# Authentification AD

La gestion des identités et des accès est un élément important de la sécurité des réseaux et des données pour toute organisation. Elle vous aide à garantir la conformité aux politiques, la gestion des mots de passe et sert également de moyen pour administrer le contrôle d'accès des utilisateurs.

La fonctionnalité d'authentification AD dans OpManager vous aide précisément à cela. Elle vous permet d'authentifier les utilisateurs directement depuis OpManager sans utiliser d'outil externe de gestion des identités tiers. Elle vous permet d'accorder / révoquer l'accès et les restrictions de sécurité aux utilisateurs, et vous permet également de fournir un contrôle d'accès basé sur les rôles pour accéder à OpManager au sein de votre organisation.

Vous pouvez faire en sorte que la politique de mot de passe d'Active Directory fonctionne pour vous si vous disposez d'un domaine Windows. Les utilisateurs se connectent à OpManager à l'aide de leur nom de connexion et mot de passe de domaine. Cela réduira considérablement le risque que d'autres utilisent votre mot de passe pour accéder à l'interface Web de OpManager, améliorant ainsi non seulement la sécurité, mais facilitant également la connexion/la création de comptes pour les utilisateurs. Vous pouvez définir une portée pour les utilisateurs (groupes AD, bureaux distants ou tous les utilisateurs), limitant ainsi leur accès en fonction de leurs rôles.

Avec l'augmentation des applications logicielles, chacune avec ses propres niveaux d'authentification et de complexité de mot de passe, cette fonctionnalité vous évite également la contrainte de devoir mémoriser beaucoup trop de mots de passe.

[Comment ajouter un domaine AD ?](https://www.manageengine.com/fr/network-monitoring/help/add-domain.html#addADdomain)

[Comment configurer les paramètres de connexion automatique AD ?](https://www.manageengine.com/fr/network-monitoring/help/add-domain.html#ADautologin)

[Comment modifier les paramètres du domaine ?](https://www.manageengine.com/fr/network-monitoring/help/add-domain.html#EditDeleteGroups)

## Ajouter un domaine AD

Vous pouvez créer des domaines dans OpManager et des utilisateurs manuellement dans OpManager à l'aide des fonctionnalités d'authentification AD et de gestion des utilisateurs.

### Pour ajouter un domaine :

1. Allez dans **Paramètres** → **Paramètres généraux** → **Authentification** → **Authentification AD** → **Ajouter un domaine**.

![Ajout de domaine dans OpManager : authentification AD](https://www.manageengine.com/network-monitoring/help/images/add3.png)

2. Saisissez le **nom de domaine** et le **nom du contrôleur de domaine** dans les champs correspondants.

![Ajout de domaine dans OpManager : détails du domaine](https://www.manageengine.com/network-monitoring/help/images/add1.png)

3. LDAPS est pris en charge à partir de la version 125111, afin d'assurer une communication sécurisée avec les contrôleurs de domaine. Cliquez simplement sur le bouton **'Importer un certificat'** et sélectionnez le certificat de votre contrôleur de domaine pour l'ajouter à OpManager.

Pour en savoir plus sur la manière d'exporter un certificat depuis votre contrôleur de domaine, consultez ces articles :

- [Exportation du certificat LDAPS et importation pour utilisation avec AD DS](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx#Exporting_the_LDAPS_Certificate_and_Importing_for_use_with_AD_DS)
- [Certificat LDAP sur SSL (LDAPS)](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)

4. [Connexion automatique](https://www.manageengine.com/fr/network-monitoring/help/add-domain.html#ADautologin)* est désactivée par défaut.
5. **Enregistrez** les paramètres.
6. Une fois le domaine ajouté, vous pouvez [ajouter manuellement des utilisateurs](https://www.manageengine.com/fr/network-monitoring/help/create-users.html#adduser) dans l'onglet **Utilisateurs**.

## Configurer la connexion automatique

La fonctionnalité de connexion automatique vous permet d'ajouter tous/individuellement des utilisateurs ou des groupes AD sélectionnés à n'importe quel domaine, et de leur attribuer des autorisations utilisateur.

