En tant qu'administrateur d'un forfait professionnel Dashlane, vous pouvez configurer Dashlane pour synchroniser automatiquement les utilisateurs et les groupes d'Active Directory (AD) pour un approvisionnement et un déprovisionnement automatisés des comptes Dashlane.
Gérer l'approvisionnement des membres du forfait Business avec SCIM
Tutoriel vidéo
Cette vidéo vous explique pas à pas comment configurer Dashlane pour synchroniser automatiquement les utilisateurs et les groupes Active Directory (AD) afin que les autorisations d'accès soient toujours à jour.
Créer un groupe et un compte de service AD
- Connectez-vous à un serveur Windows doté du module Utilisateurs et ordinateurs Active Directory.
- Créez ou identifiez un groupe dont les membres que vous souhaitez inviter à votre forfait. Si aucun groupe n'existe, nous recommandons de créer un groupe "TousLesUtilisateursDeDashlane".
- Ajoutez au groupe au moins un utilisateur AD avec une adresse e-mail.
- Créez un utilisateur Active Directory que vous utiliserez pour exécuter le script de synchronisation, communément appelé compte de service. Dans l'exemple vidéo, nous créons le compte de service « SA_DashlaneSync ».
- Ajoutez le compte de service au groupe d'administrateurs local afin qu'il puisse se connecter à l'ordinateur et exécuter les scripts PowerShell.
- Connectez-vous sous le compte de service nouvellement créé.
Configurer la console d'administration
Pour configurer votre compte pour la synchronisation AD :
- Connectez-vous à la console d'administration.
- Sélectionnez Intégrations, Approvisionnement, puis Configurer pour Active Directory.
- Activez le paramètre Autorisation d'accès automatique et synchronisation des groupes.
- Une fois que vous avez vérifié la synchronisation et que tous les membres actuels de Dashlane sont intégrés à la synchronisation, pensez à activer la Suppression automatique de l'accès d'un utilisateur.
- Sélectionnez Copier pour copier dans le presse-papiers le script Dashlane AD affiché dans la zone de texte grise.
Configurer Active Directory et le script de synchronisation
- Connectez-vous à un serveur Windows ou à un poste de travail doté de PowerShell 3.0 (ou version ultérieure) à l'aide du compte de service que vous avez créé précédemment.
- Au cas où vous ne l'auriez pas encore fait, créez ou définissez un groupe de sécurité Active Directory que vous souhaitez synchroniser avec Dashlane.
- Pour commencer, nous vous recommandons de créer un groupe appelé Tous-utilisateurs-Dashlane.
- Ajoutez à ce groupe les utilisateurs que vous souhaitez voir disposer d'un compte Dashlane.
- Ouvrez PowerShell ISE et sélectionnez Fichier, puis Nouveau.
- Collez le script copié dans le presse-papiers à l'étape 4 dans (« Configurer la console d'administration »).
-
Modifiez la ligne 21 du script en y saisissant le nom des groupes que vous souhaitez synchroniser avec Dashlane.
- Enregistrez le script PowerShell sur l'ordinateur local.
-
Lancez le script en sélectionnant la flèche verte dans PowerShell ISE.
- Vérifiez que le script renvoie "code":200,"message":"OK"
- Copiez la chaîne de texte située entre les tirets dans votre presse-papiers.
- Revenez dans la console d'administration et actualisez la page.
- Dans la fenêtre contextuelle Vérifier la clé de sécurité, sélectionnez Continuer.
- Saisissez la chaîne de texte copiée à l'étape 10 dans la zone de texte et sélectionnez Vérifier maintenant.
Vérifier la synchronisation
- Dans la console d'administration, ouvrez l'onglet Utilisateurs et vérifiez que les nouveaux membres du plan disposent bien du statut Invitation en attente.
- Ouvrez l'onglet Groupes pour voir les groupes qui sont synchronisés.
- Pour consulter le statut de synchronisation de votre AD dans la console d'administration, sélectionnez Intégrations, puis Approvisionnement. Sélectionnez ensuite Configurer pour Active Directory.
- Après avoir confirmé que tous les membres synchronisés sont inclus dans les groupes de synchronisation Active Directory, nous vous conseillons d'activer la suppression automatique de l'accès des utilisateurs.
Programmer une synchronisation régulière grâce au Planificateur de tâches
Une fois le script enregistré sur votre domaine, vous pouvez le programmer de manière à ce qu'il s'exécute automatiquement selon l'intervalle que vous définissez.
Remarque : le compte du membre du forfait qui exécute cette tâche doit pouvoir lire les unités organisationnelles (OU) et les comptes membres dans l'environnement de votre Active Directory.
- Connectez-vous à l'aide du compte utilisé pour la synchronisation initiale.
- Il est impossible d'utiliser un autre compte pour réaliser la programmation. En effet, la clé de synchronisation est dérivée de la machine et du membre à l'origine de la synchronisation. Ces deux éléments doivent donc demeurer inchangés.
- Sur le serveur Windows qui lancera le script, ouvrez le Planificateur de tâches.
- Sélectionnez la Bibliothèque du Planificateur de tâches.
- Sélectionnez l'onglet Action dans le menu en haut à gauche.
