Vous pouvez configurer des seuils de sécurité de synchronisation pour votre annuaire Workspace ONE Access pour éviter d'apporter des modifications involontaires aux utilisateurs et aux groupes lors de la synchronisation de l'annuaire avec votre annuaire d'entreprise. Certains seuils sont définis par défaut.

À propos des protections de synchronisation

Les protections de synchronisation limitent le nombre de modifications pouvant être apportées aux utilisateurs et aux groupes lorsque l'annuaire se synchronise. Vous pouvez définir différents seuils pour des actions telles que la création d'utilisateurs, la mise à jour d'utilisateurs, la mise à jour de groupes ou la suppression de groupes. Si les modifications dépassent l'un des seuils, la synchronisation d'annuaire s'arrête et une erreur s'affiche dans l'onglet Journaux de synchronisation de l'annuaire. Si vous avez configuré SMTP dans la console Workspace ONE Access, vous recevez également un e-mail lorsque la synchronisation échoue en raison d'une violation de la protection.

Lorsque la synchronisation échoue, vous pouvez accéder à l'onglet Journaux de synchronisation de l'annuaire pour afficher une description du type de violation de la sécurité.

Pour terminer la synchronisation, vous pouvez augmenter le seuil de la protection dans l'onglet Paramètres de synchronisation > Protections, ou effectuer une synchronisation manuelle avec l'option Synchroniser > Synchroniser sans protection sur la page de l'annuaire. Lorsque vous effectuez une synchronisation à l'aide de l'option Synchroniser > Synchroniser sans protection, les seuils de protection ne sont appliqués que pour la session de synchronisation actuelle.

Lors de la première synchronisation d'un annuaire, les seuils de sécurité de synchronisation ne sont pas appliqués.

Note : Si vous ne souhaitez pas utiliser de protections de synchronisation pour votre annuaire, supprimez les valeurs de seuil existantes dans l'onglet Paramètres de synchronisation > Protections de l'annuaire. Lorsque les zones de texte de seuil sont vides, les protections de synchronisation ne sont pas activées.

Configurer les protections de synchronisation d'annuaire dans Workspace ONE Access

Configurez les seuils de protection de synchronisation pour limiter le nombre de modifications pouvant être apportées aux utilisateurs et aux groupes lorsque l'annuaire Workspace ONE Access se synchronise avec votre annuaire d'entreprise. Si les modifications dépassent un seuil quelconque, la synchronisation d'annuaire s'arrête.

Note : Certains seuils sont définis par défaut. Si vous ne souhaitez pas utiliser de protections de synchronisation pour votre annuaire, supprimez les valeurs de seuil existantes dans l'onglet Paramètres de synchronisation > Protections de l'annuaire. Lorsque les zones de texte de seuil sont vides, les protections de synchronisation ne sont pas activées.

Procédure

  1. Dans la console Workspace ONE Access, sélectionnez Intégrations > Annuaires.
  2. Cliquez sur l'annuaire pour lequel vous souhaitez définir des protections.
  3. Sélectionnez l'onglet Paramètres de synchronisation > Protections.
  4. Pour chaque protection que vous souhaitez configurer, définissez le pourcentage de modifications qui déclencheront l'échec de la synchronisation.
    Si vous ne souhaitez pas définir de seuil pour une protection, laissez la zone de texte vide.
    Vous ne pouvez définir des seuils pour les actions suivantes :
    • Suppression d'utilisateurs d'un groupe
    • Ajout d'utilisateurs à un groupe existant
    • Création d'utilisateurs
    • Suppression d'utilisateurs
    • Mise à jour d'utilisateurs
    • Suppression d'un groupe contenant des utilisateurs (suppression d'un groupe contenant une valeur supérieure au pourcentage d'utilisateurs spécifié)
    • Suppression de groupes
      Note : Cette protection n'est disponible qu'avec Workspace ONE Access Connector 23.09.
    • Mise à jour de groupes (mise à jour des attributs de groupes tels que domain ou groupName, qui sont synchronisés à partir de votre annuaire d'entreprise, dans une valeur supérieure au pourcentage de groupes spécifié)
      Note : Cette protection n'est disponible qu'avec Workspace ONE Access Connector 23.09.
    Par exemple :
    Vous pouvez entrer des seuils en pourcentages pour diverses actions telles que la création d'utilisateurs, la mise à jour d'utilisateurs et la suppression d'utilisateurs de groupes.
  5. Cliquez sur Enregistrer.

Afficher les violations de sécurité de la synchronisation

Lorsque la synchronisation d'annuaire échoue en raison d'une violation de sécurité de la synchronisation, vous pouvez afficher les journaux de synchronisation pour vérifier quels seuils de sécurité ont été dépassés.

Procédure

  1. Sur la page de l'annuaire, sélectionnez l'onglet Journaux de synchronisation.
    ""
  2. Cliquez sur le lien Échec de la synchronisation en raison d'une exception dans la colonne Détails de la synchronisation.
    ""
    Note : Vous ne pouvez pas cliquer sur l'erreur Échec de la synchronisation en raison d'une exception si la synchronisation a échoué pour une raison autre qu'une violation de sécurité. Dans ce cas, examinez les journaux du service de synchronisation d'annuaire sur le serveur de connecteur pour résoudre l'erreur.
    La fenêtre contextuelle fournit des informations sur les seuils de sécurité de synchronisation qui ont été dépassés. Par exemple :
    « Cet exemple comporte deux violations de sécurité : tentative de suppression de tous les utilisateurs lorsque la limite est de 5 % et tentative de suppression d'un groupe contenant plus de 70 % de tous les utilisateurs. »
  3. Pour plus d'informations sur les utilisateurs et les groupes affectés par la violation de sécurité, consultez les journaux du service de synchronisation d'annuaire sur le serveur de connecteur.
    Ces informations sont disponibles dans Workspace ONE Access Connector 23.09 et versions ultérieures.

Que faire ensuite

Après avoir examiné les violations de sécurité, vous pouvez effectuer l'une des actions suivantes pour terminer la synchronisation :

  • Ajustez les paramètres de synchronisation de l'annuaire pour limiter le nombre de modifications qui seront apportées lors de la synchronisation, puis effectuez une nouvelle synchronisation.
  • Augmentez les seuils de sécurité de synchronisation, puis effectuez à nouveau la synchronisation.
  • Terminez la synchronisation en ignorant les paramètres de sécurité de synchronisation.
    Attention : Soyez très prudent lorsque vous effectuez une synchronisation sans protection dans les environnements de production, car cela peut avoir des effets inattendus tels que la suppression d'utilisateurs et de groupes.

Comment ignorer les paramètres de sécurité pour terminer la synchronisation avec l'annuaire Workspace ONE Access

Si vous recevez une notification indiquant que la synchronisation de votre annuaire Workspace ONE Access ne s'est pas terminée en raison d'une violation de la sécurité, et si vous décidez de procéder à la synchronisation après un examen approfondi, vous pouvez remplacer le paramètre de sécurité et terminer la synchronisation.

Attention : Soyez très prudent lorsque vous effectuez une synchronisation sans protection dans les environnements de production, car cela peut avoir des effets inattendus tels que la suppression d'utilisateurs et de groupes.

Procédure

  1. Dans la console Workspace ONE Access, sélectionnez Intégrations > Annuaires.
  2. Cliquez sur l'annuaire qui n'a pas terminé la synchronisation.
  3. Dans le menu déroulant Synchroniser, sélectionnez Synchroniser sans protection.
    ""

Résultats

La synchronisation d'annuaire s'exécute et les paramètres de seuil de sécurité sont ignorés pour cette session de synchronisation uniquement.