1. Sélectionnez **Ajouter/Modifier** sous **Actions** pour le domaine que vous souhaitez configurer.

![Configuration de la connexion automatique dans OpManager : domaines à configurer](https://www.manageengine.com/network-monitoring/help/images/add6.png)

2. Cochez la case **Activer la connexion automatique**.  
Après avoir activé la connexion automatique, cliquez sur **Suivant** pour configurer la portée des utilisateurs dans le domaine sélectionné. La portée sera automatiquement attribuée aux utilisateurs se connectant pour la première fois. Si la **connexion automatique** n'est pas activée, les utilisateurs doivent être ajoutés manuellement.

3. **Pour configurer la connexion automatique**

   - **Pour tous les utilisateurs**  
     Pour activer la **connexion automatique** pour tous les utilisateurs, sélectionnez **Tous les utilisateurs** sous **Utilisateurs**. La connexion automatique sera activée pour tous les utilisateurs se connectant à ce domaine.

   - **Pour des groupes AD sélectionnés**  
     Pour activer la **connexion automatique** pour des groupes AD sélectionnés, sélectionnez **Groupes sélectionnés** sous **Utilisateurs** et saisissez les noms des groupes AD sous forme de valeurs séparées par des virgules. La connexion automatique sera activée pour les groupes AD que vous spécifiez.

   - OpManager recherche la présence de l'utilisateur sous le BaseDN que vous saisissez. Dans le champ BaseDN, saisissez le chemin du conteneur vers l'OU de niveau supérieur sous laquelle se trouvent les utilisateurs du groupe dans l'AD. Il ne doit pas pointer vers le DN (chemin) du groupe.

   - **Par exemple :**
     - Supposons qu'il y ait deux groupes à configurer, **'AdGroup1'** et **'AdGroup2'**. Les utilisateurs de ces groupes sont présents dans plusieurs OU
     - CN=user1,OU=Admins,**OU=TestOU,DC=local,DC=com**
     - CN=user2,OU=Operators,**OU=TestOU,DC=local,DC=com**
     - CN=user3,OU=Guests,OU=Users,**OU=TestOU,DC=local,DC=com**

![Configuration de la connexion automatique dans OpManager : configuration de groupe](https://www.manageengine.com/network-monitoring/help/images/add-domain-03.png)

   - Vous devez saisir **'OU=TestOU, DC=local, DC=com'** dans le champ BaseDN (le chemin commun dans leur hiérarchie). Le chemin doit comporter au moins un **OU/CN**, et les noms de groupe que vous configurez dans les paramètres du domaine sont sensibles à la casse.

   - Exemple de requête pour obtenir le baseDN (chemin du conteneur) pour un utilisateur :

![Configuration de la connexion automatique dans OpManager : exemple de requête BasedDN](https://www.manageengine.com/network-monitoring/help/images/BaseDN.png)

   - Si l'accès LDAP n'est pas disponible pour tous les utilisateurs de votre domaine, vous pouvez configurer des informations d'identification personnalisées avec l'option **'Utiliser des informations d'identification personnalisées pour la liaison LDAP'**. Ces informations d'identification seront utilisées pour exécuter les requêtes LDAP.

![Configuration de la connexion automatique dans OpManager : configuration avec des informations d'identification personnalisées](https://www.manageengine.com/network-monitoring/help/images/add9.png)

   - Saisissez le compte utilisateur (avec les autorisations requises) dans l'Active Directory pour exécuter les requêtes LDAP dans le domaine, sous **'Nom d'utilisateur de liaison'** et le **'Mot de passe de liaison'** correspondant.
   - Voici à quoi les détails de configuration devraient ressembler pour l'exemple mentionné ci-dessus,

![Configuration de la connexion automatique dans OpManager : détails de configuration du domaine](https://www.manageengine.com/network-monitoring/help/images/add-domain-02.png)

**Remarque :**

- Plusieurs noms de groupes AD peuvent être mentionnés sous forme de valeurs séparées par des virgules. Si un nouveau groupe avec une portée différente doit être ajouté, utilisez l'icône '+'.

![Configuration de la connexion automatique dans OpManager : ajout de plusieurs groupes AD](https://www.manageengine.com/network-monitoring/help/images/add-domain-01.png)

- Les informations d'identification fournies doivent disposer de l'autorisation de requête LDAP et de l'autorisation de lecture de la propriété 'memberOf'.

