FME Flow:2025.1

Création d'une connexion au service d'authentification

ImportantFME Flownécessite que le serveur Windows Active Directory :
Désactiver le type de cryptageRC4_HMAC_MD5. Pour plus d'informations, voirAssurez-vous que vos contrôleurs de domaine n'autorisent pas le cryptage RC4.
Activer les types de cryptageAES128_HMAC_SHA1 et AES256_HMAC_SHA1.
  1. Sur leServices d'authentification page, assurez-vous que l'onglet applicable est actif, en fonction du type de service d'authentification auquel vous souhaitez vous connecter :
    • Windows Active Directory; ou
    • Répertoire générique: Autre annuaire basé sur LDAP
  2. CliquezNouveau. La page Créer une nouvelle connexion au serveur s'ouvre.
  3. Remplissez les champs ci-dessous, puis cliquez surD'ACCORD.
  4. Une fois terminé, passez àAjout d'utilisateurs et de rôles à partir d'une connexion aux services d'authentification.

Créer une nouvelle connexion au serveur

  • Nom:Donnez un nom à la connexion.
  • Hôte: Le nom d’hôte ou l’adresse IP du service d’authentification qui fonctionne comme contrôleur de domaine. Les contrôleurs de domaine à répartition de charge circulaire ou autres ne sont pas pris en charge ; cependant,Serveurs alternatifs peut être spécifiéci-dessous (sous Champs facultatifs).
    • NoteSiType d'authentification (ci-dessous) estSASL, etHôteest une adresse IP, vous devez également spécifier uneRoyaume.

    DepuisExplorateur AD:

    1. Sélectionnez Fichier > Connecter..., puis cliquez sur OK, en laissant toutes les valeurs vides.
    2. Si AD Explorer se connecte avec succès à Windows Active Directory, le nom d’hôte est imprimé entre crochets.

    Depuis un ordinateur de domaine :

    1. Ouvrez une invite de commande (cmd.exe) via le menu Démarrer.
    2. Tapergpresult /r pour afficher les informations de politique pour l'utilisateur actuel.
    3. Le service d'authentification apparaît sous « La stratégie de groupe a été appliquée à partir de ».
  • Port: Le port utilisé pour communiquer avec les services d'authentification. Les configurations de domaine Windows les plus courantes utilisent le port 389 ou 636.
  • Cryptage de connexion: La méthode de cryptage à utiliser lors de l'authentification avec le service d'authentification.
  • Rechercher le nom du compte: Une fenêtreCompte de service à utiliser pour importer des utilisateurs et des groupes de services d'authentification dansFME Flow. Ce compte nécessite un accès en lecture au contrôleur de domaine.

    • Spécifiez le compte dans l’un des formats suivants :

    Format

    Syntaxe

    Exemple
    Connexion NT DOMAINE\nom d'utilisateur MONENTREPRISE\Utilisateur1
    Nom d'utilisateur principal nom d'utilisateur@domaine.net Utilisateur1@MYCOMPANY.INTERNAL
    Nom distingué CN=...,OU=...,DC=... CN=Utilisateur Un,OU=Comptes de service,OU=Mon entreprise,DC=entreprise,DC=interne
    1. DepuisExplorateur AD, connectez-vous à Active Directory.
    2. Recherchez et sélectionnez l’entrée représentant le compte.
    3. Le nom du compte de service apparaît sous l'attribut sAMAccountName.
  • Rechercher le mot de passe du compte: Le mot de passe du compte de service d'authentification.
  • Attribut du nom du compte: Si l'onglet actif estRépertoire générique, l'attribut de répertoire à utiliser pour la connexion au compte utilisateur dansFME Flow. Les attributs typiques sontUID,mail, ouCN.
  • Attribut de nom de groupe: Si l'onglet actif estRépertoire générique, l'attribut de répertoire à utiliser pour le nom de rôle dansFME Flow. Un attribut typique estCN.
  • Classe d'utilisateurs: Si l'onglet actif estRépertoire générique, leclasse d'objet valeur d'attribut qui identifie les utilisateurs du répertoire. Cette valeur doit être cohérente pour tous les utilisateurs, car elle est utilisée pour rechercher des utilisateurs dans le service d'authentification. Les valeurs d’attribut typiques sontinetOrgPersonetpersonne organisationnelle.
  • Cours en groupe: Si l'onglet actif estRépertoire générique, leclasse d'objet valeur d'attribut qui identifie les groupes de répertoires. Cette valeur doit être cohérente pour tous les groupes, car elle est utilisée pour rechercher des groupes dans le service d'authentification. Une valeur d'attribut typique estgroupeDeNoms.

