Migration d’un serveur LDAP vers une instance du fournisseur d’identité dans le cloud Entra ID

Documentation Jamf Pro 11.17.0
Solution
Application
Content Type
Documentation technique
Utilities & Services
version
11.17.0
ft:locale
fr-FR
vrm_version
11.17.0

Vous pouvez migrer votre serveur LDAP dans Jamf Pro pour utiliser les données Entra ID. Les fonctionnalités de test de la migration vers Entra ID vous permettent de vérifier les valeurs des mappages d’utilisateurs et de groupes et de vous assurer que les workflows de votre annuaire continuent de fonctionner correctement une fois la migration terminée.

Note:

Une fois la migration terminée, les mappages sélectionnés dans l’assistant de migration Entra ID remplaceront les mappages actuellement configurés pour le fournisseur d’identité dans le cloud Entra ID.

Important:
  • La version actuelle de l’assistant de migration ne vérifie pas l’entité Fenêtre d’ouverture de session de l’ordinateur. Si votre environnement contient un profil de configuration avec l’entité Fenêtre d’ouverture de session, vous devrez reconfigurer ce dernier après la migration.
  • La migration du serveur LDAP vers Entra ID est un processus unidirectionnel irréversible.
  • La migration des workflows d’une intégration de serveur LDAP vers une instance du fournisseur d’identité dans le cloud Entra ID signifie que la configuration de votre serveur LDAP source sera désactivée et marquée comme Migrée. Elle ne sera pas interrogée.
  • Une fois la migration vers Entra ID terminée, la communication avec le proxy LDAP sera désactivée.
Requirements

  • Environnement hébergé dans Jamf Standard Cloud ou Jamf Premium Cloud

  • Intégration de Entra ID activée dans Jamf Pro.

  • Connaissance de votre infrastructure Entra ID

  • Annuaire Entra ID synchronisé avec votre annuaire LDAP via Entra ID Connect

  • Connexion à l’IdP dans le cloud Entra ID activée

  1. Dans la barre latérale de Jamf Pro, cliquez sur Réglages .
  2. Dans la section Système, cliquez sur Fournisseurs d’identité dans le cloud .
  3. Cliquez sur l’instance d’Entra ID vers laquelle vous voulez migrer la configuration de votre annuaire.
  4. Cliquez sur Migrer.
  5. Sélectionnez la configuration LDAP source existante.
    L’assistant de migration affiche le réglage Recherches transitives dans les groupes actuellement sélectionné pour votre configuration Entra ID. Un avertissement s’affiche si le réglage de recherche transitive ne correspond pas à celui d’une recherche de groupes récursive de LDAP, car cela affectera les résultats de composition pour les groupes imbriqués.
  6. Cliquez sur Suivant.
  7. Renseignez un nom d’utilisateur dans votre annuaire source dans le champ "Nom d’utilisateur issu de la configuration LDAP source".
  8. Renseignez un nom d’utilisateur dans Entra ID dans le champ "Nom d’utilisateur issu d’Azure AD".
  9. Cliquez sur Test.
  10. Vérifiez que les données correspondent dans la colonne Statut. Le tableau suivant décrit les statuts que vous pouvez rencontrer au cours des tests :
    StatutDescription

    Correspondance

    Les valeurs renvoyées pour les mappages sont les mêmes. Les workflows qui les utilisent ne seront pas affectés.

    Nouveau

    Le mappage Entra ID a renvoyé une valeur qui n’a pas été utilisée dans la configuration source. Vérifiez les réglages de votre environnement pour vous assurer que les workflows liés à l’annuaire ne seront pas affectés.

    Conflit

    Les valeurs renvoyées pour les mappages sont différentes. Les workflows qui les utilisent seront affectés et risquent d’échouer.

    Conflit relatif à la casse

    Les valeurs renvoyées pour les attributs de groupe sont sensibles à la casse et ne correspondent pas. Les workflows qui les utilisent seront affectés et risquent d’échouer.

    Incohérence

    Les valeurs renvoyées pour les mappages sont différentes. Les workflows Jamf Pro internes qui les utilisent ne seront pas affectés. Il se peut qu’il s’agisse de différences dans la casse ou d’incohérences dans les doublons dans les attributs d’extension à valeurs multiples.
    Note:

    Jamf Pro après une migration ne sera pas affecté, mais une incohérence peut avoir un impact sur les systèmes qui dépendent des données Jamf Pro pour leurs workflows.

    Cela diffère d’un conflit relatif à la casse, dans lequel une modification de la casse peut avoir un impact sur le workflow interne de Jamf Pro.

    Vide

    Les mappages Entra ID ne renvoient aucune valeur. Vérifiez les réglages de votre environnement pour vous assurer que les workflows liés à l’annuaire ne seront pas affectés.

