Passer au contenu principal
En règle générale, le connecteur AD/LDAP doit être installé par un administrateur système ou un ingénieur des opérations plutôt que par un développeur, puisqu’il nécessite souvent un accès aux ressources de production. Voici une liste de contrôle des éléments à prendre en compte avant l’installation proprement dite :

Serveurs hôtes

Le connecteur peut être installé sur un serveur existant, même sur un contrôleur de domaine. Toutefois, il est le plus souvent installé sur des machines virtuelles dédiées au connecteur. Dans tous les cas, le serveur hôte doit respecter les spécifications et configurations matérielles et logicielles suivantes :

Configuration matérielle requise

  • Architecture : x86 ou x86-64
  • Cœurs du processeur : min. 1, 2 recommandés
  • Stockage : 500 MB d’espace disque libre
  • Système d’exploitation : Le connecteur peut s’exécuter sous Windows ou Linux. Windows est requis si l’authentification Kerberos est utilisée.
  • RAM : min. 2 GB

Version de Windows

Nous vous recommandons d’utiliser une version prise en charge de Windows Server, comme Windows Server 2016 ou Windows Server 2019. Le connecteur peut également fonctionner sur Windows Server 2012 R2.

Synchronisation de l’heure

Il est essentiel que l’horloge du serveur hôte du Connector soit automatiquement synchronisée avec un serveur NTP. Sinon, le connecteur ne pourra pas démarrer et signalera une erreur de décalage d’horloge.

Connectivité sortante

Le serveur hôte doit disposer d’une connectivité réseau sortante vers les services suivants :

Auth0

Le connecteur doit être installé sur un serveur ayant une connectivité sortante vers le service Auth0 à l’adresse suivante : https://{yourDomain} sur le port 443. Le connecteur peut être installé et configuré derrière un serveur proxy, mais ce n’est pas recommandé. Activez un proxy à l’aide de la variable d’environnement ou de configuration HTTP_PROXY.

LDAP

Le connecteur doit être installé sur un serveur ayant accès au serveur LDAP sur le port 389 pour LDAP ou 636 pour LDAPS. Avant d’installer le connecteur, vous devez connaître la chaîne de connexion LDAP et le DN de base nécessaires pour vous connecter à votre répertoire LDAP.

Connectivité entrante

Vous n’avez pas besoin d’activer la connectivité entrante pour le connecteur, sauf si l’authentification Kerberos ou par certificat est activée. Dans ce cas, le ou les serveurs sur lesquels le connecteur est installé doivent être accessibles depuis les navigateurs de vos utilisateurs sur le port 443. Si plus d’une instance du connecteur est installée, vous devriez utiliser un répartiteur de charge pour acheminer le trafic vers l’une ou l’autre des instances du connecteur. Pour en savoir plus, consultez Configurer l’authentification du connecteur AD/LDAP avec Kerberos ou Configurer l’authentification du connecteur AD/LDAP avec des certificats clients.

Compte de service

Le connecteur sera exécuté à l’aide d’un compte de service qui doit correspondre à un utilisateur du domaine ayant au minimum un accès en lecture au répertoire. Vous aurez besoin du nom d’utilisateur et du mot de passe de ce compte au moment de l’installation.

Un connecteur par locataire Auth0

Si vous mettez en place plusieurs locataires Auth0, par exemple pour isoler les environnements de développement et de production, vous devrez configurer une connexion AD/LDAP dans le , ainsi qu’un connecteur AD/LDAP pour chaque locataire Auth0 qui a besoin de ce mode d’authentification. Un connecteur est associé à une connexion précise dans un locataire Auth0. Il est possible d’avoir plusieurs connecteurs dans un même locataire Auth0 si vous avez plusieurs répertoires AD/LDAP auxquels les utilisateurs s’authentifieront. Par exemple, pour prendre en charge différents services ou clients, chacun ayant son propre répertoire. De plus, plusieurs connecteurs peuvent pointer vers le même répertoire AD ou LDAP, mais un connecteur ne peut être utilisé que par une seule Connexion Auth0 dans un seul locataire Auth0.

Haute disponibilité

Le connecteur peut être installé sur plusieurs serveurs hôtes afin d’assurer une haute disponibilité et une redondance (la plupart des organisations en déploient deux), au cas où l’un des serveurs deviendrait indisponible. Chaque serveur doit répondre aux mêmes exigences que celles indiquées ci-dessus. Aucun répartiteur de charge n’est requis, car cette fonction est assurée par le serveur Auth0 lui-même, à moins que vous n’activiez Kerberos ou l’authentification par certificat client. Pour en savoir plus, consultez Déployer des connecteurs AD/LDAP pour des environnements à haute disponibilité.

En savoir plus