Aller au contenu principal

Configurer la synchronisation d'Active Directory (AD) sur site avec Arrow

Fred Rodriguez
Mise à jour

Important : la synchronisation avec Active Directory (AD) ne pourra plus être configurée après le 30 septembre 2025. Pensez plutôt à utiliser le provisionnement confidentiel.
En savoir plus sur Arrow Confidential SSO et SCIM Provisioning

En tant qu'administratrice d'un forfait professionnel Arrow, vous pouvez configurer Arrow pour synchroniser automatiquement les utilisateurs et les groupes Active Directory (AD) afin d'automatiser l'approvisionnement et le déprovisionnement des comptes Arrow.

Gérez l'approvisionnement des membres du plan avec SCIM

Procédure pas à pas en vidéo

Cette vidéo explique en détail comment configurer Arrow pour synchroniser automatiquement les utilisateurs et les groupes Active Directory (AD) afin d'automatiser l'approvisionnement et le déprovisionnement des comptes Arrow.

Créer un groupe AD et un compte de service

  1. Connectez-vous à un serveur Windows à l'aide du module Utilisateurs et ordinateurs d'Active Directory.
  2. Créez ou identifiez un groupe dont vous aimeriez inviter les membres à participer à votre plan. S'il n'existe aucun groupe, nous vous recommandons de créer un groupe « AllArrowUsers ».
  3. Ajoutez au moins un utilisateur AD possédant une adresse e-mail au groupe.
  4. Créez un utilisateur Active Directory que vous utiliserez pour exécuter le script de synchronisation, communément appelé compte de service. Dans l'exemple de vidéo, nous créons le compte de service « SA_ArrowSync ».
  5. Ajoutez le compte de service au groupe d'administrateurs local afin qu'il puisse se connecter à la machine et exécuter des scripts PowerShell.
  6. Connectez-vous en tant que compte de service récemment créé.

Configurer la console d'administration

Pour configurer votre compte en vue de la synchronisation AD :

  1. Connectez-vous à la console d'administration.
  2. Sélectionnez Intégrations, Approvisionnement, puis Configurer pour Active Directory.
  3. Activez le provisionnement automatique des utilisateurs et la synchronisation des groupes.
    • Une fois que vous aurez vérifié la synchronisation et que tous les membres actuels d'Arrow sont concernés, pensez à activer le déprovisionnement automatique des utilisateurs.
  4. Sélectionnez Copier pour copier le script Arrow AD affiché dans la fenêtre grise dans votre presse-papiers.

Configurer Active Directory et le script de synchronisation

  1. Connectez-vous à un serveur ou à une station de travail Windows PowerShell 3.0 ou version ultérieure avec le compte de service que nous avons créé plus tôt.
  2. Si ce n'est pas déjà fait, créez ou identifiez un groupe de sécurité Active Directory que vous aimeriez synchroniser avec Arrow.
    • Nous vous recommandons de créer un nouveau groupe appelé AllArrowUsers pour commencer.
  3. Ajoutez des utilisateurs au groupe auquel vous aimeriez avoir un compte Arrow.
  4. Ouvrez PowerShell ISE et sélectionnez Fichier puis Nouveau.
  5. Collez le script enregistré dans votre presse-papiers depuis l'étape 4 de la section Configuration de la console d'administration.
  6. Modifiez la ligne 21 du script et saisissez les noms des groupes que vous souhaitez synchroniser avec Arrow.
  7. Enregistrez le script PowerShell sur la machine locale.
  8. Exécutez le script en sélectionnant la flèche verte dans PowerShell ISE.
  9. Assurez-vous que le script renvoie les informations suivantes : « code » :200, « message » :"OK »
  10. Copiez la chaîne de texte entre les tirets dans votre presse-papiers.
  11. Retournez à la console d'administration et actualisez la page.
  12. Dans la fenêtre contextuelle Vérifier la clé de sécurité, sélectionnez Continuer.

  13. Entrez la chaîne de texte de votre presse-papiers que vous avez copiée à l'étape 10 dans le champ de texte, puis sélectionnez Vérifier maintenant.

Vérifiez la synchronisation

  1. Dans la console d'administration, consultez l'onglet Utilisateurs et vérifiez que tous les nouveaux membres du plan ont le statut d'invitation en attente.

  2. Dans l'onglet Groupes, consultez les groupes qui ont été synchronisés.
  3. Pour consulter l'état de votre synchronisation AD sur la console d'administration, sélectionnez Intégrations puis Provisioning. Sélectionnez ensuite Configurer pour Active Directory.
  4. Après avoir vérifié que tous les membres synchronisés sont inclus dans les groupes de synchronisation Active Directory, nous vous recommandons d'activer le déprovisionnement automatique des utilisateurs.

Planifiez une synchronisation régulière avec le planificateur de tâches

Une fois le script enregistré dans votre domaine, vous pouvez le programmer pour qu'il s'exécute automatiquement à un intervalle que vous définissez.

Remarque : Le compte du membre du plan configuré pour exécuter cette tâche doit être capable de lire les unités organisationnelles (UO) et les comptes des membres dans votre environnement Active Directory.

  1. Assurez-vous d'être connectée avec le même compte de service que celui que vous avez utilisé lors de la synchronisation initiale.
    • Planifier cela pour qu'il fonctionne avec un autre compte ne fonctionnera pas car la clé de synchronisation générée provient de la machine et du membre utilisés pour la synchronisation et doit rester la même.
  2. Sur le serveur Windows qui exécutera le script, ouvrez le Planificateur de tâches.
  3. Sélectionnez la bibliothèque du planificateur de tâches.
  4. Sélectionnez l'onglet Action dans le menu en haut à gauche.
  5. Sélectionnez Créer une tâche.
  6. Sélectionnez l'onglet Général.
  7. Dans la zone de texte Nom, tapez Arrow AD Sync.
  8. Sélectionnez les options de sécurité.
  9. Dans les options de sécurité, cochez les cases Exécuter, que l'utilisateur soit connecté ou non, et Exécuter avec les privilèges les plus élevés.

