Skip to main content

Type de fournisseur d'authentification LDAP

LDAP (Lightweight Directory Access Protocol) est une norme Internet qui permet d'accéder à des informations provenant de différents systèmes et applications informatiques. LDAP utilise un ensemble de protocoles pour accéder aux répertoires contenant des informations et extraire ces dernières. Un répertoire est similaire à une base de données, mais contient des informations plus descriptives et basées sur des attributs. Les informations d'un répertoire sont généralement lues plus souvent qu'elles ne sont écrites ou modifiées. LDAP permet à une application, fonctionnant sur la plate-forme informatique d'une école, d'obtenir des informations telles que des noms d'utilisateur et des mots de passe.

La centralisation de ce type d'informations simplifie votre travail en vous dotant d'un point d'administration unique. Les informations sur les utilisateurs sont fournies à un seul endroit, ce qui réduit le stockage des informations en double. Cela conduit également à une réduction des besoins de maintenance. L'authentification LDAP permet également aux utilisateurs d'avoir un seul identifiant et mot de passe de connexion pour accéder à différentes applications.

Astuce

En savoir plus sur la création de fournisseurs d'authentification

À propos de LDAPS et LDAP avec StartTLS

Note

Les versions précédentes de Blackboard permettaient d'ajouter du LDAP simple sans chiffrement (« NoSSL »). À partir de la version 3900.84, les nouveaux fournisseurs « NoSSL » ne peuvent pas être créés et même si les fournisseurs existants continueront de fonctionner, s'ils sont mis à jour pour utiliser LDAPS/StartTLS, il ne sera pas possible de les reconvertir en NoSSL. Anthology recommande aux clients qui utilisent encore NoSSL de migrer rapidement vers une configuration sécurisée.

La version originale du protocole LDAP date des années 1980 et ne prenait en charge aucune sécurité de connexion. LDAPS a été la première tentative d'intégrer ce que l'on appelait alors « SSL » (aujourd'hui : TLS). LDAPS utilise un port sécurisé spécial uniquement. L'établissement d'une connexion nécessite l'utilisation du port approprié selon qu'il est sécurisé ou non. Au fil du temps et à mesure que l'utilisation de la connectivité non sécurisée diminuait, cet aspect est devenu moins pertinent.

Le protocole LDAPS n'a jamais été officiellement normalisé. L'IETF a normalisé « LDAP avec chiffrement » via une approche complètement différente dans le document RFC 2830 en utilisant StartTLS. Dans cette configuration, le serveur LDAP n'écoute qu'un seul port. Le client LDAP se connecte sans sécurité, puis envoie une commande « STARTLS », et le serveur et le client LDAP négocient la TLS (sécurité de la couche de transport).

Le choix entre LDAPS et StartTLS doit être fait par chaque établissement en fonction de ses besoins, mais aussi de ce qui est pris en charge par votre serveur d'annuaire ou d'autres considérations architecturales. Si l'une ou l'autre option peut être choisie, la commande StartTLS, normalisée par l'IETF et plus récente, est généralement privilégiée. Certains experts en sécurité considèrent que le protocole LDAPS est obsolète et a été implicitement déprécié par la diffusion du document RFC 2830, mais il n'y a pas de consensus uniforme.

Conditions préalables à la sécurité

Il vous faut un certificat signé commercialement avec une chaîne de confiance complète envers une autorité de certification approuvée par le magasin de clés « CACerts » par défaut de Java 11. Autrement, la connexion échouera. Des certificats supplémentaires peuvent ne pas être installés dans les magasins de clés. Les certificats auto-signés ne sont pas pris en charge.

Votre autorité de certification (CA) signera généralement votre certificat non pas avec son certificat racine hautement fiable, mais avec un certificat intermédiaire lui-même signé par cette racine. Cet intermédiaire doit être envoyé avec le certificat de serveur, car sa présence est nécessaire pour compléter la chaîne de vérification à une racine de confiance. En règle générale, cela se fait en ajoutant les certificats intermédiaires au certificat de serveur. Pour plus d'informations, consultez la documentation de votre serveur d'annuaire LDAP et celle de votre émetteur de certificat.

  • Le serveur d'annuaire LDAP et tous les boîtiers intermédiaires doivent prendre en charge les suites de chiffrement acceptées par Java 11 et les versions ultérieures. Par exemple : TLS 1.0 n'est plus pris en charge.

  • Le serveur d'annuaire LDAP et tous les boîtiers intermédiaires doivent accepter les connexions entrantes provenant des adresses IP de sortie SaaS de votre région. Contactez l'assistance Blackboard pour obtenir ces informations.

Configurer un fournisseur LDAP

  1. Indiquez l'URL de votre serveur LDAP, par exemple ldaps : //directory.example.edu:636 pour LDAPS ou ldap : //directory.example.edu:389 pour LDAP avec StartTLS.

  2. Définissez la version SSL sur StartTLS ou LDAPS.

  3. Indiquez le DN de recherche de base, point de départ dans la structure d'annuaire LDAP pour rechercher un utilisateur Blackboard. Une recherche dans la sous-arborescence est effectuée depuis ce point (Par ex : dc=contact,dc=exemple,dc=edu). Vous pouvez créer et configurer deux fournisseurs LDAP entièrement distincts avec des Recherches dans la base DN différentes, qui pointent vers le même serveur LDAP physique. Vous pouvez le faire si vous souhaitez réduire la charge sur le serveur LDAP en ajoutant une « marque » à education.blackboard.com, puis en configurant le fournisseur LDAP pour qu'il recherche uniquement dc=people, dc=education, dc=example, dc=edu au lieu de rechercher dans l'arborescence entière.

