LDAP (Lightweight Directory Access Protocol) est une norme Internet qui permet d'accéder à des informations provenant de différents systèmes et applications informatiques. LDAP utilise un ensemble de protocoles pour accéder aux répertoires contenant des informations et extraire ces dernières. Un répertoire est similaire à une base de données, mais contient des informations plus descriptives et basées sur des attributs. Les informations d'un répertoire sont généralement lues plus souvent qu'elles ne sont écrites ou modifiées. LDAP permet à une application, fonctionnant sur la plate-forme informatique d'une école, d'obtenir des informations telles que des noms d'utilisateur et des mots de passe.

La centralisation de ce type d'informations simplifie votre travail en vous dotant d'un point d'administration unique. Les informations sur les utilisateurs sont fournies à un seul endroit, ce qui réduit le stockage des informations en double. Cela conduit également à une réduction des besoins de maintenance. L'authentification LDAP permet également aux utilisateurs d'avoir un seul identifiant et mot de passe de connexion pour accéder à différentes applications.

En savoir plus sur la création de fournisseurs d'authentification

À propos de LDAPS et LDAP avec StartTLS

Les versions précédentes de Learn permettaient d'ajouter un fournisseur d'authentification LDAP simple sans chiffrement (« NoSSL »). À compter de la version 3900.84, il n'est pas possible de créer de nouveaux fournisseurs « NoSSL », et bien que les fournisseurs existants continueront de fonctionner, il ne sera pas possible de les faire repasser en NoSSL s'ils sont mis à jour pour utiliser le protocole LDAPS/StartTLS. Anthology recommande aux clients qui utilisent encore NoSSL de migrer rapidement vers une configuration sécurisée.

La version originale du protocole LDAP date des années 1980 et ne prenait en charge aucune sécurité de connexion. Le protocole LDAPS a été la première tentative d'intégrer ce qui était alors connu sous le nom de « SSL » (TLS aujourd'hui.) Celui-ci utilise un port sécurisé spécial. L'établissement d'une connexion nécessite l'utilisation du port approprié selon qu'il est sécurisé ou non. Au fil du temps et à mesure que l'utilisation de la connectivité non sécurisée diminuait, cet aspect est devenu moins pertinent.

Le protocole LDAPS n'a jamais été officiellement normalisé. L'IETF a normalisé « LDAP avec chiffrement » via une approche complètement différente dans le document RFC 2830 en utilisant StartTLS. Dans cette configuration, le serveur LDAP n'écoute qu'un seul port. Le client LDAP se connecte sans sécurité, puis envoie une commande « STARTLS », et le serveur et le client LDAP négocient la TLS (sécurité de la couche de transport).

Le choix entre LDAPS et StartTLS doit être fait par chaque établissement en fonction de ses besoins, mais aussi de ce qui est pris en charge par votre serveur d'annuaire ou d'autres considérations architecturales. Si l'une ou l'autre option peut être choisie, la commande StartTLS, normalisée par l'IETF et plus récente, est généralement privilégiée. Certains experts en sécurité considèrent que le protocole LDAPS est obsolète et a été implicitement déprécié par la diffusion du document RFC 2830, mais il n'y a pas de consensus uniforme.

Conditions préalables à la sécurité

Il vous faut un certificat signé commercialement avec une chaîne de confiance complète envers une autorité de certification approuvée par le magasin de clés « CACerts » par défaut de Java 11. Autrement, la connexion échouera. Des certificats supplémentaires peuvent ne pas être installés dans les magasins de clés. Les certificats auto-signés ne sont pas pris en charge.

Votre autorité de certification (CA) signera généralement votre certificat non pas avec son certificat racine hautement fiable, mais avec un certificat intermédiaire lui-même signé par cette racine. Cet intermédiaire doit être envoyé avec le certificat de serveur, car sa présence est nécessaire pour compléter la chaîne de vérification à une racine de confiance. En règle générale, cela se fait en ajoutant les certificats intermédiaires au certificat de serveur. Pour plus d'informations, consultez la documentation de votre serveur d'annuaire LDAP et celle de votre émetteur de certificat.

  • Le serveur d'annuaire LDAP et tous les boîtiers intermédiaires doivent prendre en charge les suites de chiffrement acceptées par Java 11 et les versions ultérieures. Par exemple : TLS 1.0 n'est plus pris en charge.
  • Le serveur d'annuaire LDAP et tous les boîtiers intermédiaires doivent accepter les connexions entrantes provenant des adresses IP de sortie SaaS de votre région. Contactez l'assistance Blackboard pour obtenir ces informations.

Configurer un fournisseur LDAP

  1. Indiquez votre URL de serveur LDAP, par exemple, ldaps://directory.example.edu:636 pour LDAPS ou ldap://directory.example.edu:389 pour LDAP avec StartTLS.
  2. Définissez la version SSL sur StartTLS ou LDAPS.

  3. Renseignez le champ Recherche dans la base DN : il s'agit du point de départ de la structure du répertoire LDAP pour rechercher un utilisateur Learn. Une recherche dans la sous-arborescence est effectuée depuis ce point (Par ex : dc=contact,dc=exemple,dc=edu). Vous pouvez créer et configurer deux fournisseurs LDAP entièrement distincts avec des Recherches dans la base DN différentes, qui pointent vers le même serveur LDAP physique. Vous pouvez le faire si vous voulez réduire la charge sur le serveur LDAP par « marque » sur education.blackboard.com, puis paramétrer le fournisseur LDAP pour rechercher uniquement dc=contact,dc=éducation, dc=exemple,dc=edu au lieu de toute l'arborescence.

