LDAP
Lors de l'utilisation d'ONLYOFFICE DocSpace, il vous faut premièrement créer les comptes pour tous les employés. La création de plus de 50 comptes nouveaux exigera beaucoup de temps. L'option Paramètres LDAP permet d'importer les utilisateurs et les groupes depuis le serveur LDAP (par ex. OpenLDAP Server ou Microsoft Active Directory) vers DocSpace en un rien de temps. Tous les nouveaux utilisateurs n'ont pas besoin de retenir les nouveaux mots de passe et identifiants, car il est possible de se connecter à DocSpace en utilisant les informations d'identification stockées sur le serveur LDAP.
Les utilisateurs seront importés immédiatement après l'enregistrement des paramètres. Les utilisateurs ajoutés ultérieurement seront importés lors de leur première authentification sur le portail.
C'est une option Payante (disponible uniquement pour le plan payant Business).
Importer des utilisateurs et des groupes
MaxPageSize = 1000 en utilisant ntdsutil. Veuillez consulter des instructions détaillées ici.
- Connectez-vous à votre ONLYOFFICE DocSpace.
- Utilisez le menu
dans le coin inférieur gauche et sélectionnez l'option Paramètres. - Passez à la page Paramètres LDAP dans la section Intégration sur le panneau latéral gauche.
- Activez l'option Authentification LDAP (appuyez sur Afficher à côté du titre section Paramètres LDAP pour afficher le formulaire de configuration si ce n'est pas la première fois que vous modifiez les paramètres).
- Cochez la case Activer StartTLS pour créer une connexion sécurisée à l'aide du protocole StartTLS (dans ce cas, le port 389 est utilisé par défaut). Cochez la case Activer SSL pour utiliser le protocole SSL (dans ce cas, le port 636 est le port d'écoute).
- Remplissez les champs obligatoires pour importer des utilisateurs (les champs obligatoires sont identifiés par un astérisque) :
Avertissement Veuillez noter que, si vous avez déjà importé des utilisateurs, et si vous avez déjà modifié quelques paramètres (par exemple, Serveur, Filtre d'utilisateurs, DN de l'utilisateur, Filtre du groupe, DN du Groupe), tous les utilisateurs existants et leurs données, y compris les documents et les e-mails, etc., qui ne correspondent pas aux nouveaux paramètres seront DÉSACTIVÉS. Nous vous recommandons vivement de créer une sauvegarde avant de modifier ces paramètres.- Dans le champ Serveur, saisissez l'URL du serveur LDAP sous la forme protocol://host, par ex. LDAP://example.com pour une connexion LDAP standard ou LDAPS://example.com pour une connexion LDAP sécurisée via SSL. Vous pouvez définir l'adresse IP du serveur au lieu du nom DNS : LDAP://192.168.3.202 ;
- définissez le Numéro du port qui est utilisé pour accéder au serveur LDAP. Le port par défaut pour une connexion LDAP standard est 389. Si vous avez activé l'option StartTLS, le port par défaut est aussi 389. Lors de l'activation de l'option SSL, le port 636 est utilisé ;
- dans le champ DN de l'utilisateur (User Distinguished Name), saisissez le chemin absolu au répertoire de plus haut niveau qui contient les utilisateurs à importer. Ce paramètre définit le nœud de début de la recherche. Vous pouvez définir un répertoire racine, par ex.
dc=example,dc=com, pour rechercher les utilisateurs dans tout le répertoire, ou définir une zone de recherche, par ex.ou=groupname,dc=example,dc=com, pour rechercher les utilisateurs dans un groupe spécifique ; - définissez l'Attribut de login (un attribut de la fiche d'utilisateur correspondant au nom d'utilisateur que les utilisateurs du serveur LDAP vont utiliser pour se connecter à ONLYOFFICE) ;
Les paramètres pour le serveur OpenLDAP :
- Filtre d'utilisateurs -
(uid=*) - Attribut de login -
uid
Les paramètres pour Active Directory :
- Filtre d'utilisateurs -
(userPrincipalName=*) - Attribut de login -
sAMAccountName
- Filtre d'utilisateurs -
- remplissez le champ Filtre d'utilisateurs si vous avez besoin de définir les critères de recherche. Le filtre par défaut
(uid=*)ou(userPrincipalName=*)permet d'importer tous les utilisateurs ;Vous pouvez retrouver les exemples de syntaxe du filtre d'utilisateurs ici.
