LDAP (Lightweight Directory Access Protocol) est une norme Internet qui permet d'accéder à des informations provenant de différents systèmes et applications informatiques. LDAP utilise un ensemble de protocoles pour accéder aux répertoires contenant des informations et extraire ces dernières. Un répertoire est similaire à une base de données, mais contient des informations plus descriptives et basées sur des attributs. Les informations d'un répertoire sont généralement lues plus souvent qu'elles ne sont écrites ou modifiées. LDAP permet à une application, fonctionnant sur la plate-forme informatique d'une école, d'obtenir des informations telles que des noms d'utilisateur et des mots de passe.

La centralisation de ce type d'informations simplifie votre travail en vous dotant d'un point d'administration unique. Les informations sur les utilisateurs sont fournies à un seul endroit, ce qui réduit le stockage des informations en double. Cela conduit également à une réduction des besoins de maintenance. L'authentification LDAP permet également aux utilisateurs d'avoir un seul identifiant et mot de passe de connexion pour accéder à différentes applications.

En savoir plus sur la création de fournisseurs d'authentification


Pourquoi utiliser LDAPS (Secure LDAP) ?

Cette méthode renforce la sécurité par rapport à l'authentification LDAP standard non chiffrée. Elle peut être requise par certains administrateurs réseau ou certaines technologies de serveurs LDAP, ou lorsque le serveur LDAP se trouve sur un site distant sans connexion privée.

En règle générale, utilisez LDAPS ou assurez-vous que l'application Learn dispose d'une connexion privée non routée avec le serveur LDAP. Dans ce cas, la probabilité que quelqu'un intercepte le trafic LDAP non chiffré entre les serveurs est très faible, et le chiffrement n'est pas nécessaire.

Prérequis de l'utilisation du LDAPS

Si le serveur LDAP utilise SSL (LDAPS), vous devez utiliser un certificat signé commercialement. Sinon, l'authentification risque d'échouer.

Les déploiements Blackboard Learn SaaS ne prennent pas en charge les certificats auto-signés. Vous devez utiliser un certificat signé commercialement.

Ceci permet au client LDAP (l'application Learn) d'établir la validité du certificat serveur présenté par le serveur LDAP lorsqu'il tente d'établir la connexion LDAPS. Sinon, l'établissement de la liaison TLS échoue, la liaison LDAP ne se produit pas et l'authentification échoue.


Configurer un fournisseur LDAP

  1. Entrez l'URL de votre serveur LDAP, par exemple, ldaps://directory.example.edu:636. Si le serveur LDAP utilise le SSL (LDAPS), vous devez utiliser un certificat signé commercialement. Sinon, l'authentification risque d'échouer.
  2. Vous pouvez éventuellement affecter au champ Utiliser SSL la valeur Non. La valeur par défaut est Oui. En règle générale, utilisez LDAPS ou assurez-vous que l'application Learn dispose d'une connexion privée non routée avec le serveur LDAP. Dans ce cas, la probabilité que quelqu'un intercepte le trafic LDAP non chiffré entre les serveurs est très faible, et le chiffrement n'est pas nécessaire.
  3. Renseignez le champ Recherche dans la base DN : il s'agit du point de départ de la structure du répertoire LDAP pour rechercher un utilisateur Learn. Une recherche dans la sous-arborescence est effectuée depuis ce point (Par ex : dc=contact,dc=exemple,dc=edu). Vous pouvez créer et configurer deux fournisseurs LDAP entièrement distincts avec des Recherches dans la base DN différentes, qui pointent vers le même serveur LDAP physique. Vous pouvez le faire si vous voulez réduire la charge sur le serveur LDAP par « marque » sur education.blackboard.com, puis paramétrer le fournisseur LDAP pour rechercher uniquement dc=contact,dc=éducation, dc=exemple,dc=edu au lieu de toute l'arborescence.

    Vous pouvez ajouter plusieurs fournisseurs LDAP avec les mêmes Recherches dans la base DN pointant vers différents serveurs physiques. Si un serveur LDAP ne répond pas, la structure interroge le suivant. En savoir plus sur l'ordre des fournisseurs.