Authentification

  • Type d'authentification: Spécifiez la méthode d'authentification avec le service d'authentification :
    • Basique: L'authentification SASL n'est pas activée.
    • SASL: Activeauthentification simple et niveau de sécurité (SASL).
      • Mécanisme SASL:
        • GSSAPI: Authentification Kerberos V5
        • GSS-SPNEGO: Mécanisme de négociation GSSAPI simple et protégé
        • EXTERNE: Authentification implicite du contexte
        • DIGEST-MD5: Résumé du message MD5
  • Activer l'authentification unique: Si l'onglet actif estWindows Active Directory, ce paramètre, s'il est coché, permet aux utilisateurs importés depuis cette connexion de se connecter automatiquement àFME Flow avec leurs identifiants Windows.
    • NotePour utiliser l’authentification unique, vous devez également mettre à jour les configurations de votre domaine Windows et de votre navigateur Web. Pour plus d'informations, voir Configuration de l'authentification Windows intégrée .
    • Nom du compte de service: Le nom de WindowsCompte de service pour configurer l'authentification unique, au formatNOM D'UTILISATEUR (ne pas spécifier de DOMAINE).
      1. DepuisExplorateur AD, connectez-vous à Active Directory.
      2. Recherchez et sélectionnez l’entrée représentant le compte.
      3. Le nom du compte de service apparaît sous l'attribut sAMAccountName.
    • Mot de passe du compte de service: Le mot de passe du compte de service Windows.

Champs facultatifs

  • Activer la synchronisation: Lorsque cette option est cochée, la connexion se synchronise avec le service d'authentification à des intervalles spécifiés. Les informations qui se synchronisent incluent :
    • Relations entre les utilisateurs et les groupes. Par exemple, considérons l'utilisateur_1 qui appartient au groupe_1 dansFME Flow en raison d'une relation correspondante dans le service d'authentification. Si cette relation est ultérieurement rompue dans le service d'authentification, la relation entre User_1 et Group_1 sera rompue.FME Flow après le prochain intervalle de synchronisation. De même, si un utilisateur du service d'authentification change de groupe, ce changement sera synchronisé dansFME Flow.
    • Modifications de nom des comptes d'utilisateurs sur le serveur d'annuaire.
      • NoteLorsque la synchronisation se produit,FME Flow garantit que tout changement de nom des services d'authentification ne rompt pas la connexion de l'utilisateur àFME Flow. Cependant,FME Flow ne met pas à jour le nom de connexion de l'utilisateur (Nom d'utilisateur) ou nom d'affichage (Nom et prénom ).
    NoteSi l'option Activer la synchronisation n'est pas cochée, vous pouvez toujours synchroniser la connexion manuellement après sa création. Pour plus d'informations, voir Exécution d'autres tâches sur les connexions aux services d'authentification (Windows Active Directory, autre annuaire basé sur LDAP ou Azure Active Directory) .
    • Intervalle de synchronisation :Spécifiez la fréquence de synchronisation souhaitée.
  • Hôte du KDC: Si l'onglet actif estWindows Active Directory etMécanisme SASL estGSSAPI, spécifiez le nom d'hôte ou l'adresse IP du centre de distribution de clés Kerberos (KDC). Si non spécifié, le KDC est supposé être situé sur le même serveur que le contrôleur de domaine Active Directory.
  • Royaume: Si l'onglet actif estWindows Active Directory etMécanisme SASL estGSSAPIouDIGEST-MD5, précisez ledomaine d'authentification pour l'authentification par résumé de message Kerberos V5 ou MD5. Sur Active Directory, le domaine d’authentification est le nom de domaine. Spécifiez la version en majuscules du nom de domaine, sous sa forme de nom de domaine complet (FQDN). Par exemple, si le nom de domaine complet est domain.net, utilisez DOMAIN.NET. S'il n'est pas spécifié, le domaine d'authentification est supposé être le nom de domaine d'Active DirectoryContrôleur de domaine.
    • NoteSiHôteest une adresse IP, vous devez spécifier unRoyaume.
    1. Ouvrez une invite de commande (cmd.exe) via le menu Démarrer.
    2. Effectuez l’une des opérations suivantes :
      1. Taperécho %USERDNSDOMAIN% pour afficher la variable d'environnement USERDNSDOMAIN.
      2. Le FQDN sera imprimé.

