Intégration de domaine Active Directory

L'un des problèmes les plus courants lorsque l’on gère plusieurs domaines Active Directory est de devoir gérer différents ensembles de mots de passe. Que ce soit pour les migrations de domaines ou pour la gestion de domaines distincts pour la connexion au bureau et l'accès à la boîte aux lettres Exchange, les utilisateurs doivent gérer des mots de passe différents pour chaque domaine. Cela complique la gestion des mots de passe utilisateur et entraîne une augmentation du nombre de tickets liés aux mots de passe, ce qui finit par affecter la productivité globale.

La gestion des mots de passe des utilisateurs dans un grand environnement est fastidieuse. Ajoutez à cela la tâche de gérer les changements de mot de passe sur plusieurs domaines, et la difficulté est encore plus grande pour les administrateurs. La solution consiste à synchroniser les changements de mot de passe sur plusieurs domaines.

Synchronisation des mots de passe entre domaines Active Directory

La fonction Synchronisation des mots de passe d’ADSelfService Plus réplique les modifications apportées au mot de passe d’un utilisateur de domaine sur ses comptes d’utilisateur dans d’autres domaines Active Directory et même dans des applications d’entreprise telles que G Suite et Office 365. L’agent de synchronisation des mots de passe d’ADSelfService Plus va encore plus loin et synchronise les modifications de mot de passe natives effectuées via l’écran Ctrl+Alt+Suppr et les réinitialisations de mot de passe effectuées par les administrateurs dans la console Utilisateurs et ordinateurs d’Active Directory.

Comment configurer la synchronisation des mots de passe à l’aide d’ADSelfService Plus ?

  1. Connectez-vous à la console d’administration d’ADSelfService Plus avec les informations d'identification d'administrateur.
  2. Naviguez vers Application → Ajouter une nouvelle application.
  3. Sélectionnez l’application Active Directory.
  4. Remarque: Vous pouvez également trouver l’application Active Directory dont vous avez besoin dans la barre de recherche du volet gauche ou en sélectionnant sa première lettre dans le volet droit.

    how-do-you-configure-password-synchronization-using-adselfservice-plus

  5. Entrez le Nom de l’application et sa Description..
  6. Sélectionnez le Nom de domaine avec lequel les mots de passe doivent être synchronisés. Par exemple, si vous souhaitez synchroniser les mots de passe du Domaine A vers le Domaine B, sélectionnez le Domaine B dans le champ Nom de domaine et sélectionnez une stratégie de libre-service associée au Domaine A dans la liste déroulante Stratégies associées.
  7. Sélectionnez les stratégies appropriées dans la liste déroulante Affecter des stratégies. La synchronisation des mots de passe sera possible uniquement pour les utilisateurs qui relèvent des stratégies de libre-service sélectionnées.
  8. Cliquez sur Ajouter une application.
  9. Remarque: Dans ADSelfService Plus, vous pouvez créer plusieurs stratégies d'unité d'organisation et stratégies basées sur les groupes qui définissent les fonctionnalités de libre-service accessibles aux différents utilisateurs.

    configuring-password-sync-between-two-ad-domains

  10. Cliquez sur Enregistrer..
  11. Liaison de comptes d’utilisateurs

    Il est essentiel de lier les comptes d'utilisateurs entre les domaines pour que la synchronisation des mots de passe fonctionne. Par défaut, les comptes d'utilisateurs seront automatiquement liés en fonction de l'attribut NomdeCompteSAM AD. ADSelfService Plus vous permet également de lier les comptes d'utilisateurs en fonction d’un attribut de votre choix.

    1. Liaison automatique de compte
    2. Liaison manuelle de compte

    Comment lier des comptes automatiquement

    Pour lier automatiquement des comptes, vous devez spécifier un attribut source, qui est composé d’un ou plusieurs attributs dans AD, et un attribut cible de l’application d’entreprise. Lorsqu’un utilisateur réinitialise ou modifie un mot de passe, la modification est synchronisée uniquement lorsque la valeur d’attribut cible correspond à la valeur d’attribut source.

