Connecteur AD/LDAP

Auth0 s’intègre à Active Directory (AD) en utilisant le Lightweight Directory Access Protocol (LDAP) par l’intermédiaire d’un connecteur Active Directory/LDAP que vous installez sur votre réseau.

Le connecteur AD/LDAP (1) est un pont entre votre Active Directory/LDAP (2) et le service Auth0 (3). Ce pont est nécessaire car AD/LDAP est généralement limité à votre réseau interne et Auth0 est un service en nuage fonctionnant dans un contexte complètement différent.

Lorsqu’un utilisateur s’authentifie auprès d’Auth0, il est redirigé vers le connecteur AD/LDAP qui valide l’utilisateur par rapport à votre service AD et renvoie ensuite les résultats de la validation à Auth0. Le connecteur AD/LDAP prend en charge l’authentification basée sur LDAP, Kerberos et les certificats clients.

Pour en savoir plus, voir Configurer l’authentification du connecteur AD/LDAP avec Kerberos et Configurer l’authentification du connecteur AD/LDAP avec les certificats clients.

Le connecteur AD/LDAP met en cache les profils et les identifiants utilisateurs (Auth0 stocke un hachage du mot de passe de l’utilisateur) afin de garantir une disponibilité et des performances optimales, et met à jour les données chaque fois qu’un utilisateur se connecte. Le cache n’est utilisé que lorsque le connecteur est en panne ou inaccessible. Les données mises en cache sont toujours stockées, sauf si vous désactivez la mise en cache des identifiants dans le Dashboard. Les valeurs du cache sont sensibles à la casse, ce qui signifie que les tentatives de connexion n’aboutiront que si les utilisateurs fournissent le nom d’utilisateur exact qui a été mis en cache.

Pour la haute disponibilité et l’équilibrage de charge, vous pouvez installer plusieurs instances du connecteur. Toutes les connexions sont sortantes du connecteur vers le serveur Auth0, de sorte qu’il n’est généralement pas nécessaire de modifier votre pare-feu.

Chaque instance de la grappe à haute disponibilité sera toujours opérationnelle et connectée à Auth0. Auth0 enverra des transactions de connexion et d’autres demandes à n’importe lequel des connecteurs disponibles. Si l’une des instances tombe en panne à cause d’un problème de réseau ou de matériel, Auth0 redirigera les transactions de connexion vers l’autre connecteur. Le fait de disposer d’un déploiement hautement disponible vous permet également de mettre à jour le connecteur sans interruption de service.

Par défaut, le connecteur est optimisé pour Active Directory. Pour le configurer pour d’autres répertoires LDAP (comme OpenLDAP), vous devrez personnaliser ces paramètres dans le fichier config.json :

"LDAP_USER_BY_NAME": "(cn={0})",
      "LDAP_SEARCH_QUERY": "(&(objectClass=person)(cn={0}))",
      "LDAP_SEARCH_ALL_QUERY": "(objectClass=person)",

Dans certains cas, au lieu de cn, il peut être préférable d’utiliser uid.

Avec le Panneau de contrôle OpenDJ, vous pouvez récupérer la liste des attributs de chaque utilisateur. Cette liste peut vous aider à décider quel attribut sera utilisé comme nom d’utilisateur lors de l’authentification avec Auth0.

Dans cet exemple, le cn de Pierre est pierreuntel et le champ mail est défini sur pierreuntel@contoso.com. Si votre organisation souhaite que les utilisateurs s’authentifient à l’aide de leur nom d’utilisateur (cn), vous pouvez définir le paramètre LDAP_USER_BY_NAME sur (cn={0}), mais si les utilisateurs doivent s’authentifier à l’aide de leur adresse courriel, vous devez le définir sur (mail={0}).

• Exigences du système du connecteur AD/LDAP
• Installer et configurer le connecteur AD/LDAP
• Configuration de l’authentification du connecteur AD/LDAP à l’aide de certificats clients
• Configurer l’authentification connecteur AD/LDAP avec Kerberos
• Importation et exportation des configurations du connecteur AD/LDAP
• Dépannage du Connecteur AD/LDAP