Domaines Active Directory

La page Domaines Active Directory vous permet d'afficher, d'ajouter, de modifier et de supprimer les domaines Active Directory et les identifiants associés stockés dans la base de données Authentication Server. Cette zone n'est disponible que si vous êtes un administrateur.

Pour ouvrir la page Domaines Active Directory, cliquez sur l'icône de votre profil pour ouvrir la page Réglages, sur Réglages d'authentification, puis sur Afficher les domaines.

Il vous suffit d'ajouter de nouveaux domaines Active Directory pour les environnements multiforêts avec des relations de confiance unidirectionnelles. Pour en savoir plus, voir Relations de confiance entre les domaines.

La page Domaines Active Directory vous fournit les informations et fonctions suivantes :

  1. Ajouter : pour ajouter un nouveau domaine Active Directory.
  2. Modifier : pour modifier les détails d'un domaine Active Directory existant. Vous ne pouvez modifier qu'un seul domaine à la fois.
  3. Supprimer : pour supprimer un ou plusieurs domaines Active Directory.

Ajouter un domaine

  1. Sur la page Domaines Active Directory, cliquez sur Ajouter.

    La page Ajouter un domaine s'affiche.

  2. Saisissez un nom de domaine.

    Il doit s'agir du nom de domaine explicite (FQDN) au format sousdomaine.domaine.com ou domaine.com.

  3. Saisissez le nom d'utilisateur et le mot de passe du domaine. Les noms d'utilisateur doivent être au format [email protected] ou DOMAINE\nomutilisateur. Les identifiants doivent être demandés au préalable à un administrateur système.

    Les identifiants du domaine Active Directory sont stockés dans la base de données et sont chiffrés avant le stockage. Les identifiants stockés pour chaque domaine doivent être ceux d'un compte de service Active Directory. Le mot de passe du compte de service ne doit pas expirer, le compte de service ne doit pas être un compte utilisateur et doit suivre les meilleures pratiques du compte de service Active Directory.

  4. Cliquez sur Ajouter.

    Le nom de domaine et les identifiants sont validés en fonction du contrôleur de domaine Active Directory et le domaine ajouté s'affiche dans la liste des domaines.

Modifier un domaine

  1. Sur la page Domaines Active Directory, sélectionnez un domaine et cliquez sur Modifier.

    Vous ne pouvez sélectionner qu'un seul domaine à la fois.

  2. Modifiez les informations comme requis. Si vous souhaitez modifier le nom d'un domaine, vous devez supprimer ce domaine et en créer un nouveau.

  3. Cliquez sur Enregistrer pour appliquer vos modifications.

Supprimer les domaines

  1. Dans le domaine Active Directory, sélectionnez le(s) domaine(s) requis et cliquez sur Supprimer.

    Un message s'affiche vous demandant de confirmer la suppression.

  2. Cliquez sur Oui pour supprimer le(s) domaine(s) ou sur Non pour annuler.

Relations de confiance entre les domaines

Pour les environnements multiforêts, les relations de confiance doivent être configurées entre les domaines. Elles peuvent être bidirectionnelles ou unidirectionnelles vers le domaine approuvé.

Par exemple :

  • Dans une confiance unidirectionnelle entre le domaine A et le domaine B, les utilisateurs du domaine A peuvent accéder aux ressources du domaine B. Cependant, les utilisateurs du domaine B ne peuvent pas accéder aux ressources du domaine A.

  • Dans une confiance bidirectionnelle, le domaine A fait confiance au domaine B et le domaine B fait confiance au domaine A. Cela signifie que les requêtes d'authentification peuvent être transmises entre les deux domaines dans les deux directions.

Les confiances bidirectionnelles n'exigent pas que l'utilisateur fournisse des identifiants de domaine si l'utilisateur du pool d'applications Authentication Server dispose d'un accès en lecture pertinent au domaine auquel l'utilisateur appartient. Dans ces exemples, le serveur Web hébergeant Authentication Server résiderait dans le domaine B. Les confiances bidirectionnelles nécessitent des identifiants lorsque l'utilisateur doit interroger un domaine approuvé à l'aide d'un compte différent de l'utilisateur du pool d'applications Authentication Server. Les confiances unidirectionnelles nécessitent la création d'un domaine avec des identifiants.

Les types d'approbation suivants sont pris en charge :

  • Externe

  • Parent-enfant

  • Arbre-racine

  • Forêt