Synchronisation AD multi-domaines
Contexte
Si votre entreprise possède plusieurs entités juridiques ou domaines informatiques, Avanteam peut fusionner ces sources dans un organigramme unique.
Prérequis
Prérequis
- Accès à plusieurs domaines Active Directory
- Comptes de service avec droits de lecture sur chaque domaine
- Droits d'administration système Avanteam
- Configuration réseau permettant la communication entre domaines
Principe de fonctionnement
Fusion Logique
Un collaborateur d'un domaine A peut être rattaché hiérarchiquement à un manager d'un domaine B. Le système unifie ces informations dans un seul organigramme cohérent.
Architecture multi-domaines
- Plusieurs forêts AD : Support de plusieurs annuaires Active Directory distincts
- Unification : Fusion des données dans un organigramme unique Avanteam
- Gestion des conflits : Règles de priorité en cas de doublons
Configuration
Définir les domaines sources
Pour chaque domaine AD, configurez :
- Chemin LDAP :
LDAP://DC=domaine1,DC=com,LDAP://DC=domaine2,DC=com - Compte de service : Identifiants avec droits de lecture sur chaque domaine
- Port de connexion : Par défaut 389 (LDAP) ou 636 (LDAPS)
Filtres LDAP par domaine
Configurez des filtres distincts par entité pour alimenter un organigramme unique et cohérent lors des synchronisations automatiques.
Exemple de filtre par domaine :
Domaine 1 (Siège) :
(&(objectCategory=person)(objectClass=user)(company=Siège))
Domaine 2 (Filiale) :
(&(objectCategory=person)(objectClass=user)(company=Filiale))
Mappage des attributs
Associez les attributs AD de chaque domaine aux champs Avanteam :
| Attribut AD | Champ Avanteam | Notes |
|---|---|---|
| sAMAccountName | Identifiant | Préfixez avec le nom du domaine si nécessaire |
| displayName | Nom complet | |
| manager | Responsable | Peut pointer vers un autre domaine |
| department | Service | |
| company | Société | Pour identifier l'origine |
Gestion des relations inter-domaines
Le système permet de :
- Désigner un manager du domaine A pour un collaborateur du domaine B
- Créer des services transverses regroupant plusieurs domaines
- Gérer les délégations entre domaines
Planification de la synchronisation
Fréquence recommandée
- Quotidienne : Pour les environnements stables
- Plusieurs fois par jour : Pour les environnements en forte évolution
- Temps réel : Utiliser Azure AD avec webhook (pour Azure AD uniquement)
Ordre de synchronisation
- Synchronisation des utilisateurs de chaque domaine
- Synchronisation des services et de la hiérarchie
- Résolution des relations inter-domaines (managers, délégations)
- Vérification de la cohérence de l'organigramme final
Gestion des conflits
Doublons potentiels
Lorsqu'un utilisateur existe dans plusieurs domaines :
- Stratégie de fusion : Définissez quel domaine est prioritaire
- Identifiant unique : Utilisez l'email comme clé d'identification
- Marqueurs : Ajoutez un préfixe au login (ex: DOM1\user, DOM2\user)
Relations brisées
Si un manager n'est pas trouvé dans aucun domaine :
- Log d'alerte : Le système enregistre l'anomalie
- Action manuelle : L'administrateur doit corriger la relation
- Fallback : Possibilité de définir un manager par défaut
Monitoring
Tableau de bord de synchronisation
Accédez aux statistiques de synchronisation :
- Nombre d'utilisateurs synchronisés par domaine
- Nombre de relations hiérarchiques créées
- Liste des erreurs et conflits
- Durée de la dernière synchronisation
Logs détaillés
Consultez les logs pour :
- Identifier les utilisateurs non synchronisés
- Détecter les relations inter-domaines
- Vérifier les mappages d'attributs
- Tracer les modifications apportées
Cas d'usage : Groupe international
Contexte
Une entreprise possède :
- Un siège social en France (domaine FR)
- Une filiale en Allemagne (domaine DE)
- Une filiale aux États-Unis (domaine US)
Configuration
- Trois connexions LDAP configurées dans Avanteam
- Filtres par pays pour cibler chaque domaine
- Organigramme unifié : Le PDG (France) manage les directeurs de chaque filiale
- Workflows transverses : Un projet peut impliquer des valideurs des 3 pays
Résultat
- Visibilité globale de l'organisation
- Workflows de validation internationaux
- Gestion centralisée des droits
- Reporting consolidé
Sécurité
Bonnes pratiques
- Comptes de service dédiés : Un par domaine avec droits minimaux
- LDAPS : Utilisez LDAP sécurisé (port 636) pour chiffrer les communications
- Firewall : Autorisez uniquement les flux nécessaires entre domaines
- Audit : Tracez toutes les synchronisations dans les logs
Gestion des droits
- Les droits sont gérés de manière centralisée dans Avanteam
- La synchronisation ne modifie que les données d'annuaire
- Les profils et rôles métier restent sous contrôle des administrateurs Avanteam
Dépannage
Problème : Utilisateurs non synchronisés
Causes possibles :
- Filtre LDAP trop restrictif
- Compte de service sans droits suffisants
- Problème de connectivité réseau
Solution :
- Vérifiez les logs de synchronisation
- Testez la connexion LDAP avec un outil externe (LDP.exe)
- Ajustez les filtres si nécessaire
Problème : Relations hiérarchiques incorrectes
Causes possibles :
- Attribut "manager" mal renseigné dans l'AD
- Format du DN (Distinguished Name) incompatible
- Manager dans un domaine non synchronisé
Solution :
- Vérifiez les données dans l'AD source
- Ajustez le mappage des attributs
- Créez manuellement les relations manquantes