Show Menu
SUJETS×

Connexion par LDAP

Configuration Campaign et LDAP

La configuration LDAP est uniquement possible pour les installations de type on-premise ou hybride.
La configuration LDAP est réalisée dans l'assistant de déploiement. L'option Intégration LDAP doit être sélectionnée dans la première étape de configuration. Voir la section Assistant de déploiement .
La fenêtre correspondante permet de configurer l'identification des utilisateurs Adobe Campaign via l'annuaire LDAP spécifié.
  • Indiquez l'adresse du serveur LDAP dans le champ Serveur LDAP . Vous pouvez ajouter le numéro de port. Par défaut, le port utilisé est le 389.
  • Sélectionnez dans la liste déroulante le mécanisme d'authentification des utilisateurs :
    • Mot de passe crypté ( md5 )
      Mode par défaut.
    • Mot de passe en clair + SSL ( TLS )
      Toute la procédure d'authentification (mot de passe compris) est cryptée. Le port sécurisé 636 ne doit pas être utilisé dans ce mode : Adobe Campaign passe automatiquement en mode sécurisé.
      Lorsque vous utilisez ce mode d'authentification, sous Linux, le certificat est vérifié par la bibliothèque client openLDAP. Nous vous recommandons d'utiliser un certificat SSL valide afin que la procédure d'authentification soit cryptée. Dans le cas contraire, les informations seront passées en clair.
      Le certificat est également vérifié sous Windows.
    • Windows NT LAN Manager ( NTLM )
      Authentification propriétaire Windows. Le champ Identifiant unique est utilisé pour le nom de domaine seulement.
    • Distributed Password Authentication ( DPA )
      Authentification propriétaire Windows. Le champ Identifiant unique n'est utilisé que pour le nom de domaine (domaine.com).
    • Mot de passe en clair (plain text)
      Aucun cryptage (utiliser en test uniquement).
  • Choisissez le mode d'identification des utilisateurs : Composer automatiquement l'identifiant unique de l'utilisateur (voir l'étape Calcul de l'identifiant unique ) ou Rechercher l'identifiant unique de l'utilisateur dans l'annuaire (voir l'étape Recherche des identifiants ).

Compatibilité

Les systèmes compatibles dépendent du mécanisme d'authentification sélectionné. Le tableau suivant liste les compatibilités en fonction du système d'exploitation du serveur Adobe Campaign et du type de serveur LDAP utilisé.
OpenLDAP Active Directory
md5 Windows, Linux Linux
TLS Linux Windows, Linux
NTLM & DPA Windows
plain text Windows, Linux Windows, Linux

Calcul de l'identifiant unique

Si vous choisissez de calculer l'identifiant unique (DN), l'étape suivante de l'assistant de déploiement permet de paramétrer le mode de calcul.
  • Indiquez l'identifiant unique de l'utilisateur dans l'annuaire (Distinguished Name - DN) dans le champ Identifiant unique (DN) .
    (login) sera remplacé par l'identifiant de l'opérateur Adobe Campaign.
    Le paramètre dc doit être en minuscules.
  • Sélectionnez l'option Activer la synchronisation des droits utilisateurs depuis les autorisations ou groupes de l'annuaire afin de synchroniser l'association entre les groupes et les utilisateurs dans l'annuaire LDAP et l'association entre les groupes et les utilisateurs dans Adobe Campaign.
    Lorsque vous sélectionnez cette option, les champs DN applicatif pour la recherche et Mot de passe du login applicatif sont actifs.
    Si vous renseignez ces deux champs. Adobe Campaign se connectera alors au serveur LDAP avec son propre login et mot de passe. S'ils sont vides, Adobe Campaign se connectera au serveur de manière anonyme.

Recherche des identifiants

Si vous choisissez de faire une recherche sur l'identifiant, l'assistant de déploiement permet de paramétrer la recherche.
  • Dans les champs DN applicatif pour la recherche et Mot de passe du login applicatif indiquez l'identifiant et le mot de passe avec lesquels Adobe Campaign se connectera pour rechercher l'identifiant. S'ils sont vides, Adobe Campaign se connectera au serveur de manière anonyme.
  • Les champs Identifiant de la base et Etendue de la recherche permettent de déterminer le sous-ensemble de l'annuaire LDAP à partir duquel s'effectuera la recherche.
    Sélectionnez le mode voulu dans la liste déroulante :
    1. Récursif (mode par défaut) .
      La recherche s'effectue sur toute l'arborescence de l'annuaire LDAP, à partir d'un niveau donné.
    2. Limité à la base .
      La recherche s'effectue sur tous les attributs de l'arborescence.
    3. Limité au premier sous-niveau de la base .
      La recherche s'effectue sur tous les attributs de l'arborescence et le premier sous-niveau de l'attribut.
  • Le champ Filtre vous donne la possibilité de spécifier un élément pour affiner l'étendue de la recherche.