      3. OU:

      1. Taperposte de travail de configuration réseaupour afficher les paramètres réseau de l'ordinateur.
      2. Le FQDN apparaît sous le champ « Nom DNS du domaine du poste de travail ».

    1. Ouvrez « Domaines et approbations Active Directory » dans le menu Démarrer.
    2. Dans l'arborescence de la console (colonne de gauche), une liste de domaines Windows est répertoriée par leurs noms de domaine complets.
  • Bases de recherche: Spécifiez le nom distinctif d'une section (sous-arborescence) du service d'authentification accessible à la connexion. Toutes les sections non spécifiées ne sont pas accessibles. Si non spécifié, l'ensemble du répertoire est accessible.
    1. DepuisExplorateur AD, connectez-vous à Active Directory.
    2. Parcourez le répertoire pour déterminer l'emplacement de tous les utilisateurs et groupes de sécurité auxquels vous souhaitez accéder.FME Flow.
    3. Sélectionnez une entrée à utiliser comme contexte de dénomination.
    4. Le nom distinctif apparaît sous l'attribut « distinguishedName ».
  • Serveurs alternatifs: ActiveFME Flow pour accéder au service d'authentification en utilisant une méthode alternativeHôteetPortcombinaisons. Ce paramètre peut être utile dans l’une ou l’autre de ces situations :
    • Le service d’authentification est accessible à partir de plusieurs serveurs redondants. FME Flowutilise ces serveurs pour accéder au service d'authentification de manière rotative, ce qui répartit la charge entre eux.
    • Si un serveur d’authentification est inaccessible,FME Flow se connecte à un ou plusieurs serveurs alternatifs.

    Pour ajouter unHôteetPortcombinaison, cliquez+. Pour supprimer unHôteetPortcombinaison, cliquez-.

  • Attribut du nom du compte: Si l'onglet actif estWindows Active Directory, l'attribut Active Directory à utiliser pour la connexion au compte utilisateur dansFME Flow. Pour Windows, laissez vide pour utiliser le nom de connexion du compte antérieur à Windows 2000 (sAMAccountName).
  • Attribut de membre du compte: Si l'onglet actif estRépertoire générique, l'attribut du service d'authentification qui contient l'appartenance au groupe d'un compte utilisateur. Cet attribut n’est pas présent dans tous les services d’authentification. Cependant, s'il est présent, il peut rendre l'accès aux répertoires plus efficace. Un attribut typique estmembreDe.
  • Attribut de nom de groupe: Si l'onglet actif estWindows Active Directory, l'attribut à utiliser pour le nom du rôle dansFME Flow. Pour Windows, laissez vide pour utiliser le nom de groupe antérieur à Windows 2000 (sAMAccountName).
  • Attribut du nom complet: L'attribut du service d'authentification à utiliser pour le nom complet du compte utilisateur dansFME Flow. Si l'onglet actif est :
    • Windows Active Directory: Laissez vide pour que Windows puisse l'utilisernom d'affichage.
    • Répertoire générique:Un attribut typique estnom d'affichage.
  • Attribut de courrier électronique: L'attribut du service d'authentification à utiliser pour l'adresse e-mail du compte utilisateur dansFME Flow. Si l'onglet actif est :
    • Windows Active Directory: Laissez vide pour que Windows utilise l'adresse e-mail du compte (mail).
    • Répertoire générique:Un attribut typique estmail.

