Aller au contenu principal

Utilisateurs LDAP

L'écran Utilisateurs LDAP est le catalogue brut des comptes lus dans l'annuaire LDAP / Active Directory de l'entreprise. Une ligne par entrée d'annuaire, avec les attributs Active Directory côte à côte.

Cette liste est la référence d'identité sur laquelle Nomasx-1 rapproche les comptes utilisateurs trouvés dans chaque application connectée. Un utilisateur connu du système source mais absent de cette liste se retrouve sur Utilisateurs sans AD ; un département présent ici alimente la matrice Utilisateurs par applications.

Vue d'ensemble

Nomasx-1 · Sécurité · LDAP · UtilisateursSAM ACCOUNTNOM AFFICHÉDÉPARTEMENTUPNEXPIRATIONjdoeJohn DoeFIN-APjdoe@corp.localJamaismmartinMarie MartinRHmmartin@corp.localJamaisext.acme01Externe Acme 01EXText.acme01@corp.local2026-06-30svc.batchCompte de service batchIT-OPSsvc.batch@corp.localJamais1 — 50 sur 2 463 entrées d'annuaire · 14 expirent sous 90 jours

Objectif de l'écran

L'extraction de l'annuaire est la référence unique de l'identité humaine. L'écran répond à :

  • Cette personne existe-t-elle dans l'annuaire d'entreprise ? Tout compte présent sur une application connectée mais absent ici est soit un compte technique / batch, soit une identité gérée hors AD (compte de service, login historique), soit un compte fantôme — l'écran Utilisateurs sans AD les liste explicitement.
  • À quel département appartient la personne ? L'attribut Département pilote la matrice Utilisateurs par applications — c'est le levier qui rattache les personnes aux applications auxquelles elles doivent avoir accès.
  • Quand le compte expire-t-il ? Les prestataires ont en général une date accountExpires — trier sur cette colonne fait remonter ceux qui sont sur le point de perdre leur accès AD (et qu'il faut probablement aussi déprovisionner sur chaque application connectée).
  • Quel est le contexte de communication de l'entreprise ? Email, téléphone, manager — utile lorsqu'un constat d'audit impose de joindre rapidement la personne.

Colonnes

ColonneSource (attribut AD)Ce qu'on y lit
SAM AccountLDAP_ACCOUNTsamAccountName.Login Windows. C'est ce que la plupart des systèmes sources utilisent pour rapprocher un compte JDE / SAP / autre de l'identité AD.
DNLDAP_DNdistinguishedName.Chemin LDAP complet — utile quand l'annuaire comporte des OU imbriquées et que l'administrateur AD doit retrouver l'entrée.
NomLDAP_NAMEname.Premier attribut « nom » de l'entrée — souvent le nom légal complet.
UPNLDAP_LOGONuserPrincipalName.Login style fédération (utilisateur@domaine). Utilisé dans les scénarios SSO.
SociétéLDAP_COMPANYcompany.Entité juridique de rattachement — utile quand l'AD couvre plusieurs filiales.
VilleLDAP_CITYl (locality).Localisation géographique.
DépartementLDAP_DEPARTMENTdepartment.Clé de regroupement qui pilote la matrice Utilisateurs par applications.
DescriptionLDAP_DESCRIPTIONdescription.Texte libre — porte souvent le matricule RH utilisé pour rapprocher l'entrée AD du compte source.
Nom affichéLDAP_DISPLAY_NAMEdisplayName.Nom tel qu'il apparaît dans le carnet d'adresses AD.
MailLDAP_MAILmail.Adresse email.
ManagerLDAP_MANAGERmanager.DN du responsable hiérarchique — utile pour les flux d'approbation.
BureauLDAP_OFFICEphysicalDeliveryOfficeName.Localisation du bureau.
TéléphoneLDAP_TELEPHONEtelephoneNumber.Téléphone fixe.
MobileLDAP_MOBILEmobile.Téléphone mobile.
TitreLDAP_TITLEtitle.Fonction.
WhenCreatedLDAP_CREATIONwhenCreated.Date de création de l'entrée AD.
AccountExpiresLDAP_EXPIRESaccountExpires.Date d'expiration planifiée — vide / Jamais pour les permanents.
userAccountControlLDAP_NEVER_EXPIRES — drapeau userAccountControl.Booléen dérivé indiquant que le compte est configuré pour ne jamais expirer.

Colonnes masquées portées par la ligne : LDAP_REFRESH (horodatage du dernier sync), LDAP_UKID (identifiant technique de la ligne).

Conseils & bonnes pratiques

  • Trier AccountExpires en ordre croissant pour faire remonter les prestataires sur le point de perdre leur accès AD. Recouper avec l'écran Affectations — tout compte sur le point d'expirer qui détient encore un rôle dans un système source doit y être également déprovisionné.
  • L'attribut Description porte souvent le matricule RH — lorsqu'il est renseigné, il facilite la jointure avec le champ Matricule côté source. Des valeurs incohérentes dans ce champ sont la cause habituelle des faux positifs de Utilisateurs sans AD.
  • Croiser Titre et Département pour repérer les configurations incorrectes (par exemple un comptable rattaché au département IT) avant qu'elles n'impactent la matrice Utilisateurs par applications.
  • Le scan LDAP suit la planification configurée au niveau du connecteur. Un WhenCreated obsolète sur l'ensemble des lignes signifie en général que le connecteur LDAP n'a pas tourné récemment.