    Vous pouvez ajouter plusieurs fournisseurs LDAP avec les mêmes Recherches dans la base DN pointant vers différents serveurs physiques. Si un serveur LDAP ne répond pas, la structure interroge le suivant. En savoir plus sur l'ordre des fournisseurs.

  4. Entrez l'Attribut de recherche : il s'agit de l'attribut LDAP qui contient la valeur correspondant au Nom d'utilisateur de Learn ou au Code unique de batch défini lors de l'étape Créer un fournisseur. Cette propriété est spécifique au domaine. La propriété généralement utilisée pour Active Directory (AD) est sAMAccountName. Pour Novell, il s'agit de uid. Pour Active Directory, la plupart des intégrations de clients utilisent sAMAccountName en tant qu'attribut de recherche. Ceci correspond à l'ancien style (avant Windows 2000) de nom de connexion, qui était limité à 20 caractères maximum. Votre administrateur de domaine AD peut confirmer si cet attribut est correct, ou si vous devez utiliser userPrincipalName.

    Certains serveurs LDAP comme Active Directory nécessitent un utilisateur privilégié pour se connecter au répertoire. Le fournisseur LDAP a besoin du nom unique (ou DN, pour Distinguished Name) et du mot de passe de l'utilisateur. Généralement, on utilise deux options pour se connecter via un compte d'utilisateur privilégié :

    • Créez un utilisateur dans le répertoire. Attribuez à cet utilisateur le droit d'accès en lecture seule. Utilisez ce compte utilisateur en tant qu'utilisateur privilégié.
    • Utilisez un compte d'utilisateur de répertoire existant en tant qu'utilisateur privilégié.

    Ce compte doit accéder au serveur LDAP pour chaque utilisateur qui tente de se connecter à Blackboard. Il est préférable de sélectionner les options L'utilisateur ne peut pas changer de mot de passe et Le mot de passe n'expire jamais.

    Il s'agit d'un compte de service. L'administrateur LDAP peut définir un emplacement spécifique dans le répertoire pour ces types de comptes.

    Lors de la première configuration du compte, utilisez un mot de passe basique. Après avoir confirmé que la configuration fonctionne, remplacez ce mot de passe par un autre, plus fort. Gardez à l'esprit que des problèmes peuvent survenir avec des caractères spéciaux comme # et @.

  5. Vous pouvez éventuellement définir :
    • Rechercher en utilisant un utilisateur privilégié sur Oui. Sa valeur par défaut est Non. Lors de la recherche du FDN de l'utilisateur à authentifier, le fournisseur LDAP se lie au serveur LDAP en tant qu'utilisateur privilégié (spécifié).
    • Fournissez le DN utilisateur privilégié. Si le paramètre Rechercher en utilisant un utilisateur privilégié a la valeur Oui, ceci doit être défini. Par exemple : cn=BlackboardLDAP,ou=Utilisateurs spéciaux, dc= exemple,dc=edu ou BlackboardLDAP@exemple.edu
    • Fournissez le Mot de passe de l'utilisateur privilégié. Si le paramètre Rechercher en utilisant un utilisateur privilégié a la valeur Oui, ceci doit être défini. Ceci représente le mot de passe de l'utilisateur dans DN utilisateur privilégié.
  6. Vous pouvez éventuellement définir les Paramètres avancés.
    • Délai de connexion nécessite un minimum de 15000 millisecondes. Il s'agit du temps, en millisecondes, que le système attend avant d'annuler une requête LDAP.
    • Déréférencer les alias sur Toujours, Trouver ou Chercher. Sa valeur par défaut est Jamais. Cette propriété définit comment les alias sont déréférencés lors des opérations de recherche.
      • Jamais : Les alias ne sont jamais déréférencés.
      • Toujours : Les alias sont toujours déréférencés.
      • Trouver : Déréférence les alias uniquement lors de la résolution des noms, c'est-à-dire pendant la localisation de l'entrée cible.
      • Chercher : Déréférence les alias uniquement lorsque la résolution des noms est terminée, c'est-à-dire après la localisation de l'entrée cible.
    • Références telles que Suivre ou Jeter. Sa valeur par défaut est Ignorer. Cette propriété spécifie comment les références doivent être traitées par le fournisseur.
      • Ignorer : Les références présentes dans les résultats sont ignorées.
      • Suivre : Toutes les références sont automatiquement suivies.
      • Jeter : Une ReferralException Java est retournée pour chaque référence. Ceci entraîne un cas d'erreur.
    • La valeur par défaut de la propriété Limite de références est 5. Cette propriété indique le nombre maximum de références à suivre. La valeur 0 (zéro) est considérée comme incorrecte. Vous pouvez seulement définir cette propriété si la propriété Références a la valeur Suivre ou Jeter.

  7. Sélectionnez Valider pour enregistrer la configuration.

    Avant de rendre le nouveau fournisseur d'authentification actif, sélectionnez Paramètres de connexion test dans le menu contextuel pour confirmer que la configuration fonctionne comme prévu.