    Astuce

    Vous pouvez ajouter plusieurs fournisseurs LDAP avec les mêmes Recherches dans la base DN pointant vers différents serveurs physiques. Si un serveur LDAP ne répond pas, la structure interroge le suivant. En savoir plus sur l'ordre des fournisseurs.

  4. Fournissez l'attribut de recherche : l'attribut LDAP contenant la valeur correspondant au nom d'utilisateur Blackboard ou à l'identifiant du lot défini à l'étape Créer un fournisseur. Cette propriété est spécifique au domaine. Pour Active Directory (AD), la propriété utilisée est généralement sAMAccountName, et pour Novell, généralement uid. Pour Active Directory, la plupart des clients intégrant utilisent sAMAccountName comme attribut de recherche. Ceci correspond à l'ancien style (avant Windows 2000) de nom de connexion, qui était limité à 20 caractères maximum. L'administrateur de votre domaine AD est en mesure de confirmer s'il s'agit de l'attribut correct ou si vous pouvez ou devez utiliser UserPrincipalName.

    Note

    Certains serveurs LDAP comme Active Directory nécessitent un utilisateur privilégié pour se connecter au répertoire. Le fournisseur LDAP a besoin du nom unique (ou DN, pour Distinguished Name) et du mot de passe de l'utilisateur. Généralement, on utilise deux options pour se connecter via un compte d'utilisateur privilégié :

    • Créez un utilisateur dans le répertoire. Attribuez à cet utilisateur le droit d'accès en lecture seule. Utilisez ce compte utilisateur en tant qu'utilisateur privilégié.

    • Utilisez un compte d'utilisateur de répertoire existant en tant qu'utilisateur privilégié.

    Ce compte doit accéder au serveur LDAP pour chaque utilisateur qui tente de se connecter à Blackboard. Il est préférable de sélectionner les options L'utilisateur ne peut pas changer de mot de passe et Le mot de passe n'expire jamais.

    Il s'agit d'un compte de service. L'administrateur LDAP peut définir un emplacement spécifique dans le répertoire pour ces types de comptes.

    Astuce

    Lors de la première configuration du compte, utilisez un mot de passe basique. Après avoir confirmé que la configuration fonctionne, remplacez ce mot de passe par un autre, plus fort. Gardez à l'esprit que des problèmes peuvent survenir avec des caractères spéciaux comme # et @.

  5. Vous pouvez éventuellement définir :

    • Rechercher en utilisant un utilisateur privilégié sur Oui. La valeur par défaut est Non. Lors de la recherche du FDN de l'utilisateur à authentifier, le fournisseur LDAP se lie au serveur LDAP en tant qu'utilisateur privilégié (spécifié).

    • Fournissez le DN utilisateur privilégié. Si le paramètre Rechercher en utilisant un utilisateur privilégié a la valeur Oui, ceci doit être défini. Par exemple : CN=BlackboardLDAP, OU=Special Users, dc= example, dc=edu ou BlackboardLDAP@example.edu

    • Fournissez le Mot de passe de l'utilisateur privilégié. Si le paramètre Rechercher en utilisant un utilisateur privilégié a la valeur Oui, ceci doit être défini. Ceci représente le mot de passe de l'utilisateur dans DN utilisateur privilégié.

  6. Vous pouvez éventuellement définir les Paramètres avancés.

    • Délai de connexion nécessite un minimum de 15000 millisecondes. Il s'agit du temps, en millisecondes, que le système attend avant d'annuler une requête LDAP.

    • Déréférencer les alias sur Toujours, Trouver ou Chercher. Sa valeur par défaut est Jamais. Cette propriété définit comment les alias sont déréférencés lors des opérations de recherche.

      • Jamais  : ne jamais déréférencer les alias.

      • Toujours  : déréférencez toujours les alias.

      • Résultat  : déréférencer les alias uniquement lors de la résolution du nom, c'est-à-dire lors de la localisation de l'entrée cible.

      • Recherche  : déréférencer les alias une fois que la résolution du nom est terminée, c'est-à-dire après avoir localisé l'entrée cible.

    • Références telles que Suivre ou Jeter. Sa valeur par défaut est Ignorer. Cette propriété spécifie comment les références doivent être traitées par le fournisseur.

      • Ignorer  : Ignorez les références si elles apparaissent dans les résultats.

      • Suivre  : suivez automatiquement toutes les recommandations.

      • Lancer : lance une exception Java ReferralException pour chaque référence. Ceci entraîne un cas d'erreur.

    • La valeur par défaut de la propriété Limite de références est 5. Cette propriété indique le nombre maximum de références à suivre. La valeur 0 (zéro) est considérée comme incorrecte. Vous pouvez seulement définir cette propriété si la propriété Références a la valeur Suivre ou Jeter.

  7. Sélectionnez Soumettre pour enregistrer la configuration.

    Astuce

    Avant de rendre le nouveau fournisseur d'authentification actif, sélectionnez Paramètres de connexion test dans le menu contextuel pour confirmer que la configuration fonctionne comme prévu.