Pour connecter le connecteur Active Directory à votre compte Password Boss , vous aurez besoin des éléments suivants :

Configuration requise

• Windows Server 2012 R2 SP1 ou version ultérieure.
• .NET Framework 4.6.1 ou version ultérieure
• RAM : 512 Mo
• Espace disque : 100 Mo
• Port TCP sortant 443 du serveur exécutant le connecteur Active Directory vers api.passwordboss.com

Compte de service

• Vous aurez besoin des identifiants d'un compte de service Active Directory (AD) qui exécutera le connecteur Active Directory. Ce compte de service devra disposer des privilèges d'administrateur sur le serveur exécutant le connecteur Active Directory.
  • Si le connecteur Active Directory est installé sur un contrôleur de domaine , ajoutez votre compte de service au groupe d’administrateurs de domaine.
  • Si le connecteur Active Directory doit être installé sur un serveur membre , ajoutez le compte de service au groupe d'administrateurs local du serveur.
  • Vous devrez également accorder à votre compte de service les autorisations nécessaires pour voir les utilisateurs supprimés .
  • Consultez cet article pour obtenir des instructions sur la création d’un compte de service.
• Si le connecteur Active Directory est installé sur un contrôleur de domaine dans un domaine unique AD, vous pouvez également utiliser le compte localsystem pour exécuter le connecteur Active Directory.

Créer un groupe AD à synchroniser avec Password Boss

Le connecteur Active Director utilise un groupe de sécurité global AD pour déterminer les utilisateurs à synchroniser avec Password Boss . La meilleure pratique consiste à créer un nouveau groupe de sécurité dans votre AD et à y placer tous vos utilisateurs Password Boss . Cette méthode facilite la gestion des utilisateurs envoyés à Password Boss .

Conditions requises pour le compte utilisateur

Les attributs suivants doivent être présents sur chaque compte utilisateur pour être synchronisés avec Password Boss :

• Prénom
• Nom de famille
• Adresse e-mail. Il doit s'agir d'une adresse e-mail valide et routable, à laquelle l'utilisateur peut recevoir des e-mails.

Exigences d'installation du DZM

Si vous installez Active Directory Connector dans une DMZ, les ports suivants devront être ouverts entre le serveur DMZ et votre contrôleur de domaine :

• TCP/UDP 53 - DNS
• TCP/UDP 88 - Authentification Kerberos
• TCP/UDP 289 - LDAP

Des informations supplémentaires sur les ports peuvent être trouvées dans cet article Microsoft .

Activation du connecteur Active Directory sur votre compte

1. La première étape consiste à activer le connecteur Active Directory sur votre compte . Cette opération s'effectue depuis le portail Password Boss . Connectez-vous au portail en tant qu'administrateur et accédez à la section « Connecteurs » .
2. Cliquez sur Installer pour démarrer le processus d’installation.
3. Copiez le jeton d'authentification. Vous devrez le saisir sur le serveur exécutant le connecteur Active Directory.
4. Cliquez sur Suivant pour passer à l’ onglet Règles de synchronisation .
5. Les règles de synchronisation permettent de configurer le traitement des modifications de votre Active Directory dans Password Boss . Dans la plupart des cas, les paramètres par défaut sont recommandés. Vous trouverez plus d'informations sur les règles de synchronisation au bas de cet article .
6. Cliquez sur OK pour enregistrer vos paramètres.
7. Votre compte Password Boss est maintenant prêt à commencer à recevoir des données utilisateur de votre Active Directory.

Installation du connecteur Active Directory sur votre serveur

1. Téléchargez le programme d’installation depuis la page Active Directory du portail Password Boss .
2. Connectez-vous en tant qu'administrateur sur le serveur sur lequel le connecteur Active Directory sera installé.
3. Exécutez le programme d'installation
4. Cliquez sur le bouton Installer pour accepter le contrat de licence et démarrer le programme d'installation.
5. Modifiez le dossier d'installation si nécessaire et cliquez sur Continuer .

Configuration du connecteur Active Directory

1. Ouvrez l’application Password Boss Active Directory Connector.
2. Dans l'onglet Configuration de l'annuaire , saisissez les identifiants du compte de service que vous utiliserez et sélectionnez le ou les domaines contenant vos comptes utilisateurs. Si la liste des domaines est vide, cela signifie que le compte de service que vous utilisez ne dispose pas des autorisations nécessaires pour accéder à AD.
3. Dans l’onglet Authentification , saisissez le jeton d’authentification que vous avez reçu lorsque vous avez activé le connecteur Active Directory sur le portail, puis cliquez sur Enregistrer.
4. Dans l'onglet, cliquez sur le bouton « Modifier » pour sélectionner le groupe AD contenant les comptes utilisateurs à synchroniser avec Password Boss . Nous vous recommandons vivement de créer un groupe AD dédié à cette opération.
5. Les utilisateurs sont désormais synchronisés avec Password Boss . L'étape suivante pour la synchronisation de groupe est facultative.
6. Dans l'onglet « Groupes », vous pouvez synchroniser les groupes AD avec Password Boss . Consultez les informations complémentaires sur la synchronisation des groupes au bas de cet article.

Comprendre le processus de synchronisation

Lorsqu'un compte utilisateur est envoyé à Password Boss , le compte passera par les étapes suivantes :

Création d'un compte : cela signifie que les informations utilisateur ont été reçues par Password Boss et que le compte est en cours de création. Ce processus ne prend généralement que quelques secondes par compte.

Actif - Une fois créé, un compte utilisateur apparaît comme actif sur le portail. Un e-mail contenant un mot de passe temporaire lui est alors envoyé pour se connecter à son compte. Lors de sa première connexion, l'utilisateur reçoit également un code de vérification par e-mail qu'il doit saisir dans l'application sur son ordinateur ou son appareil mobile. Une fois le code de vérification accepté, il doit modifier son mot de passe principal.