    Si les données clés ne correspondent pas, modifiez les attributs d’Entra ID jusqu’à ce que les valeurs soient adaptées à votre environnement.
    Note:

    Les valeurs doivent être les mêmes pour les configurations source et cible, à l’exception de l’identifiant qui ne risque pas de correspondre.

    Jamf recommande de tester différents mappages Entra ID afin de réduire le nombre de conflits et d’incohérences.

    Jamf recommande de tester au moins trois utilisateurs et trois groupes. En plus de la synthèse de la migration, vous pouvez générer un rapport optionnel comprenant les données d’emplacement. Cela vous permet de vérifier les réglages et le mappage des valeurs des utilisateurs et des groupes de la nouvelle configuration. Accédez au rapport dans les détails de l’Historique de votre instance Entra ID ou dans les notifications Jamf Pro.

  11. Cliquez sur Suivant.
  12. Dans le champ "Nom du groupe issu de la configuration LDAP source", renseignez le nom d’un groupe dans votre annuaire source.
  13. Dans le champ "Nom du groupe issu d’Azure AD", renseignez le nom d’un groupe d’Entra ID.
  14. Cliquez sur Test.
  15. Vérifiez que les données correspondent dans la colonne Statut.
    Si les données clés ne correspondent pas, modifiez les attributs d’Entra ID jusqu’à ce que les valeurs soient adaptées à votre environnement.
    Note:

    L’activation des groupes transitifs pour l’authentification SSO dans le cadre de l’intégration Entra ID peut avoir un impact sur l’accès des utilisateurs. Si vous avez utilisé l’authentification SSO dEntra ID avant la migration et que les groupes transitifs pour SSO sont activés, vérifiez que les privilèges du groupe accordés avant la migration sont toujours corrects.

  16. Cliquez sur Suivant pour tester les mappages d’attributs d’extension.
    Note:

    Si vous ne voulez pas tester les attributs d’extension, cliquez sur Ignorer et passez à l’étape 21.

  17. Renseignez un nom d’utilisateur dans votre annuaire source dans le champ "Nom d’utilisateur issu de la configuration LDAP source".
  18. Renseignez un nom d’utilisateur dans Entra ID dans le champ "Nom d’utilisateur issu d’Azure AD".
  19. Cliquez sur Test.
    Note:

    Les données de l’utilisateur sont basées sur le dernier check-in de l’appareil de l’utilisateur. Jamf Pro stocke les attributs d’extension d’utilisateurs dans une entrée de l’appareil et l’assistant de migration affiche les données de l’appareil de l’utilisateur qui a effectué le dernier check-in, ce qui garantit que les données les plus récentes sont utilisées pour la comparaison.

  20. Cliquez sur Suivant.
    Note:

    Les mappages utilisés pour les utilisateurs et les groupes seront enregistrés dans l’historique de l’intégration d’Entra ID. Si vous quittez l’assistant de migration, ces mappages devront être récupérés dans l’historique de l’intégration d’Entra ID et appliqués manuellement pour une utilisation ultérieure.

  21. (Optional) Cliquez sur Générer pour créer un rapport qui résume les données mappées une fois l’assistant de migration terminé.

    Une boîte de dialogue s’affiche pendant la génération du rapport.

    Best Practice:
    Pendant la vérification du rapport, tenez compte des informations suivantes :

    • La première page du rapport (fichier CSV) fournit des informations pour vous aider à interpréter les données.

    • Le rapport ne répertorie que les entrées problématiques. La présence d’onglets vides et une quantité limitée de lignes dans les pages disponibles indiquent que la migration a de grandes chances de réussir.

    • Les colonnes vont par paire et représentent les données basées sur le LDAP dans Jamf Pro et les données trouvées dans Entra ID.

    • Les objets suivent un code couleur en fonction de leur gravité, les éléments rouges indiquant une incohérence qui affecte Jamf Pro et les éléments jaunes une incohérence qui n’affecte pas Jamf Pro. Les objets en blanc indiquent une correspondance, mais certaines incohérences ailleurs dans la ligne.

  22. Cliquez sur Enregistrer et migrer.
  23. Cliquez sur Migrer.
    Une fois le processus de migration terminé, la configuration de votre serveur LDAP source est marquée comme Migrée.
Note:

L’activation des groupes transitifs pour l’authentification SSO dans le cadre de l’intégration Entra ID peut avoir un impact sur l’accès des utilisateurs. Si vous avez utilisé l’authentification SSO dEntra ID avant la migration et que les groupes transitifs pour SSO sont activés, vérifiez que les privilèges du groupe accordés avant la migration sont toujours corrects.