Bien comprendre l'import de profils dans MOSS 

Admin, Office Server 2007, Profils, Active Directory, Sharepoint

MOSS, dans sa version Standard & Entreprise, offre une fonctionnalité intéressante : la gestion des profils. Il est possible avec MOSS d’enrichir un utilisateur avec plus de propriétés que ce que ne propose l’Active Directory. Lors de la mis en place d’une plateforme MOSS en authentification intégrée, on précise quel est notre Active Directory qui va servir à récupérer tous les utilisateurs de notre société et ainsi importer les profils depuis l’AD vers MOSS. Du coup, je me pose une question simple : est-il possible de n’importer que certains profils depuis l’AD, de spécifier par exemple des critères auxquels les profils doivent répondre ? La réponse est bien entendu tout aussi simple : Oui !

En effet, dans le paramétrage des profils utilisateur vous pouvez directement entrer des requêtes LDAP qui vont permettre de ne sélectionner qu’un certain nombre de profils. La syntaxe est certes un peu barbare, elle n’en reste pas moins puissante.

 

Par défaut, la page de configuration des imports de MOSS va vous afficher ceci :

 

Default AD Config

 

En standard, la requête va récupérer toutes les personnes de l’Active Directory pour les importer dans MOSS.

 

Imaginez maintenant que vous ne voulez pas rapatrier les utilisateurs inactifs de l’AD (ceux qui ont quitté l’entreprise par exemple), la requête deviendra alors :

 

(
   &
   (!(userAccountControl:1.2.840.113556.1.4.803:=2))
   (
      &
      (objectCategory=Person)
      (objectClass=User)
   )
)

 

[Le tout sur une ligne bien entendu, je le décompose ici en la C#ish pour que cela soit plus lisible].

 

Pour aller plus loin, vous pouvez filtrer sur certaines propriétés de l’Active Directory pour affiner votre requête. Par exemple, pour des raisons qui vous appartiennent, vous ne voulez pas rapatrier les utilisateurs dont le nom du compte contiendrait la chaîne « Durand ». Le filtre à spécifier sera :

 

(
   &
   (!displayName=*Durand*)
   (
      &
      (objectCategory=Person)
      (objectClass=User)
   )
)

 

Voila pour le côté syntaxique des requêtes LDAP. Je vous invite à vous reporter à la documentation MSDN pour avoir plus d’information sur ce sujet, et pour voir comment tirer un maximum de cette possibilité.

 

Cependant, j’ai souvent vu la confusion suivante : il ne faut pas confondre « Import des profils » et « sécurité ». En effet, ce n’est pas parce-que vous n’importez pas les profils contenant la chaîne « Durand » que l’utilisateur « Jean Durand » ne pourra pas accéder à votre portail. En effet, si la sécurité que vous avez mise en place précise que tous les utilisateurs authentifiés peuvent se connecter (ou que vous avez explicitement donné accès à cet utilisateur), alors cet utilisateur pourra venir sur votre portail, même s’il n’a pas de profil. Par contre, si Mr Durand accède à la page lui permettant d’éditer son profil, SharePoint lui en créera un nouveau automatiquement.

 

On se rend donc compte que la fonctionnalité « Import des profils » que vous trouvez dans votre Shared Service Provider n’est qu’un raccourci permettant :

 

    • De créer tous les profils la première fois et dès qu’un utilisateur est ajouté à l’AD,
    • De synchroniser les informations de l’AD avec le profil utilisateur de MOSS.

 

Si vous ne voulez pas que les « Durand » accèdent à votre portail, il faudra le spécifier explicitement dans les paramètres de sécurité (soit de la collection, soit dans les « Autorisations pour les applications Web » depuis la console centrale d’administration).

 

Pour en finir avec ce billet, voici quelques petites constations que j’ai pu faire :

 

  • Si vous modifiez a posteriori vos requêtes LDAP, lors du prochain import, les profils ne répondant plus à vos règles, mais se trouvant dans la base de profils MOSS seront basculés dans la vue « Profils manquants suite à l’import ».

    View Use Profile

    En effet, les profils ne seront pas effacés automatiquement ! Il faudra soit le faire à la main, soit écrire un bout de code et l’exécuter en tant que tâche planifiée par exemple.

  • Je reprends mon cas de figure précédent : je n’importe pas les profils « Durand » mais j’autorise l’accès à ma collection à tous les utilisateurs authentifiés. Un Durand arrive sur mon portail, édite son profile et le sauvegarde. Un profil est donc ajouté à ma base de profils de MOSS comme nous l’avons vu précédemment. Lors de l’import suivant, je m’attends tout simplement à ce que ce profil soit basculé dans la vue « Profils manquants suite à l’import ». En fait non, le profil reste dans la section actif, et ce comportement me parait étrange : peut-être est-ce dû au fait que le profil ne contient pas toutes les informations requises car il ne provient pas de l’AD, et donc SharePoint ne sait pas quoi en faire ?

En conclusion, il ne faut pas confondre « Imports de profils » et « sécurité ». Pensez donc bien à synchroniser vos règles de sécurité avec vos règles d’import des profils pour ne pas avoir de mauvaises surprises, et pour garder une base de profils propre.

 
Posté le 20 Nov 08
Commentaire (1)  |  Url de Trackback  | Lien vers ce message (0) | Marquez ce billet avec:        
 

Liens vers ce message

Commentaires


(22-Oct-2009)

Nom *:
URL:
Email:
Commentaires:

© 2009 Julien Chomarat - Design based on Blue World