Active Directory utilisant LDAP
Coupa peut s'intégrer à un LDAP à la fois. Les clients ayant plusieurs LDAP doivent créer une couche virtuelle/proxy au-dessus de plusieurs LDAP.
Introduction
Coupa prend en charge l'utilisation d'un serveur LDAP ou Microsoft ActiveDirectory externe pour l'authentification. Cela permet aux utilisateurs de se connecter à Coupa en utilisant les mêmes informations d'identification qui leur donnent accès à ses applications intranet.
Coupa peut s'intégrer à un LDAP à la fois. Les clients ayant plusieurs LDAP doivent créer une couche virtuelle/proxy au-dessus de plusieurs LDAP.
Avantages
L'intégration de votre instance Coupa à votre serveur d'annuaire offre plusieurs avantages, notamment :
- Les utilisateurs n'ont pas besoin de se souvenir d'un nouveau mot de passe pour Coupa
- Les modifications de mot de passe sont reflétées instantanément dans Coupa
- Appliquer les politiques de mot de passe définies dans votre serveur d'annuaire
- Centraliser le contrôle des comptes via votre serveur d'annuaire
Détails d'implémentation
- Connexion au serveur d'annuaire en tant que compte non privilégié fourni.
- Effectuez une recherche pour l'utilisateur qui essaie de se connecter :
- Coupa fait correspondre
sAMAccountNameaux informations d'identification fournies par l'utilisateur - Coupa fait correspondre
objectClassàorganizationalPerson
- Coupa fait correspondre
- Coupa se lie au serveur d'annuaire en utilisant le nom distinctif de l'utilisateur que nous avons trouvé et le mot de passe fourni par l'utilisateur.
- Laissez l'utilisateur entrer dans Coupa si l'étape 3 a réussi.
Informations obligatoires
| Info | Détails | Fourni par |
|---|---|---|
| Adresses IP du serveur Coupa | Les adresses IP Coupa spécifiques auxquelles le client se connectera. Utilisez les adresses IP pour maintenir les règles du pare-feu aussi restrictives que possible. | Coupa |
| Hôte | L'adresse IP du serveur et le nom d'hôte auxquels se connecter | Client |
| Port | Le port auquel se connecter. Coupa utilise des connexions LDAPS qui se trouvent généralement sur le port 636. Un certificat TLS est requis pour que LDAPS fonctionne correctement. | Client |
| Base | Le DN de base pour la recherche LDAP | Client |
| Domaine | Le domaine Active Directory | Client |
| Nom d'utilisateur | Le nom d'utilisateur de l'utilisateur avec lequel se connecter, cet utilisateur ne doit avoir aucune autorisation en plus de lier et de rechercher | Client |
| Mot de passe |
Le mot de passe pour l'utilisateur ci-dessus |
Client |
Limites
Notre expérience a révélé quelques limites qui peuvent ou non constituer une préoccupation pour votre organisation :
- Il peut être nécessaire de créer une règle de pare-feu pour permettre au serveur Coupa de se connecter au serveur d'annuaire si ce dernier réside dans un intranet protégé par un pare-feu
- Un compte non privilégié doit être créé pour que Coupa Server se lie au serveur d'annuaire afin d'effectuer l'authentification
- Les informations d'identification sont envoyées en dehors de l'intranet (bien que toutes les communications réseau avec Coupa soient protégées par un cryptage SSL de haut niveau)
À partir de Coupa R23, nous appliquons la validation de certificat pour la connexion au serveur LDAP. Cela signifie que vous ne pouvez plus utiliser une adresse IP pour vous connecter via LDAP, mais que vous devez utiliser un FQDN valide (c'est-à-dire myldapserver.mydomain.com )
Cela signifie également que le certificat présent sur la machine à laquelle nous nous connectons doit correspondre au nom du serveur.
Veuillez le valider auprès de votre service informatique interne et si vous avez des questions, ouvrez un ticket de support avant de mettre à niveau votre instance de production vers R23.
Veuillez également consulter notre article FAQ sur l'authentification unique (SSO).