- La section Mappage d'attributs permet de synchroniser les données d'utilisateur de DocSpace avec les attributs dans la fiche utilisateur du serveur LDAP. Cliquez sur le bouton Ajouter attribut, choisissez le champ approprié de la liste et définissez l'attribut utilisateur du serveur LDAP. Les paramètres suivants sont définis par défaut, mais vous pouvez les modifier au besoin :
- Prénom (l'attribut de la fiche d'utilisateur correspondant au prénom de l'utilisateur)
- Nom (l'attribut de la fiche d'utilisateur correspondant au nom de l'utilisateur)
- Courrier (l'attribut de la fiche d'utilisateur correspondant à l'adresse e-mail de l'utilisateur)
- Photo de profil (l'attribut de la fiche d'utilisateur correspondant à la photo de l'utilisateur)
Vous pouvez également ajouter les attributs suivants :
- Quota d'utilisateur — définir le quota de stockage pour l'utilisateur, saisissez le nombre entier pour cet attribut dans le référentiel LDAP. Le quota est exprimé en octets. Cet attribut ne peut être configuré que lors de la première configuration et peut être modifié manuellement dans la section Comptes.
- Type d'utilisateur — tous les utilisateurs seront ajoutés à DocSpace avec le type sélectionné (utilisateur, administrateur de salle, administrateur DocSpace). Le type Utilisateur est défini par défaut. L'utilisateur peut uniquement accéder aux salles auxquelles il est invité par les administrateurs et ne peut pas créer de salles, dossiers ou fichiers. Sélectionnez un autre type pour accorder plus d'autorisations. Sinon, il est possible de modifier manuellement le type dans la section Contacts.
- Activez l'option Appartenance au groupe si vous souhaitez ajouter des groupes du serveur LDAP à votre DocSpace et remplissez les champs obligatoires :
Veuillez noter que ce ne sont que les utilisateurs appartenant à au moins un groupe qui seront ajoutés.
Avertissement Veuillez noter que, si vous avez déjà importé des utilisateurs, et si vous avez déjà modifié quelques paramètres (par exemple, Serveur, Filtre d'utilisateurs, DN de l'utilisateur, Filtre du groupe, DN du Groupe), tous les utilisateurs existants et leurs données, y compris les documents et les e-mails, etc., qui ne correspondent pas aux nouveaux paramètres seront DÉSACTIVÉS. Nous vous recommandons vivement de créer une sauvegarde avant de modifier ces paramètres.- dans le champ DN du groupe (Group Distinguished Name), saisissez le chemin absolu au répertoire de plus haut niveau qui contient les groupes à importer, par ex.
ou=Groups,dc=example,dc=com. - remplissez le champ Filtre de groupe si vous avez besoin de définir les critères de recherche. Le filtre par défaut
(objectClass=posixGroup)ou(objectClass=group)permet d'importer tous les groupes. - les paramètres suivants sont définis par défaut, mais vous pouvez les modifier au besoin :
- Attribut d'utilisateur (l'attribut pour déterminer si l'utilisateur appartient aux groupes)
- Attribut du nom du groupe (l'attribut correspondant au nom du groupe auquel l'utilisateur appartient)
- Attribut de groupe (l'attribut qui détermine les utilisateurs appartenant à un groupe)
Les paramètres pour le serveur OpenLDAP :
- Filtre de groupe -
(objectClass=posixGroup) - Attribut d'utilisateur -
uid - Attribut de groupe -
memberUid
Les paramètres pour Active Directory :
- Filtre de groupe -
(objectClass=group) - Attribut d'utilisateur -
distinguishedName - Attribut de groupe -
member
- dans le champ DN du groupe (Group Distinguished Name), saisissez le chemin absolu au répertoire de plus haut niveau qui contient les groupes à importer, par ex.
- Activez l'option Authentification si l'utilisateur Windows actuel n'a pas de droits en lecture sur le serveur LDAP / Active Directory. Dans les champs Login et Mot de passe, saisissez les informations d'identification de l'utilisateur qui a le droit de lecture du serveur LDAP (par défaut c'est le nom d'utilisateur et le mot de passe de la session Windows courante).
- Cochez la case Envoyer une lettre de bienvenue dans la section Paramètres avancés si vous souhaitez envoyer les invitations à tous les nouveaux utilisateurs par e-mail. La lettre de bienvenue contient le bouton permettant aux utilisateurs de passer à la page de connexion DocSpace pour activer leur adresse e-mail. Cette option n'est disponible que lorsque le mappage de l'attribut courrier est paramétré.