Configuration des autorisations LDAP

Cette fenêtre est proposée lorsque vous sélectionnez l'option Activer la synchronisation des droits utilisateurs depuis les autorisations ou groupes de l'annuaire .
Vous devez fournir plusieurs paramètres pour retrouver le ou les groupes auxquels appartient l'utilisateur et les autorisations dont il dispose par extension, à savoir :
  • le champ Identifiant de la base ,
  • le champ Etendue de la recherche ,
    Si vous avez choisi de rechercher l'identifiant de l'utilisateur, vous pouvez sélectionner Réutiliser les paramètres de recherche du DN afin de reporter les valeurs choisies pour l'identifiant de la base et l'étendue de la recherche dans la fenêtre précédente.
  • le champ Filtre de recherche de droits , basé sur le login et l'identifiant unique de l'utilisateur,
  • le champ Attribut contenant le nom du groupe ou de l'autorisation concernant l'utilisateur,
  • le champ Masque de correspondance permettant d'extraire le nom d'un groupe dans Adobe Campaign et les droits qui lui sont associés. La recherche sur le nom se fait avec des expressions régulières.
  • Sélectionnez Autoriser la connexion des utilisateurs déclarés dans l'annuaire LDAP si l'opérateur n'est pas déclaré dans Adobe Campaign afin que l'utilisateur se voit attribuer automatiquement des droits d'accès lors de sa connexion.
Cliquez sur Enregistrer pour terminer la configuration de l'instance.

Gestion des opérateurs

Une fois le paramétrage validé, vous devez définir quels opérateurs Adobe Campaign seront gérés via l'annuaire LDAP.
Pour utiliser l'annuaire LDAP pour l'authentification d'un opérateur, éditez le profil de l'opérateur et cliquez sur le lien Editer les paramètres d'accès . Sélectionnez l'option Utiliser LDAP pour vérifier le mot de passe : le champ Mot de passe sera alors grisé pour cet opérateur.

Cas pratiques

Cette section propose quelques cas pratiques simples afin de réaliser les paramétrages les mieux adaptés à vos besoins.
  1. Un utilisateur existe dans l'annuaire LDAP mais n'a pas été créé dans Adobe Campaign.
    Adobe Campaign peut être configuré afin que l'utilisateur accède à Adobe Campaign en utilisant son authentification LDAP. Pour cela, Adobe Campaign doit pouvoir contrôler la validité du couple identifiant/mot de passe dans l'annuaire LDAP. L'opérateur pourra ainsi être créé à la volée dans Adobe Campaign : pour cela, cochez l'option Autoriser la connexion des utilisateurs déclarés dans l'annuaire LDAP si l'opérateur n'est pas déclaré dans Adobe Campaign . Dans ce cas, la synchronisation des groupes doit également être paramétrée : l'option Activer la synchronisation des droits utilisateurs depuis les autorisations ou groupes de l'annuaire doit être sélectionnée.
  2. Un utilisateur existe dans Adobe Campaign mais n'a pas été créé dans l'annuaire LDAP.
    Il ne pourra alors pas se connecter à Adobe Campaign.
  3. Un groupe n'existe pas dans Adobe Campaign mais seulement dans l'annuaire LDAP.
    Ce groupe ne sera pas créé dans Adobe Campaign. Vous devez créer le groupe et synchroniser les groupes afin de permettre la correspondance via l'option Activer la synchronisation des droits utilisateurs depuis les autorisations ou groupes de l'annuaire .
  4. Des groupes existent dans Adobe Campaign et l'utilisation de l'annuaire LDAP est activée a posteriori : les groupes d'utilisateurs côté Adobe Campaign ne sont pas remplacés automatiquement par le contenu des groupes LDAP. De même, si un groupe n'existe que dans Adobe Campaign, aucun utilisateur LDAP ne peut y être ajouté avant que le groupe ne soit créé et synchronisé côté LDAP.
    Les groupes ne sont jamais créés à la volée, ni côté Adobe Campaign, ni côté LDAP. Ils doivent être créés unitairement à la fois dans Adobe Campaign et dans l'annuaire LDAP.
    Les noms des groupes dans l'annuaire LDAP doivent correspondre aux noms des groupes dans Adobe Campaign. Leur masque d'association est défini dans la dernière étape de configuration de l'assistant de déploiement, par exemple : Adobe Campaign_(.*).