Open navigation

Configuration d'une synchronisation avec un AD Azure

Pré-requis:

- Avoir les utilisateurs dans l'AD Azure

- Vous possédez les identifiants d'un compte (ayant le rôle d'annuaire "Administrateur général")

- Avoir un certificat PKCS12, 2048 bits protégé par un mot de passe.



Configuration requise pour le certificat LDAP sécurisé

Obtenez un certificat valide, en suivant les instructions ci-dessous, avant d’activer le protocole LDAP sécurisé. Toute tentative d’activation du protocole LDAP sécurisé pour votre domaine géré avec un certificat non valide ou incorrect se soldera par un échec.

  1. Émetteur approuvé : le certificat doit être émis par une autorité approuvée par les ordinateurs qui se connectent au domaine managé à l’aide du protocole LDAP sécurisé. Cette autorité peut être une autorité de certification approuvée par ces ordinateurs.
  2. Durée de vie : le certificat doit être valide pour les 3 à 6 mois à venir. L’accès du protocole LDAP sécurisé à votre domaine géré est interrompu lorsque le certificat expire.
  3. Nom du sujet : le nom du sujet du certificat doit correspondre à un caractère générique pour votre domaine géré. Par exemple, si le nom du domaine est « contoso100.com », le nom d’objet du certificat doit correspondre à « .contoso100.com ». Définissez le nom DNS (nom alternatif du sujet) sur ce nom générique.
  4. Utilisation de la clé : le certificat doit être configuré pour le chiffrage de clés et les signatures numériques.
  5. Rôle du certificat : le certificat doit être valide pour l’authentification de serveur SSL.


La première tâche consiste à obtenir un certificat à utiliser pour l’accès du protocole LDAP sécurisé au domaine géré. Deux options s'offrent à vous :

  • Vous pouvez obtenir un certificat auprès d’une autorité de certification publique.
  • Vous pouvez créer un certificat auto-signé.


Si le nom de domaine DNS de votre domaine managé se termine par « .onmicrosoft.com » ou si vous désirez générer un certificat auto-signé, voici la procédure :

  • Sur votre ordinateur Windows, ouvrez une nouvelle fenêtre PowerShell en tant qu’administrateur et saisissez les commandes suivantes
  • c:\>$lifetime=Get-Date 
    c:\>New-SelfSignedCertificate -Subject *.contoso100.com `-NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `-Type SSLServerAuthentication -DnsName *.contoso100.com
    Text


  • Dans l’exemple ci-dessus, remplacez « .contoso100.com » par le nom de domaine DNS de votre domaine managé. Par exemple, si vous avez créé un domaine managé nommé « cartadis.onmicrosoft.com », remplacez « .contoso100.com » dans le script précédent par « .cartadis.onmicrosoft.com ».


       Sélectionner un annuaire Azure AD

       

        Le nouveau certificat auto-signé est placé dans le magasin de certificats de l’ordinateur local.


        Suivre la procédure ci-dessous pour exporter le certificat PFX:

        Exporter le certificat du protocole LDAP sécurisé vers un fichier .PFX


Configuration de l'AD Azure


  • Connectez vous à Microsoft Azure
  • Cliquez sur "Toutes les ressources" dans la colonne de gauche.
  • Sélectionnez ensuite la ressource Azure AD Domain Services que vous désirez synchroniser.
  • Dans le nouveau menu de gauche, cliquez sur "LDAP sécurisé"
  • Activez ensuite les options "LDAP sécurisé" et "Autorisez l'accès LDAP sécurisé sur Internet"
  • Il faut maintenant aller chercher sur votre ordinateur le certificat précédemment créé et renseigner le mot de passe de celui-ci, puis cliquer sur Enregistrer. (cette opération prend entre 10 à 15 minutes)
  • Dans le menu de gauche, cliquez ensuite sur "Propriétés" et récupérez l'adresse IP externe de LDAP sécurisé :

Configuration de la synchronisation dans Gespage

  • Sélectionnez le type de LDAP suivant : AD
  • Dans l'adresse IP de synchronisation, renseignez l'adresse IP externe de LDAP sécurisé récupérée précédemment.
  • Cochez le protocole sécurisé SSL
  • Dans le domaine, renseignez le nom de la ressource Azure AD Domain service
  • Le login et mot de passe peut être n'importe quel utilisateur de l'AD Azure. Il n'y a pas besoin d'avoir les droits administrateur.

  • Vous pouvez maintenant lancer la synchronisation.

Cette réponse a-t-elle été utile ? Oui Non

Envoyer vos commentaires
Nous sommes désolés de ne pas avoir pu répondre à votre question. Aidez-nous à améliorer cet article grâce à vos commentaires.