    Étapes de la liaison automatique des comptes d’utilisateurs:

    1. Connectez-vous à la console Web d’ADSelfService Plus en tant qu’administrateur.
    2. Naviguez vers l’onglet Application. La liste des applications configurées s’affiche.
    3. Cliquez sur le bouton Avancé pour la configuration d’application requise.
    4. automatic-account-linking

    5. Dans la fenêtre qui s’ouvre, cochez la case Activer la liaison automatique des comptes.
    6. Dans la liste déroulante Attributs sources, sélectionnez un ou plusieurs attributs du domaine AD dans lequel les mots de passe des utilisateurs seront réinitialisés ou modifiés.
    7. Remarque: Supposons que vous souhaitiez utiliser à la fois NomdeCompteSAM et les initiales comme attributs AD sources. Vous sélectionnez NomdeCompteSAM dans les attributs sources, vous cliquez sur le bouton + voisin du champ et sélectionnez les initiales dans la deuxième liste déroulante qui apparaît. Vérifiez que la valeur combinée de l’attribut source AD ​​correspond à l’attribut cible correspondant dans l’application d’entreprise. Par exemple, si la valeur NomdeCompteSAM d’un compte utilisateur est « John » et que sa valeur initiale est « A », la valeur d’attribut cible doit être « JohnA ».
    8. Dans la liste déroulante Attribut cible, sélectionnez l’attribut dont la valeur sera égale à la valeur combinée des attributs sources sélectionnés. La valeur d’attribut doit être unique pour un utilisateur ; si plusieurs comptes de domaine partagent la même valeur d’attribut, la synchronisation échouera.
    9. selecting-account-attribute

    10. Cochez la case Ajouter un domaine pour ajouter le nom du domaine à la fin de la valeur combinée des attributs sources sélectionnés. Autrement dit, si la case est cochée, NomdeCompteSAM+Initiales devient NomdeCompteSAM+Initiales@domaine.
    11. Cliquez sur Enregistrer..

    Remarque:

    • Si la valeur des attributs sources est vide, sAMAccountName sera pris comme valeur par défaut.
    • Si la valeur des attributs sources est au format d’une adresse de messagerie, le nom de domaine ne sera pas ajouté même si cette option est activée.

    Comment lier des comptes manuellement

    Si la liaison manuelle est activée, les utilisateurs peuvent associer eux-mêmes leurs comptes de domaine AD en entrant les informations d’identification du compte du domaine auquel ils souhaitent associer leur compte de domaine principal. Par exemple, s’ils souhaitent synchroniser les mots de passe de leur compte d’utilisateur du Domaine A vers leur compte du Domaine B, ils doivent:

    1. Se connecter portail des utilisateurs d’ADSelfService Plus.
    2. Aller dans Application.
    3. Cliquer sur l’application d’entreprise avec laquelle ils souhaitent lier leur compte AD.
    4. Fournir leurs informations d’identification pour ce compte d’utilisateur.
    5. Fournir le nom d’utilisateur et le mot de passe de leur compte dans le Domaine B pour lier les deux comptes.

    Étapes d’activation de la liaison manuelle de comptes:

    1. Connectez-vous à ADSelfService Plus en tant qu’administrateur.
    2. Naviguez vers l’onglet Application. La liste des applications configurées s’affiche.
    3. Cliquez sur le bouton Avancé pour la configuration d’application requise.
    4. automatic-account-linking

    5. Dans la fenêtre qui s’ouvre, videz la case Activer la liaison automatique des comptes.
    6. enable-account-attribute

    7. Cliquez sur Enregistrer..

    Consommation de licence

    Une fois que les comptes d’utilisateurs entre les deux domaines sont correctement liés, lorsqu’un utilisateur accède à ADSelfService Plus pour la première fois, seul son compte d’utilisateur dans le domaine qui lance la synchronisation des mots de passe consommera une licence d’ADSelfService Plus. Leur compte d’utilisateur lié dans l’autre domaine avec lequel les mots de passe sont synchronisés ne consommera pas de licence. Par exemple, considérez le Domaine A avec 1 000 comptes d’utilisateurs qui sont liés à 1 000 comptes d’utilisateurs dans le Domaine B pour la synchronisation des mots de passe. Lorsque les utilisateurs du Domaine A réinitialisent ou modifient leurs mots de passe et lorsque les nouveaux mots de passe sont synchronisés avec le Domaine B, seuls les comptes d’utilisateurs du Domaine A consommeront une licence. Les comptes du Domaine B ne consommeront aucune licence.

    Remarque: Si un utilisateur effectue des actions en libre-service à l’aide de ses deux comptes dans le Domaine A et le Domaine B, les licences seront consommées pour les deux comptes.

    Avantages

    • Conserver une identité sur plusieurs domaines Active Directory et applications d’entreprise.
    • Déployer des techniques d’authentification multifacteur pour sécuriser les changements de mots de passe.
    • Réduire une source majeure d’appels au service d’assistance et libérer les administrateurs informatiques pour qu’ils se concentrent sur d’autres tâches importantes.
    • Recevoir des notifications de modification de mot de passe en temps réel par SMS ou e-mail.
    • Permettre aux utilisateurs de gérer les mots de passe de domaine à tout moment, de n’importe où, avec l’application mobile ADSelfService Plus.