Modifications de l'outil d'annuaire au DTIC

[vbombaerts]

A tester

Le DTIC a lancé en 2019 un projet de remplacement des technologies obsolètes de l’annuaire. Ce projet vise d’une part à pérenniser les fonctionnalités existantes avec une nouvelle solution moderne et respectueuse des normes reconnues (LDAP V3 et X520, X521) et d’autre part à offrir des avantages telles qu’une sécurisation renforcée, la mise à disposition de trois environnements distincts (Test, valid et production), la délégation de l’authentification, la possibilité d’interroger l’annuaire via des webservices (en cours de développement). Nous nous sommes attachés à ce que ce changement soit le moins perturbateur possible pour les applications consommatrices des données présentes dans les annuaires. Néanmoins, on ne peut garantir la complète transparence de ce type de changement. C’est pourquoi, nous vous suggérons d’exécuter des tests de votre application dans l’environnement de test surtout pour les fonctionnalités liées à des informations provenant de l’annuaire. Nous attirons votre attention sur les points suivants :

• Le nom DNS de l’environnement de test (similaire à l’existant) est : o Nom : ref-identites.spw.test.wallonie.be o Port : 389 (mode en clair)

• Les attributs vides n’existent plus et sont donc absents de l’annuaire (voir communication précédente) ;

• Pour les utilisateurs internes, l’authentification est déléguée à l’ActiveDirectory (système de login de Windows). Ce changement est transparent comme, actuellement, le mot de passe de l’AD est recopié dans l’annuaire. Nous souhaitons que votre application de test (pas de validation) ne soit plus connectée à l’annuaire actuel (i.e. OVD) de validation pour la fin-juin. Si des régressions devaient apparaître et qui ne pourraient pas être résolues rapidement un report de cette date serait envisagé. Il est à noter que vous pourrez, durant la période de vos tests, rebasculer à tout moment sur l’OVD de validation (en restaurant la configuration initiale de connexion à l’annuaire initial). Une communication sera envoyée ultérieurement pour demander le basculement de votre application en validation.

[davinciagf]

Fait et testé sur mon compte RW (cf mails)

[vbombaerts]

Déploiement de l'instance de valid du nouvel annuaire. L'ancien annuaire sera coupé en valid au 27/08/21

[vbombaerts]

En valid,

• quand un nouvel utilisateur se connecte, un profil est créé pour lui. Son prénom et son nom sont récupérés de l'annuaire. L'admin ajoute ensuite les droits sur le profil utilisateur --> OK
• quand l'admin initie un profil depuis le LDAP en octroyant des droits à l'utilisateur. Le profil est créé mais les prénoms et noms ne sont pas récupérés du LDAP, même après connexion de l'utilisateur --> obligation de les encoder manuellement --> KO.

[vbombaerts]

J'ai voulu tester la manip en test mais pas réussi à supprimer mon compte. #642

[davinciagf]

Pour le second cas, il semble que la connexion utilisateur ne mette pas à jour le profil utilisateur créé par l'admin mais au contraire initie la création d'un nouvel utilisateur (idem procédure cas 1). On se retrouve donc avec deux utilisateurs disposant du même identifiant LDAP : l'un initié par l'administrateur et un second initié par l'utilisateur.

[davinciagf]

J'ai refait un test et c'est ok pas de doublon et conservation des droits.

[vbombaerts]

@davinciagf Aujourd'hui j'ai modifié mon mot de passe SPW. La modification a été prise en compte en test (nouvel annuaire) et en prod (ancien annuaire) mais pas en valid (nouvel annuaire). --> impossible de me connecter. Comment la relation Metawal - annuaire SPW est-elle gérée ? Metawal récupère sur base régulière les mises à jour des identifiants des utilisateurs ou se connecte-t-elle en direct ? Dois-je juste attendre une synchronisation ? Faut-il remonter le problème à l'équipe annuaire au DTIC ?

[davinciagf]

Connection direct au LDAP pour chaque authentification depuis MW. Pas de récupération mais bien une interaction avec le LDAP. Dès lors, si le LDAP a bien récupéré ton nouveau pwd, il ne devrait y avoir de soucis de connection. Potentiel gap de synchronisation entre les LDAP ? @vbombaerts, as-tu également essayé avec l'ancien pwd sur la valid pour voir si le LDAP valid était bien synchroniser ?

[vbombaerts]

Ne fonctionne toujours pas. Le nouveau mdp est reconnu en test et prod mais pas en valid.

[vbombaerts]

L'annuaire sera opérationnel en prod à partir du 17/11. Voir mail forwardé à Arnaud le 08/10

[vbombaerts]

Toujours pas fonctionnel en valid. On verra ce que ça donne en prod.

[vbombaerts]

KO en prod Impossible de créer un nouvel utilisateur LDAP Impossible pour un utilisateur LDAP existant de se connecter.

[vbombaerts]

Paramètres de connexion adaptés. OK maintenant.