Aperçu

Le connecteur Active Directory Password Boss permet aux entreprises qui utilisent Microsoft Active Directory de créer et de gérer facilement des comptes dans Password Boss .

• L'Active Directory sera surveillé en permanence pour les utilisateurs nouveaux et mis à jour, et ces modifications créeront et mettront à jour instantanément les comptes d'utilisateurs dans Password Boss .
• Le connecteur Active Directory est conçu pour offrir une grande flexibilité. Vous pouvez synchroniser tout ou partie de vos utilisateurs. Vous pouvez également synchroniser des groupes d'Active Directory vers Password Boss , évitant ainsi de créer manuellement des groupes dans Password Boss .
• Le connecteur Active Directory est petit et léger et n’ajoutera aucune charge inutile à votre contrôleur de domaine.

Configuration requise

• Windows Server 2012 R2 SP1 ou version ultérieure.
• .NET Framework 4.6.1 ou version ultérieure
• RAM : 512 Mo
• Espace disque : 100 Mo
• Port TCP sortant 443 du serveur exécutant le connecteur Active Directory vers api.passwordboss.com

Compte de service

• Vous aurez besoin des identifiants d'un compte de service Active Directory (AD) qui exécutera le connecteur Active Directory. Ce compte de service devra disposer des privilèges d'administrateur sur le serveur exécutant le connecteur Active Directory.
• Si le connecteur Active Directory est installé sur un contrôleur de domaine, ajoutez votre compte de service au groupe d’administrateurs de domaine.
• Si le connecteur Active Directory doit être installé sur un serveur membre, ajoutez le compte de service au groupe d'administrateurs local du serveur.
• Vous devrez également accorder à votre compte de service les autorisations nécessaires pour voir les utilisateurs supprimés.
• Consultez cet article pour obtenir des instructions sur la création d’un compte de service.
• Si le connecteur Active Directory est installé sur un contrôleur de domaine dans un domaine unique AD, vous pouvez également utiliser le compte localsystem pour exécuter le connecteur Active Directory.

Créez un groupe dans AD pour synchroniser avec Password Boss .

Le connecteur Active Directory utilise un groupe de sécurité global AD pour déterminer les utilisateurs à synchroniser avec Password Boss . La meilleure pratique consiste à créer un nouveau groupe de sécurité dans votre AD et à y placer tous vos utilisateurs Password Boss . Cette méthode facilite la gestion des utilisateurs envoyés à Password Boss .

Conditions requises pour le compte utilisateur

Les attributs suivants doivent être présents sur chaque compte utilisateur pour être synchronisés avec Password Boss :

• Prénom
• Nom de famille
• Adresse e-mail. Il doit s'agir d'une adresse e-mail valide et routable à laquelle l'utilisateur peut recevoir des e-mails.

Exigences d'installation de la DMZ

Si vous installez Active Directory Connector dans une DMZ, les ports suivants devront être ouverts entre le serveur DMZ et votre contrôleur de domaine :

• TCP/UDP 53 - DNS
• TCP/UDP 88 - Authentification Kerberos
• TCP/UDP 289 - LDAP
• Des informations supplémentaires sur les ports peuvent être trouvées dans cet article Microsoft .

Activation du connecteur Active Directory

1. Depuis le portail, accédez à l'entreprise et sélectionnez l'onglet Connecteurs.
2. Cliquez sur Installer sur le connecteur Microsoft Active Directory
3. Copiez le jeton d'authentification. Vous devrez le saisir sur le serveur exécutant le connecteur Active Directory.
4. Cliquez sur Suivant pour passer à l’onglet Règles de synchronisation.
5. Les règles de synchronisation permettent de configurer le traitement des modifications de votre Active Directory dans Password Boss . Dans la plupart des cas, les paramètres par défaut sont recommandés. Vous trouverez plus d'informations sur les règles de synchronisation au bas de cet article.
6. Cliquez sur OK pour enregistrer vos paramètres.
7. Votre compte Password Boss est maintenant prêt à commencer à recevoir des données utilisateur de votre Active Directory.

Installation du connecteur Active Directory sur votre serveur

1. Téléchargez le programme d’installation depuis la page Active Directory du portail Password Boss .
2. Connectez-vous en tant qu'administrateur sur le serveur sur lequel le connecteur Active Directory sera installé.
   Exécutez le programme d'installation
3. Cliquez sur le bouton Installer pour accepter le contrat de licence afin de démarrer le programme d'installation.
4. Modifiez le dossier d’installation si nécessaire et cliquez sur Continuer.

Configuration du connecteur Active Directory

1. Ouvrez l’application Password Boss Active Directory Connector.
2. Dans l'onglet Configuration de l'annuaire, saisissez les identifiants du compte de service que vous utiliserez et sélectionnez le ou les domaines contenant vos comptes utilisateurs. Si la liste des domaines est vide, cela signifie que le compte de service que vous utilisez ne dispose pas des autorisations nécessaires pour accéder à AD.
3. Dans l’onglet Authentification, saisissez le jeton d’authentification que vous avez reçu lorsque vous avez activé le connecteur Active Directory sur le portail, puis cliquez sur Enregistrer.
4. Dans l'onglet, cliquez sur le bouton « Modifier » pour sélectionner le groupe AD contenant les comptes utilisateurs à synchroniser avec Password Boss . Nous vous recommandons vivement de créer un groupe AD dédié à cette opération.
   Les utilisateurs sont désormais synchronisés avec Password Boss . L'étape suivante pour la synchronisation de groupe est facultative.
5. Dans l'onglet « Groupes », vous pouvez synchroniser les groupes AD avec Password Boss . Consultez les informations complémentaires sur la synchronisation des groupes au bas de cet article.

Comprendre le processus de synchronisation

Lorsqu'un compte utilisateur est envoyé à Password Boss , le compte passera par les étapes suivantes :

Créer un compte : cela signifie que les informations utilisateur ont été reçues par Password Boss et que le compte est en cours de création. Ce processus ne prend généralement que quelques secondes par compte.

Actif - Après avoir créé un compte utilisateur, celui-ci apparaîtra comme actif sur le portail. Un e-mail contenant un mot de passe temporaire lui sera alors envoyé pour se connecter à son compte. Lors de sa première connexion, l'utilisateur recevra également un code de vérification par e-mail qu'il devra saisir dans l'application sur son ordinateur ou son appareil mobile. Une fois le code de vérification accepté, il devra modifier son mot de passe principal.

En attente d'approbation - Ce statut peut se produire pour l'une des 2 raisons suivantes.

• Dans les règles de synchronisation du connecteur AD sur le portail, vous avez choisi de créer des comptes en attente dans Password Boss qui doivent être approuvés manuellement.
• Vous avez synchronisé plus d'utilisateurs avec Password Boss que vous n'en avez acheté. Vous devrez soit supprimer certains utilisateurs de votre compte Password Boss , soit acheter des licences supplémentaires.

Désactivé - Lorsqu'un compte utilisateur est supprimé de la synchronisation, soit en supprimant l'utilisateur dans AD, soit en supprimant l'utilisateur du groupe synchronisant les utilisateurs avec Password Boss , l'action par défaut consiste à désactiver le compte utilisateur dans Password Boss .