous Linux, le certificat est vérifié par la bibliothèque client openLDAP. Nous vous recommandons d'utiliser un certificat SSL valide afin que la procédure d'authentification soit chiffrée. Dans le cas contraire, les informations seront passées en clair.

      Le certificat est également vérifié sous Windows.

    • Windows NT LAN Manager (NTLM) : authentification propriétaire Windows. Le champ Identifiant unique est utilisé pour le nom de domaine seulement.

    • Authentification par mot de passe distribué (DPA) : authentification propriétaire Windows. Le champ Identifiant unique n’est utilisé que pour le nom de domaine (domaine.com).

    • Mot de passe en texte brut : aucun chiffrement (utiliser en test uniquement).

  • Choisissez le mode d’identification des utilisateurs et utilisatrices : Composer automatiquement l’identifiant unique de l’utilisateur ou de l’utilisatrice (voir l’étape Calcul de l’identifiant unique) ou Rechercher l’identifiant unique de l’utilisateur ou de l’utilisatrice dans l’annuaire (voir l’étape Recherche des identifiants).

Compatibilité compatibility

Les systèmes compatibles dépendent du mécanisme d'authentification sélectionné. Le tableau suivant liste les compatibilités en fonction du système d'exploitation du serveur Adobe Campaign et du type de serveur LDAP utilisé.

OpenLDAP
Active Directory
md5
Windows, Linux
Linux
TLS
Linux
Windows, Linux
NTLM & DPA
Windows
plain text
Windows, Linux
Windows, Linux

Calcul de l'identifiant unique distinguished-name-calculation

Si vous choisissez de calculer l'identifiant unique (DN), l'étape suivante de l'assistant de déploiement permet de paramétrer le mode de calcul.

  • Indiquez l'identifiant unique de l'utilisateur dans l'annuaire (Distinguished Name - DN) dans le champ Identifiant unique (DN).

    (login) sera remplacé par l'identifiant de l'opérateur Adobe Campaign.

    note caution
    CAUTION
    Le paramètre dc doit être en minuscules.
  • Sélectionnez l'option Activer la synchronisation des droits utilisateurs depuis les autorisations ou groupes de l'annuaire afin de synchroniser l'association entre les groupes et les utilisateurs dans l'annuaire LDAP et l'association entre les groupes et les utilisateurs dans Adobe Campaign.

    Lorsque vous sélectionnez cette option, les champs DN applicatif pour la recherche et Mot de passe du login applicatif sont actifs.

    Si vous renseignez ces deux champs. Adobe Campaign se connectera alors au serveur LDAP avec son propre login et mot de passe. S'ils sont vides, Adobe Campaign se connectera au serveur de manière anonyme.

Recherche des identifiants searching-for-identifiers

Si vous choisissez de faire une recherche sur l'identifiant, l'assistant de déploiement permet de paramétrer la recherche.

  • Dans les champs DN applicatif pour la recherche et Mot de passe du login applicatif indiquez l'identifiant et le mot de passe avec lesquels Adobe Campaign se connectera pour rechercher l'identifiant. S'ils sont vides, Adobe Campaign se connectera au serveur de manière anonyme.

  • Les champs Identifiant de la base et Etendue de la recherche permettent de déterminer le sous-ensemble de l'annuaire LDAP à partir duquel s'effectuera la recherche.

    Sélectionnez le mode voulu dans la liste déroulante :

    1. Récursif (mode par défaut).

      La recherche s'effectue sur toute l'arborescence de l'annuaire LDAP, à partir d'un niveau donné.

    2. Limité à la base.

      La recherche s'effectue sur tous les attributs de l'arborescence.

    3. Limité au premier sous-niveau de la base.

      La recherche s'effectue sur tous les attributs de l'arborescence et le premier sous-niveau de l'attribut.

  • Le champ Filtre vous donne la possibilité de spécifier un élément pour affiner l'étendue de la recherche.

Configuration des autorisations LDAP configuring-ldap-authorizations

Cette fenêtre est proposée lorsque vous sélectionnez l'option Activer la synchronisation des droits utilisateurs depuis les autorisations ou groupes de l'annuaire.

