Docs

Types d'authentification des utilisateurs

Plusieurs méthodes d'authentification des utilisateurs sont disponibles pour se connecter à l'interface Web de SKOOR Engine :

  • Authentification locale

  • Authentification par rapport à un LDAP ou Active Directory basé sur le nom d'utilisateur et le mot de passe

  • Authentification par rapport à un LDAP ou Active Directory basé sur l'appartenance d'un utilisateur à un groupe LDAP/Active Directory spécifique

  • Connexion basée sur un jeton de fournisseur d'authentification externe (OIDC), tel que Keycloak ou Azure AD

L'authentification locale est toujours disponible. Cependant, les autres ne sont disponibles que si la configuration correspondante a été préparée sur le système.

Utilisateur authentifié localement

Les informations d'identification de ce type d'utilisateur sont stockées dans la base de données locale SKOOR Engine . Il s'agit du type d'utilisateur par défaut. Un mot de passe ou une adresse e-mail valide doit être défini lors de la création d'un utilisateur authentifié localement.

Les opérations utilisateur suivantes ne peuvent être effectuées que par un utilisateur administrateur :

  • Changer le rôle de l'utilisateur

  • Modifier le type d'utilisateur

  • Supprimer l'utilisateur

  • Modifier l'appartenance à un groupe d'utilisateurs

Un utilisateur authentifié localement peut être lié à des groupes d'utilisateurs associés à des utilisateurs gérés LDAP, mais l'utilisateur n'hérite d'aucun des paramètres du groupe.

Utilisateur authentifié à distance

Pour authentifier un utilisateur par rapport à AD/LDAP, sélectionnez le paramètre Authentifié à distance dans sa liste déroulante Type d'utilisateur . Le nom d'utilisateur doit être identique à celui utilisé dans l'annuaire AD/LDAP. Même si les informations d'identification de l'utilisateur seront vérifiées par rapport à LDAP, un mot de passe initial doit toujours être défini lors de la configuration d'un nouvel utilisateur authentifié à distance . Cependant, n'importe quel mot de passe peut être choisi.

Une fois que l'utilisateur est configuré et qu'une connectivité réseau au server AD/LDAP est disponible à partir de SKOOR Engine , connectez-vous à l'interface Web de SKOOR Engine à l'aide des informations d'identification LDAP. Si la connexion réussit, le mot de passe initialement défini est remplacé par le mot de passe LDAP valide. Le mot de passe est mis en cache localement pour permettre la connexion en cas d'échec de la connexion au server LDAP.

La modification du mot de passe d'un utilisateur authentifié LDAP n'est pas prise en charge depuis SKOOR Engine . Le mot de passe doit être modifié dans LDAP.

Les utilisateurs authentifiés localement existants peuvent être remplacés par LDAP authentifié

Les utilisateurs authentifiés LDAP existants peuvent être remplacés par des utilisateurs authentifiés localement . Le mot de passe LDAP actuel sera enregistré et utilisé pour l'authentification locale

Utilisateur géré LDAP

Un utilisateur géré LDAP n'est pas créé manuellement dans SKOOR Engine . Il est créé automatiquement dès qu'un utilisateur se connecte et appartient à un groupe spécifique dans l'annuaire LDAP.

Lorsqu'un groupe d'utilisateurs SKOOR Engine est créé (voir la section Groupes d'utilisateurs ), le nom du groupe LDAP doit être configuré en tant que groupe distant dans la boîte de dialogue Ajouter un nouveau groupe d'utilisateurs .

Une fois qu'un nom de groupe distant est saisi, des paramètres supplémentaires peuvent être configurés pour le groupe :

Définissez le rôle d'utilisateur requis pour le groupe LDAP. En outre, une page de démarrage peut être choisie.

Une fois qu'un utilisateur essaie de se connecter, une authentification est effectuée auprès du server LDAP configuré. Si la connexion réussit et que l'utilisateur est membre du groupe LDAP configuré, l'utilisateur est automatiquement créé en tant qu'objet sous /root /Users /Users :

Dans cet exemple, l'utilisateur testldap_b a été automatiquement créé en tant que type d'utilisateur Géré à distance . L'utilisateur ne peut pas être modifié. Le nom complet, le numéro de téléphone et l'adresse e-mail sont fournis par l'annuaire LDAP si les mappages respectifs sont configurés (voir Configuration de l'authentification LDAP ). Le compte d'utilisateur nouvellement créé est automatiquement ajouté au groupe d'utilisateurs SKOOR LDAP correspondant.

Si un utilisateur est membre de plusieurs groupes dans l'annuaire LDAP et que ces groupes sont également configurés dans SKOOR Engine , l'objet utilisateur est lié à tous ces groupes. Il héritera des privilèges les plus élevés (par exemple, le rôle d'utilisateur Administrateur ) des groupes liés.

Un utilisateur géré LDAP ne peut pas être lié à des groupes d'utilisateurs supplémentaires.

Un utilisateur géré LDAP peut être supprimé manuellement (par des utilisateurs administrateurs) ou automatiquement après un nombre de jours prédéfini.

L'appartenance au groupe LDAP est déterminée à l'aide de l'attribut memberOf de l'utilisateur. L'attribut peut être modifié en modifiant l'entrée ldap_item_group dans le fichier de configuration server -server.cfg.


Previous
Vacances
Next
Utilisateurs