Lorsque vous importez des comptes d’utilisateurs à partir d’un serveur Azure AD, vos utilisateurs peuvent s’authentifier avecFME Flow en utilisant leurs informations d'identification Azure AD lorsqu'ils :

NoteSi votre architecture FME Flow inclut un proxy inverse ou un équilibreur de charge sur lequel HTTPS est configuré, et que HTTPS n'est pas configuré sur l'instance FME Flow, apportez les modifications suivantes au fichier server.xml, situé dans <FMEFlowDir>\Utilitaires\tomcat\conf :
  • Mettre à jour leproxyPort directive à443 (c'est, proxyPort="443").
  • Mettre à jour leschèmedirective àhttps (c'est, schéma="https").

Une fois terminé, enregistrez et fermez le fichier, etredémarrage leFME Flow services.

Commencer

Pour queFME Flow pour communiquer avec Azure AD, vous devez créer et enregistrerFME Flow en tant qu’application d’entreprise dans Azure AD. Suivez la procédure dansConfiguration d'Azure Active Directory avecFME Flow. Une fois terminé, procédez comme suit :

Sur leServices d'authentification page, assurez-vous queAzure Active Directory l'onglet est actif et cliquez surNouveau. La page Créer un nouveau locataire Azure AD s’ouvre. Remplissez les champs ci-dessous, puis cliquez surD'ACCORD. Une fois terminé, passez àAjout d'utilisateurs et de rôles à partir d'une connexion aux services d'authentification.

  • Nom:Fournissez un nom pour la connexion.
  • ID du locataire: L'ID du répertoire (locataire) qui s'applique auFME Flow inscription.
  • Type de locataire:Si le locataire de cette connexion est unPrimaireouSecondairelocataire. Secondairene peut être spécifié que siFME Flow est enregistré dans Azure AD pour prendre en charge plusieurs locataires. De plus, les deux conditions suivantes doivent être remplies dans Azure AD :
    1. Le locataire bénéficie d'un accès secondaire au locataireFME Flow.
    2. FME Flow se voit accorder l'accès aux utilisateurs et aux groupes du locataire secondaire.

    Pour plus d'informations, voirAccorder l'accès au locataire secondaire àFME Flow dans Azure AD.

  • ID client: L'ID d'application (client) qui a été généré pour leFME Flow inscription.
  • Secret client: La valeur secrète du client de l'application enregistrée. (L'ID secret n'est pas requis.)
  • Activer la synchronisation: Lorsque cette option est cochée, la connexion se synchronise avec le service d'authentification à des intervalles spécifiés. Les informations qui se synchronisent incluent :
    • Relations entre les utilisateurs et les groupes. Par exemple, considérons l'utilisateur_1 qui appartient au groupe_1 dansFME Flow en raison d'une relation correspondante dans le service d'authentification. Si cette relation est ultérieurement rompue dans le service d'authentification, la relation entre User_1 et Group_1 sera rompue.FME Flow après le prochain intervalle de synchronisation. De même, si un utilisateur du service d'authentification change de groupe, ce changement sera synchronisé dansFME Flow.
    • Modifications de nom des comptes d'utilisateurs sur le serveur d'annuaire.
      • NoteLorsque la synchronisation se produit,FME Flow garantit que tout changement de nom des services d'authentification ne rompt pas la connexion de l'utilisateur àFME Flow. Cependant,FME Flow ne met pas à jour le nom de connexion de l'utilisateur (Nom d'utilisateur) ou nom d'affichage (Nom et prénom ).
    NoteSi l'option Activer la synchronisation n'est pas cochée, vous pouvez toujours synchroniser la connexion manuellement après sa création. Pour plus d'informations, voir Exécution d'autres tâches sur les connexions aux services d'authentification (Windows Active Directory, autre annuaire basé sur LDAP ou Azure Active Directory) .
    • Intervalle de synchronisation :Spécifiez la fréquence de synchronisation souhaitée.

Quelle est la prochaine étape ?

Procéder àAjout d'utilisateurs et de rôles à partir d'une connexion aux services d'authentification.