  4. Entrez l'Attribut de recherche : il s'agit de l'attribut LDAP qui contient la valeur correspondant au Nom d'utilisateur de Learn ou au Code unique de batch défini lors de l'étape Créer un fournisseur. Cette propriété est spécifique au domaine. La propriété généralement utilisée pour Active Directory (AD) est sAMAccountName. Pour Novell, il s'agit de uid. Pour Active Directory, la plupart des intégrations de clients utilisent sAMAccountName en tant qu'Attribut de recherche. Ceci correspond à l'ancien style (avant Windows 2000) de nom de connexion, qui était limité à 20 caractères maximum. Votre administrateur de domaine AD peut confirmer si cet attribut est correct, ou si vous devez utiliser userPrincipalName.

    Certains serveurs LDAP comme Active Directory nécessitent un utilisateur privilégié pour se connecter au répertoire. Le fournisseur LDAP a besoin du nom unique (ou DN, pour Distinguished Name) et du mot de passe de l'utilisateur. Généralement, on utilise deux options pour se connecter via un compte d'utilisateur privilégié :

    • Créez un utilisateur dans le répertoire. Attribuez à cet utilisateur le droit d'accès en lecture seule. Utilisez ce compte utilisateur en tant qu'utilisateur privilégié.
    • Utilisez un compte d'utilisateur de répertoire existant en tant qu'utilisateur privilégié.

    Ce compte doit accéder au serveur LDAP pour chaque utilisateur qui tente de se connecter à Blackboard. Il est préférable de sélectionner les options L'utilisateur ne peut pas changer de mot de passe et Le mot de passe n'expire jamais.

    Il s'agit d'un compte de service. L'administrateur LDAP peut définir un emplacement spécifique dans le répertoire pour ces types de comptes.

    Lors de la première configuration du compte, utilisez un mot de passe basique. Après avoir confirmé que la configuration fonctionne, remplacez ce mot de passe par un autre, plus fort. Gardez à l'esprit que des problèmes peuvent survenir avec des caractères spéciaux comme # et @.

  5. Vous pouvez éventuellement définir :
    • Rechercher en utilisant un utilisateur privilégié sur Oui. Sa valeur par défaut est Non. Lors de la recherche du FDN de l'utilisateur à authentifier, le fournisseur LDAP se lie au serveur LDAP en tant qu'utilisateur privilégié (spécifié).
    • Fournissez le DN utilisateur privilégié. Si le paramètre Rechercher en utilisant un utilisateur privilégié a la valeur Oui, ceci doit être défini. Par exemple : cn=BlackboardLDAP,ou=Utilisateurs spéciaux, dc= exemple,dc=edu ou BlackboardLDAP@exemple.edu
    • Fournissez le Mot de passe de l'utilisateur privilégié. Si le paramètre Rechercher en utilisant un utilisateur privilégié a la valeur Oui, ceci doit être défini. Ceci représente le mot de passe de l'utilisateur dans DN utilisateur privilégié.
  6. Vous pouvez éventuellement définir les Paramètres avancés.
    • Délai d'attente de connexion a comme valeur par défaut 60000. Il s'agit du temps, en millisecondes, que le système attend avant d'annuler une requête LDAP.
    • Déréférencer les alias sur Toujours, Trouver ou Chercher. Sa valeur par défaut est Jamais. Cette propriété définit comment les alias sont déréférencés lors des opérations de recherche.
      • Jamais : Les alias ne sont jamais déréférencés.
      • Toujours : Les alias sont toujours déréférencés.
      • Trouver : Déréférence les alias uniquement lors de la résolution des noms, c'est-à-dire pendant la localisation de l'entrée cible.
      • Chercher : Déréférence les alias uniquement lorsque la résolution des noms est terminée, c'est-à-dire après la localisation de l'entrée cible.
    • Références telles que Suivre ou Jeter. Sa valeur par défaut est Ignorer. Cette propriété spécifie comment les références doivent être traitées par le fournisseur.
      • Ignorer : Les références présentes dans les résultats sont ignorées.
      • Suivre : Toutes les références sont automatiquement suivies.
      • Jeter : Une ReferralException Java est jetée pour chaque référence. Ceci entraîne un cas d'erreur.
    • La valeur par défaut de la propriété Limite de références est 5. Cette propriété indique le nombre maximum de références à suivre. La valeur 0 (zéro) est considérée comme incorrecte. Vous pouvez seulement définir cette propriété si la propriété Références a la valeur Suivre ou Jeter.
  7. Sélectionnez Soumettre pour enregistrer la configuration.

    Avant de rendre le nouveau fournisseur d'authentification actif, sélectionnez Paramètres de connexion test dans le menu contextuel pour confirmer que la configuration fonctionne comme prévu.