En attente d'approbation - Ce statut peut se produire pour l'une des 2 raisons suivantes.

1. Dans les règles de synchronisation du connecteur AD sur le portail, vous avez choisi de créer des comptes en attente dans Password Boss qui doivent être approuvés manuellement.
2. Vous avez synchronisé plus d'utilisateurs avec Password Boss que vous n'en avez acheté. Vous devrez soit supprimer des utilisateurs de votre compte Password Boss , soit acheter des licences supplémentaires.

Désactivé - Lorsqu'un compte utilisateur est supprimé de la synchronisation, soit en supprimant l'utilisateur dans AD, soit en supprimant l'utilisateur du groupe qui synchronise les utilisateurs avec Password Boss , l'action par défaut consiste à désactiver le compte utilisateur dans Password Boss .

Règles de synchronisation

Les règles de synchronisation déterminent la manière dont les modifications apportées dans AD sont répercutées dans Password Boss . Les règles de synchronisation sont configurées depuis le portail Password Boss en modifiant votre connecteur Active Directory.

1. Lorsqu'un nouveau compte utilisateur est synchronisé depuis Active Directory vers Password Boss

• Créez un compte utilisateur dans Password Boss . Ce paramètre est recommandé et convient parfaitement à la plupart des entreprises.
• Créez un compte utilisateur en attente dans Password Boss , qu'un administrateur doit approuver. Lorsque ce paramètre est sélectionné, les nouveaux comptes restent en attente jusqu'à leur approbation manuelle par un administrateur sur le portail Password Boss .

2. Lorsqu'un compte utilisateur est supprimé dans Active Directory

• Désactivez le compte utilisateur dans Password Boss . Ce paramètre est recommandé et convient à la plupart des entreprises. Remarque : il n’existe aucun moyen de supprimer automatiquement les comptes Password Boss depuis le connecteur Active Directory. Il s’agit d’un mécanisme de sécurité permettant d’éviter la suppression accidentelle de comptes Password Boss en cas d’erreur dans AD.
• Supprimez l'utilisateur de votre compte et convertissez-le en compte personnel. Ce paramètre est généralement utile uniquement pour les entreprises dont les utilisateurs utilisent leur adresse e-mail personnelle pour leurs comptes Password Boss .

3. Lorsqu'un compte utilisateur est désactivé dans Active Directory

• Désactivez le compte utilisateur dans Password Boss . Ce paramètre est recommandé et convient à la plupart des entreprises.
• Supprimez l'utilisateur de votre compte et convertissez-le en compte personnel. Ce paramètre est généralement utile uniquement pour les entreprises dont les utilisateurs utilisent leur adresse e-mail personnelle pour leurs comptes Password Boss .

4. Lorsqu'un compte Active Directory est supprimé de la synchronisation avec Password Boss

• Désactivez le compte utilisateur dans Password Boss . Ce paramètre est recommandé et convient à la plupart des entreprises.
• Supprimez l'utilisateur de votre compte et convertissez-le en compte personnel. Ce paramètre est généralement utile uniquement pour les entreprises dont les utilisateurs utilisent leur adresse e-mail personnelle pour leurs comptes Password Boss .

Synchronisation de groupe

Les groupes dans Password Boss sont utilisés par vos utilisateurs lorsqu'ils partagent leurs mots de passe dans l'application Password Boss . Si vous avez créé des groupes dans AD utiles à vos utilisateurs pour partager leurs mots de passe, l'activation de la synchronisation des groupes dans Active Directory Connector vous permettra d'administrer les groupes dans AD et de synchroniser les modifications avec Password Boss .

Lorsque la synchronisation des groupes est activée, les utilisateurs configurés pour se synchroniser avec Password Boss (onglet « Utilisateurs » du connecteur Active Directory) auront également des groupes associés à leurs comptes dans Password Boss . Password Boss synchronisera les groupes de sécurité globaux .

L'activation de la synchronisation de groupe n'ajoute aucun utilisateur supplémentaire à votre compte Password Boss . Seuls les utilisateurs du groupe répertorié dans l'onglet Utilisateurs du connecteur Active Directory de votre serveur Windows seront synchronisés avec Password Boss .

Par exemple, si vous avez les utilisateurs et groupes suivants :

• Utilisateurs AD = Utilisateur1, Utilisateur2, Utilisateur3, Utilisateur4, Utilisateur5
• Groupe = « Utilisateurs Password Boss » - Utilisateur1, Utilisateur2, Utilisateur3
• Groupe = « Marketing » - Utilisateur1
• Groupe = " HR " - Utilisateur2, Utilisateur4
• Groupe = « Finance » - Utilisateur3, Utilisateur5

Voici comment les utilisateurs et les groupes seront synchronisés avec Password Boss

1. Dans l' onglet Utilisateurs du connecteur Active Directory, le groupe « Utilisateurs Password Boss » est sélectionné
2. Dans l' onglet Groupes du connecteur Active Directory, « Marketing » et « RH » sont sélectionnés
3. Les utilisateurs suivants se synchroniseront avec Password Boss : Utilisateur1, Utilisateur2, Utilisateur3
4. Les groupes suivants se synchroniseront avec Password Boss : « Marketing », « RH »
5. Dans Password Boss le groupe « Marketing » contiendra : Utilisateur1
6. Dans Password Boss le groupe « RH » contient : Utilisateur 2. Utilisateur 4 n'est pas synchronisé, car il ne fait pas partie du groupe « Utilisateurs Password Boss ».
7. Dans Password Boss le groupe « Finance » n'est pas synchronisé car le groupe n'est pas sélectionné dans l'onglet Groupes du connecteur Active Directory.