Synchronisation de votre Google Apps avec votre annuaire LDAP

Dans les billets précédents nous avons vu comment mettre en place une infrastructure d’identité reposant sur des composants open-source comme OpenLDAP, LemonLDAP::NG, Google Authenticator etc …
Cependant si votre entreprise utilise une Google Apps pour gérer ses mails et agendas, vous êtes peut-être à la recherche d’un mécanisme permettant d’uniformiser la gestion de l’identité entre votre annuaire et Google.

La solution à votre problème vous est fourni directement par Google et s’appelle Google Apps Directory Sync. C’est un outil fonctionnant sous Linux, Solaris et Windows en JAVA. Il permet de synchroniser une partie de votre annuaire en mappant un certain nombre d’objet de votre annuaire LDAP avec des objets de votre Google Apps.

Vous pouvez ainsi synchroniser :

  • Vos boites utilisateurs et leurs boites mail : plus besoin de créer les boites mail de vos nouveaux collaborateurs. Après la création de ceux-ci dans votre annuaire, ils sont automatiquement créés sur votre Google Apps.
  • Les groupes de mail : il est possible de créer les groupes dans votre Google Apps en créant des groupOfNames dans votre annuaire.
  • Les mots de passe de vos utilisateurs sont  aussi synchronisable au détriment d’un peu de sécurité. Google Apps Directory Sync permet la synchronisation de vos mots de passe hashé en MD5 et SHA. Malheureusement le stockage le plus fiable des mots de passe par OpenLD, sous forme Hashé et Salé en SSHA, n’est pas supporté.
  • etc …

Pour cela vous devez activer l’utilisation de l’API sur votre Google Apps. Toutes les explications d’installation et de configuration sont trouvable à cette adresse.

La synchronisation entre votre annuaire et votre Google Apps ne se fait pas en temps réel mais seulement à l’exécution d’un script avec votre fichier de conf décrivant comment mapper votre annuaire avec Google. Vous pouvez si vous souhaitez automatiser le processus mettre cette synchronisation sous forme de Cron.

Comme vous avez pu le remarquer ce billet n’est pas un billet technique. Il a pour but de présenter une fonctionnalité permettant de placer l’annuaire LDAP au centre de la gestion de le l’identité au sein de votre SI. Vous n’aurez plus à réaliser n fois les actions de gestion de votre personnel : création, modification et suppression de compte. Votre annuaire prend alors sa vrai place de référentiel de l’identité de votre entreprise malgré l’externalisation d’une partie de votre SI dans le « cloud » !

Share
  1. Bonjour, tout d’abord, merci pour tout ses billets intéressant.

    Nous avons migré vers une solution Google Apps dans l’urgence… J’avais regardé de prêt l’outil Google Apps Directory Sync. Mais par manque de temps je n’est pu le mettre en place. J’ai regardé ensuite comment le mettre en place après avoir migré les utilisateurs. Seulement, Par crainte de synchro unidirectionnel j’ai peur que mes comptes actuellement présent soit supprimé ou non utilisable. Avez vous un retour d’expérience sur se cas?

    Merci d’avance.

    • Bonjour,
      Merci pour l’encouragement.
      Votre souci est tout à fait légitime mais peut être géré par deux éléments. Premièrement la commande sync-cmd, qui permet de mettre à jour la Google Apps via l’API, est par défaut en dry-run. Elle n’applique pas les modifications et se contente de prévenir ce qu’elle ferait en cas d’application ce qui vous laisse l’opportunité d’ajouter les éventuels utilisateurs manquants à votre annuaire.
      Deuxièmement, l’option « Google Apps Users Delation / Suspension Policy » vous permet de configurer le comportement par défaut lorsqu’un utilisateur est présent sur votre Google Apps mais absent de l’annuaire.
      En jouant avec ces deux options vous devriez être en mesure de mettre en place cette synchronisation à posteriori (ce que nous avons fait aussi).

      Bon courage !

Laisser un commentaire