Exigences du système du connecteur AD/LDAP

En général, les administrateurs du système et les ingénieurs des opérations doivent installer le connecteur AD/LDAP, car il nécessite souvent un accès aux ressources de production. Voici une liste de contrôle des éléments à prendre en compte avant l’installation proprement dite :

Le connecteur peut être installé non seulement sur un serveur existant, mais aussi sur un contrôleur de domaine. Cependant, il est plus souvent installé sur des machines virtuelles fournies uniquement pour le connecteur. Dans tous les cas, le serveur hôte doit disposer des spécifications et configurations matérielles et logicielles suivantes :

• Architecture : x86 ou x86-64

• CPU cœurs : min. 1, recommendé 2

• Stockage : 500 Mo d’espace libre sur le disque

• Système d’exploitation : le connecteur est compatible avec Windows ou Linux. Windows est requis si l’authentification Kerberos est utilisée.

• Mémoire vive : minimum 2 Go

Nous vous recommandons d’utiliser une version prise en charge de Windows Server, comme Windows Server 2016 ou Windows Server 2019. Le connecteur est également compatible avec Windows Server 2012 R2.

Il est très important que l’horloge du serveur hôte du connecteur soit automatiquement synchronisée avec un serveur NTP. Au cas contraire, le connecteur ne démarrera pas et signalera une erreur de désalignement de l’horloge.

Le serveur hôte nécessite une connectivité réseau sortante vers les services suivants :

Le connecteur doit être installé sur un serveur doté d’une connectivité sortante vers le service Auth0 à l’adresse : https://{yourDomain} sur le port 443.

Le connecteur peut être installé et configuré derrière un serveur mandataire, mais nous ne le recommandons pas. Activez un serveur mandataire à partir de la variable d’environnement ou de configuration HTTP_PROXY.

Le connecteur doit être installé sur un serveur ayant accès au serveur LDAP sur le port 389 pour LDAP ou 636 pour LDAPS. Avant d’installer le connecteur, vous devez connaître la chaîne de connexion LDAP et le DN de base nécessaires pour vous connecter à votre répertoire LDAP.

Vous n’avez pas besoin d’une connectivité entrante activée sur le connecteur, sauf si l’authentification Kerberos ou par certificat est activée. Dans ces cas, le ou les serveurs sur lequel le connecteur est installé doivent être accessibles à partir des navigateurs de vos utilisateurs sur le port 443. Si plusieurs instances du connecteur sont installées, vous devez utiliser un équilibreur de charge pour diriger le trafic vers l’un ou l’autre connecteur.

Pour en savoir plus, consultez Configurer l’authentification du connecteur AD/LDAP avec Kerberos ou Configurer l’authentification du connecteur AD/LDAP avec des certificats clients.

Le connecteur sera exécuté au moyen d’un compte de service qui doit être un utilisateur de domaine disposant au minimum d’un accès en lecture au répertoire. Vous aurez besoin du nom d’utilisateur et du mot de passe de ce compte lors de l’installation.

Si vous établissez plusieurs locataires Auth0, par exemple pour isoler les environnements de développement et de production, vous allez devoir configurer une connexion AD/LDAP dans Auth0 Dashboard et avec un connecteur AD/LDAP pour chaque locataire Auth0 qui nécessite cette forme d’authentification. Un connecteur est lié à une connexion précise au sein d’un locataire Auth0.

Il est possible d’avoir plusieurs connecteurs au sein d’un même locataire Auth0 si vous avez plusieurs répertoires AD/LDAP dans lesquels les utilisateurs s’authentifient. Par exemple, pour prendre en charge différents services ou clients, chacun ayant son propre répertoire. En outre, plusieurs connecteurs peuvent pointer vers le même répertoire AD ou LDAP, mais un connecteur ne peut être utilisé que par une seule connexion Auth0 au sein d’un locataire Auth0.

Le connecteur peut être installé sur plusieurs serveurs hôtes pour garantir une haute disponibilité et de la redondance (la plupart des organisations provisionnent deux serveurs) au cas où un serveur ne serait plus utilisable. Chaque serveur doit répondre aux mêmes exigences que celles énumérées ci-dessus. Aucun équilibreur de charge n’est requis, car cette fonction est effectuée par le serveur Auth0 lui-même, sauf si vous activez l’authentification basée sur Kerberos ou sur un certificat client.

Pour en savoir plus, veuillez consulter Déployement des connecteurs AD/LDAP pour les environnements haute disponibilité.

• Installer et configurer le connecteur AD/LDAP
• Déploiement des connecteurs AD/LDAP pour les environnements haute disponibilité
• Configuration de l’authentification du connecteur AD/LDAP à l’aide de certificats clients
• Configurer l’authentification connecteur AD/LDAP avec Kerberos