- Cochez la case Désactiver la validation d'e-mail dans la section Paramètres avancés si vous souhaitez désactiver l'activation des e-mails pour tous les nouveaux utilisateurs LDAP. Lors de l'activation de cette option, les utilisateurs LDAP n'auront pas besoin de vérifier leur adresse électronique lors de la première autorisation dans DocSpace.
- Cliquez sur le bouton Enregistrer.
- Dans la fenêtre de validation d'importation, cliquez sur OK pour démarrer l'importation d'utilisateurs.
Il faudra du temps pour importer en fonction du nombre d'utilisateurs et de groupes, des spécifications de votre ordinateur, etc.
Login Attribute + @ + LDAP Domain.
- S'il y a déjà un utilisateur avec une pareille adresse e-mail dans DocSpace, cet utilisateur sera automatiquement synchronisé avec l'utilisateur LDAP.
- Si l'adresse e-mail n'existe pas, l'utilisateur ne recevra pas de notifications de DocSpace.
Il y a des fonctionnalités particulières :
- la modification des droits d'accès via LDAP n'affecte pas le propriétaire de DocSpace ;
- lorsque le propriétaire de DocSpace est exclu du filtre d'utilisateurs/de groupe, il cesse d'être l'utilisateur LDAP mais il reste toujours actif ;
- une fois LDAP désactivé, tous les droits d'accès qui ont été attribués via LDAP sont retirés ;
- si l'utilisateur qui a désactivé LDAP devrait perdre ses droits d'administrateur, ses droits d'administrateur ne sont pas affectés et l'utilisateur recevra une notification ;
- lorsque l'utilisateur est exclu du filtre d'utilisateurs/de groupe, il restera actif et recevra une notification que le mot de passe LDAP n'est plus actif et qu'il doit le modifier sur la page de configuration du profil ;
- si l'utilisateur essaie de retirer ses propres droits d'administrateur (via les paramètres de droits d'accès ainsi qu'en s'excluant lui-même du filtre d'utilisateur/de groupe), ses droits d'administrateur resteront inchangés et l'utilisateur recevra une notification.
Authentification des utilisateurs LDAP
Chaque utilisateur importé peut se connecter à DocSpace en utilisant le nom d'utilisateur formé de cette façon :
- Attribut login, par ex.
Andrew.Stone - Attribut login + @ + Domaine LDAP, par ex.
Andrew.Stone@example.com - Domaine LDAP + \ + Attribut login (les noms de domaine incomplets sont pris en charge), par ex.
example\Andrew.Stone
L'option Se connecter au domaine est disponible sur la page d'authentification, permettant de transférer le mot de passe de manière explicite. Les utilisateurs du portail qui ne font pas partie du domaine peuvent désactiver cette option. Dans ce cas, le mot de passe haché est transféré.
Les profils des utilisateurs importés dans le module Comptes seront indiqués à l'aide de l'icône
pour l'administrateur de DocSpace. On ne peut pas modifier les champs du profil utilisateur qui ont été importés en utilisant LDAP, sauf les champs Type d'utilisateur et Quota d'utilisateur qui sont définis initialement.
Synchronisation des données LDAP
Lorsque vous modifiez les données sur votre serveur LDAP (par ex. ajoutez de nouveaux utilisateurs/groupes, modifiez le nom des groupes existants ou modifiez les données sur la fiche d'utilisateur), vous pouvez facilement synchroniser toutes les données de DocSpace avec votre serveur LDAP.
Pour paramétrer les options de synchronisation, activez l'option Synchronisation Automatique et définissez la période pour mettre les informations à jour automatiquement : il est possible de synchroniser les données chaque heure à une minute précise, ou chaque jour à une heure spécifique, ainsi que chaque semaine ou chaque mois à un jour et une heure spécifique. Cliquez sur Enregistrer pour valider la configuration. Il est également possible de synchroniser les données manuellement en cliquant sur le bouton Synchroniser les utilisateurs en bas de la page LDAP. Vous pouvez également utiliser le bouton Enregistrer en dessous de la section Paramètres LDAP.
Les renseignements sur un utilisateur individuel seront aussi synchronisés lors de la connexion de cet utilisateur au portail.