    Définissez un calendrier pour l'exécution du script en créant un nouveau déclencheur. Dans l'exemple suivant, il sera diffusé tous les jours à 1 h du matin.

  10. Sélectionnez l'onglet Actions.
  11. Sélectionnez Nouvelle action.
  12. Dans Programme/script, tapez ce qui suit : powershell
  13. Dans Ajouter des arguments (facultatif), collez le fichier suivant :
    -file C:\FilePathtoPowershellScript\dashlane -ad-sync.ps1

Quelques considérations

  • Une fois la synchronisation configurée, nous vous recommandons de gérer vos groupes Arrow et les membres de votre plan exclusivement via votre Active Directory.
  • Tous les membres considérés par le script doivent avoir une adresse e-mail spécifiée dans Active Directory.
  • Les administrateurs ne peuvent pas déprovisionner tous les administrateurs, car chaque forfait doit avoir au moins un administrateur actif.
  • Chaque forfait doit avoir au moins un contact de facturation actif.
  • Le nombre de membres dans les groupes synchronisés ne doit pas être supérieur aux places disponibles sur votre compte.

Synchronisation réservée aux utilisateurs

Pour synchroniser uniquement les membres du groupe AD et ne pas créer de groupe de partage Arrow, modifiez les lignes 124 et 125 du script de synchronisation AD.

Exemple :

Avant le passage aux lignes 124 et 125 :

$DataStr += $GroupInfo. ObjectGUID
$DataStr += $GroupInfo. Nom

Après le passage aux lignes 124 et 125 :

$DataStr += $GroupInfo. Sync_Users_Only $DataStr += $GroupInfo.
Sync_Users_Only

Messages d'erreur

Message d'erreur 400

Arrow Sync a répondu comme suit : {« code » :400, « message » :"Mauvaise demande »}

Pour corriger l'erreur :

  1. Assurez-vous de ne pas essayer de synchroniser plus de membres que vous n'avez acheté de places.
  2. Assurez-vous que le module Active Directory pour Windows PowerShell est installé.

  3. Assurez-vous d'avoir configuré les paramètres de sécurité HTTPS.
  4. Assurez-vous qu'au moins un utilisateur possédant une adresse e-mail fait partie du groupe Active Directory que vous essayez de synchroniser.

Aucune clé de synchronisation du répertoire n'apparaît

Pour corriger l'erreur :

  1. Dans votre script PowerShell, remplacez la variable ArrowDirectorSyncKey## par un nouveau chiffre pour forcer l'utilisation d'une nouvelle touche de synchronisation.
  2. Enregistrez et exécutez le script.

Exemple :

Avant de passer à la ligne 104 (il peut y avoir quelques chiffres de décalage selon le nombre de groupes que vous avez) :

$CSPParameters.keyContainerName = « ArrowDirectorySyncKey 53 »

Après le passage à la ligne 104 :

$CSPParameters.keyContainerName = « ArrowDirectorySyncKey 54 »

Message d'erreur 403

Arrow Sync a répondu comme suit : {« code » :403, « message » :"Interdit »}

Pour corriger l'erreur :

  1. Connectez-vous à la console d'administration.
  2. Sélectionnez Intégrations puis Provisioning. Sélectionnez ensuite Configurer pour Active Directory.
  3. Activez le provisionnement automatique pour les utilisateurs et les groupes.

Message d'erreur Error member_removal_over_limit

Le script de synchronisation AD possède une limite intégrée qui empêche le départ accidentel d'un grand nombre d'utilisateurs. Parfois, le retrait d'un grand nombre d'utilisateurs est nécessaire. Vous devrez donc augmenter le nombre d'utilisateurs que vous pouvez supprimer de votre forfait.

Pour corriger l'erreur :

  • Dans votre script PowerShell, ajoutez un « ; RemovalLimit=### » à la fin de la ligne suivante (autour de la ligne 155) et exécutez le script manuellement.

Exemple : Cet exemple exclut 100 utilisateurs à l'aide du script de synchronisation.

Avant le changement de ligne 155 :

Après la modification de la limite de suppression à 100 utilisateurs, autorisant la suppression de 100 utilisateurs au maximum :

$Payload = @ {adLogins=$FileContentEncoded ; AdToken=$Install_Token ; TeamId=$Team_ID ; Signature=$SignatureHash ; PublicKey=$PublicKeyHash ; RemovalLimit=100}

Une fois vos utilisateurs exclus par la synchronisation, pensez à supprimer le texte ajouté pour le remettre au réglage par défaut, soit 10 utilisateurs ou 5 % de l'ensemble des utilisateurs, selon la valeur la plus élevée.

Message d'erreur Arrow Sync Error

Arrow Sync a répondu comme suit : Arrow Sync Error:System.NotSupportedException. Le contenu de la réponse ne peut pas être analysé parce que le moteur Internet Explorer n'est pas disponible ou parce que la configuration initiale d'Internet Explorer n'est pas complète. Spécifiez le paramètre usebasicparsing et réessayez.

Pour corriger l'erreur :

  1. Ajoutez le commutateur -usebasicparsing à la ligne $response du script Powershell, autour de la ligne 158.
  2. Enregistrez et exécutez le script.

Commentaires

0 commentaire

Cet article n'accepte pas de commentaires.

Réalisé par Zendesk