4. Une fois la **connexion automatique** activée, sélectionnez les **Utilisateurs** et les **Autorisations utilisateur** pour le domaine, modifiez le **Fuseau horaire** si nécessaire, puis cliquez sur **Suivant**. Lors de la connexion automatique, les modules et la portée sélectionnés peuvent être attribués à l'utilisateur AD.

5. Pour configurer la **Portée** :  
   **Modules -** Vous pouvez sélectionner les modules complémentaires auxquels vous souhaitez que l'utilisateur ait accès.  
   **Moniteur -** Vous pouvez donner à cet utilisateur l'accès à **Tous les périphériques**, ou uniquement aux **Vues métier sélectionnées**. Si **Tous les périphériques** est sélectionné, l'utilisateur aura accès à tous les périphériques du module OpManager. Si **Vues métier sélectionnées** est sélectionné, vous pouvez donner l'accès à toutes les vues métier avec l'option "Tout sélectionner" et aux vues métier sans titre avec l'option Sans titre.

6. **Enregistrez** les paramètres.

## Modifier les paramètres du domaine

Une fois que vous créez un domaine et attribuez des utilisateurs, vous pouvez modifier les configurations à tout moment selon vos besoins. Vous pouvez ajouter ou supprimer des utilisateurs/groupes AD, modifier les autorisations utilisateur et également modifier les paramètres de portée.

### Pour ajouter des groupes AD :

Cliquez sur l'icône **'Plus'** à côté du domaine de votre choix pour y ajouter de nouveaux groupes AD.

### Pour modifier le fuseau horaire :

Sélectionnez **Modifier** sous **Actions** pour le domaine que vous souhaitez modifier, changez le fuseau horaire selon vos besoins, puis cliquez sur **'Enregistrer'.**

### Pour modifier/supprimer des groupes AD :

1. Cliquez sur la flèche à côté du nom de votre domaine pour afficher tous les groupes AD qu'il contient.
2. Cliquez sur l'icône **'Modifier'** à côté du groupe que vous souhaitez modifier, sélectionnez les **Utilisateurs** et les **Autorisations utilisateur** pour le domaine, puis cliquez sur **Suivant**.
3. Pour modifier un utilisateur/groupe particulier dans un domaine, sélectionnez **Modifier** sous **Actions** pour le domaine que vous souhaitez modifier.
4. Les **Autorisations utilisateur** des groupes AD peuvent être modifiées en sélectionnant soit **Lecture seule** (Utilisateur opérateur), **Contrôle total** (Utilisateur administrateur) ou en sélectionnant un rôle utilisateur personnalisé avec le niveau d'accès choisi.

![Modifier les paramètres du domaine dans OpManager : modifier les autorisations utilisateur](https://www.manageengine.com/network-monitoring/help/images/add6.png)

5. Pour configurer la **Portée** :

   - **Modules** - Vous pouvez sélectionner les modules complémentaires auxquels vous souhaitez que l'utilisateur ait accès.
   - **Moniteur** - Vous pouvez donner à cet utilisateur l'accès à **Tous les périphériques**, ou uniquement aux **Vues métier sélectionnées**. Si **Tous les périphériques** est sélectionné, l'utilisateur aura accès à tous les périphériques de NetFlow, NCM et Firewall. Si **Vues métier sélectionnées** est sélectionné, vous pouvez donner l'accès à toutes les vues métier avec l'option Tout sélectionner et aux vues métier sans titre avec l'option Sans titre.

![Modifier les paramètres du domaine dans OpManager : configuration de la portée](https://www.manageengine.com/network-monitoring/help/images/add8.png)

6. **Enregistrez** les paramètres.
7. Pour supprimer un groupe, cliquez simplement sur l'icône **'Supprimer'** à côté de celui-ci.  
   Pour l'authentification AD, nous prenons en charge l'AD sur site avec accès aux requêtes LDAP vers le contrôleur de domaine sur le réseau.

Pour en savoir plus sur les méthodes d'authentification d'OpManager, consultez les documents d'aide suivants :

- [Paramètres du serveur Radius](https://www.manageengine.com/fr/network-monitoring/help/radius-server-settings.html)
- [Authentification à deux facteurs](https://www.manageengine.com/fr/network-monitoring/help/two-factor-authentication.html)
- [Authentification SAML](https://www.manageengine.com/fr/network-monitoring/help/saml-help.html)
- [Authentification OAuth](https://www.manageengine.com/fr/network-monitoring/help/oauth-authentication.html)