Vous devez fournir plusieurs paramètres pour retrouver le ou les groupes auxquels appartient l'utilisateur et les autorisations dont il dispose par extension, à savoir :

  • le champ Identifiant de la base,

  • le champ Etendue de la recherche,

    note note
    NOTE
    Si vous avez choisi de rechercher l'identifiant de l'utilisateur, vous pouvez sélectionner Réutiliser les paramètres de recherche du DN afin de reporter les valeurs choisies pour l'identifiant de la base et l'étendue de la recherche dans la fenêtre précédente.
  • le champ Filtre de recherche de droits, basé sur le login et l'identifiant unique de l'utilisateur,

  • le champ Attribut contenant le nom du groupe ou de l'autorisation concernant l'utilisateur,

  • le champ Masque de correspondance permettant d'extraire le nom d'un groupe dans Adobe Campaign et les droits qui lui sont associés. La recherche sur le nom se fait avec des expressions régulières.

  • Sélectionnez Autoriser la connexion des utilisateurs déclarés dans l'annuaire LDAP si l'opérateur n'est pas déclaré dans Adobe Campaign afin que l'utilisateur se voit attribuer automatiquement des droits d'accès lors de sa connexion.

Cliquez sur Enregistrer pour terminer la configuration de l'instance.

Gestion des opérateurs managing-operators

Une fois le paramétrage validé, vous devez définir quels opérateurs Adobe Campaign seront gérés via l'annuaire LDAP.

Pour utiliser l'annuaire LDAP pour l'authentification d'un opérateur, modifiez le profil correspondant et cliquez sur le lien Modifier les paramètres d’accès. Sélectionnez l'option Utiliser LDAP pour l’authentification  : le champ Mot de passe est alors grisé pour cet opérateur.

Cas pratiques use-cases

Cette section propose quelques cas pratiques simples afin de réaliser les paramétrages les mieux adaptés à vos besoins.

  1. Un utilisateur existe dans l'annuaire LDAP mais n'a pas été créé dans Adobe Campaign.

    Adobe Campaign peut être configuré de sorte qu’il soit possible d’accéder à la plateforme via l’authentification LDAP. Adobe Campaign doit pouvoir contrôler la validité de la combinaison ID/mot de passe dans l'annuaire LDAP, de sorte que l'opérateur puisse être créé à la volée dans Adobe Campaign. L'opérateur pourra ainsi être créé à la volée dans Adobe Campaign : pour cela, cochez l'option Autoriser la connexion des utilisateurs déclarés dans l'annuaire LDAP si l'opérateur n'est pas déclaré dans Adobe Campaign. Dans ce cas, la synchronisation des groupes doit également être paramétrée : l'option Activer la synchronisation des droits utilisateurs depuis les autorisations ou groupes de l'annuaire doit être sélectionnée.

  2. Un utilisateur existe dans Adobe Campaign mais n'a pas été créé dans l'annuaire LDAP.

    Il ne pourra alors pas se connecter à Adobe Campaign.

  3. Un groupe n'existe pas dans Adobe Campaign mais seulement dans l'annuaire LDAP.

    Ce groupe ne sera pas créé dans Adobe Campaign. Vous devez créer le groupe et synchroniser les groupes afin de permettre la correspondance via l'option Activer la synchronisation des droits utilisateurs depuis les autorisations ou groupes de l'annuaire.

  4. Des groupes existent dans Adobe Campaign et l'utilisation de l'annuaire LDAP est activée a posteriori : les groupes d'utilisateurs côté Adobe Campaign ne sont pas remplacés automatiquement par le contenu des groupes LDAP. De même, si un groupe n'existe que dans Adobe Campaign, aucun utilisateur LDAP ne peut y être ajouté avant que le groupe ne soit créé et synchronisé côté LDAP.

    Les groupes ne sont jamais créés à la volée, ni côté Adobe Campaign, ni côté LDAP. Ils doivent être créés unitairement à la fois dans Adobe Campaign et dans l'annuaire LDAP.

    Les noms des groupes dans l'annuaire LDAP doivent correspondre aux noms des groupes dans Adobe Campaign. Leur masque d'association est défini dans la dernière étape de configuration de l'assistant de déploiement : Adobe Campaign_(.*), par exemple.

recommendation-more-help
601d79c3-e613-4db3-889a-ae959cd9e3e1