- Sélectionnez Créer une tâche.
- Sélectionnez l'onglet Général.
- Dans la zone de texte Nom, saisissez Dashlane AD Sync.
- Sélectionnez Options de sécurité.
- Sélectionnez ensuite les cases suivantes : Exécuter même si l'utilisateur n'est pas connecté et Exécuter avec les autorisations maximales.
Veuillez créer un nouveau déclencheur pour programmer l'exécution du script. Dans l'exemple ci-dessous, il sera exécuté tous les jours à 1 h du matin.
- Sélectionnez l'onglet Actions.
- Sélectionnez Nouvelle action.
- Sous Program/script, saisissez powershell.
- Sous Ajouter des arguments (facultatif), collez les éléments suivants :
-file C:\FilePathtoPowershellScript\dashlane-ad-sync.ps1
Remarques complémentaires
- Une fois la synchronisation configurée, nous vous conseillons de gérer vos groupes et membres du forfait Dashlane uniquement via votre Active Directory.
- Tous les membres pris en compte par le script doivent posséder une adresse e-mail spécifique dans Active Directory.
- Les administrateurs ne peuvent pas déprovisionner tous les administrateurs parce que chaque forfait doit avoir au moins un administrateur actif.
- Chaque forfait doit avoir au moins un responsable de la facturation actif.
- Le nombre de membres contenus dans les groupes ciblés par cette synchronisation ne doit pas excéder le nombre de licences disponibles sur votre compte.
Synchroniser les utilisateurs uniquement
Pour synchroniser uniquement les membres du groupe AD et ne pas créer de groupe de partage Dashlane, modifiez les lignes 124 et 125 du script de synchronisation AD.
Par exemple :
Avant la modification des lignes 124 et 125 :
$DataStr += $GroupInfo.ObjectGUID
$DataStr += $GroupInfo.Name
Après la modification des lignes 124 et 125 :
$DataStr += $GroupInfo.Sync_Users_Only
$DataStr += $GroupInfo.Sync_Users_Only
Messages d'erreur
Message d'erreur 400
La synchronisation de Dashlane a renvoyé le message suivant : {"code":400,"message":"Bad Request"}
Pour résoudre ce problème :
- Vérifiez que vous n'essayez pas de synchroniser plus de membres que le nombre de licences que vous avez achetées.
- Vérifiez que le module Active Directory pour Windows PowerShell est bien installé.
- Vérifiez que vous avez configuré les paramètres de sécurité HTTPS.
- Vérifiez que le groupe Active Directory que vous souhaitez synchroniser comprend au moins un utilisateur avec une adresse e-mail.
Aucune clé de synchronisation Active Directory ne s'affiche
Pour résoudre ce problème :
- Dans votre script PowerShell, utilisez un nouveau chiffre dans la variable DashlaneDirectorSyncKey## pour forcer la création d'une nouvelle clé de synchronisation.
- Enregistrez puis exécutez le script.
Par exemple :
Avant modification : ligne 104 (ce chiffre peut varier selon le nombre de groupes)
$CspParameters.KeyContainerName = "DashlaneDirectorySyncKey53"
Après modification : ligne 104 :
$CspParameters.KeyContainerName = "DashlaneDirectorySyncKey54"
Message d'erreur 403
La synchronisation de Dashlane a renvoyé le message suivant : {"code":403,"message":"Forbidden"}
Pour résoudre ce problème :
- Connectez-vous à la console d'administration.
- Sélectionnez Intégrations, puis Approvisionnement. Sélectionnez ensuite Configurer pour Active Directory.
- Activez l'option Autorisations d'accès automatiques des utilisateurs et des groupes.
Message d'erreur : Error member_removal_over_limit
Le script de synchronisation AD intègre une limite servant à éviter toute suppression accidentelle d'un grand nombre d'utilisateurs. Si vous devez désactiver un grand nombre d'utilisateurs, vous pouvez néanmoins augmenter cette limite dans votre compte.
Pour résoudre ce problème :
- Dans votre script PowerShell, ajoutez « ;removalLimit=### » à la fin de la ligne suivante (vers la ligne 155) et lancez manuellement le script.
Par exemple, pour pouvoir désactiver 100 utilisateurs lors du script de synchronisation :
Avant la modification vers la ligne 155 :
Après la modification (suppression de la limite de 100 utilisateurs), cela donne :
$Payload = @{adLogins=$FileContentEncoded;adToken=$INSTALL_TOKEN;teamId=$TEAM_ID;signature=$SignatureHash;publicKey=$PublicKeyHash;removalLimit=100}
Une fois que vous avez désactivé les utilisateurs souhaités par synchronisation, nous vous conseillons de supprimer le code ajouté pour revenir à la limite par défaut, qui est de 10 utilisateurs ou 5 % du nombre d'utilisateurs total (si ce pourcentage est supérieur à 10 utilisateurs).
Message d'erreur de synchronisation de la part de Dashlane
Dashlane affiche l'erreur suivante : Dashlane Sync Error:System.NotSupporteDException - le contenu de la réponse ne peut pas être analysé car le moteur Internet Explorer n'est pas disponible ou la configuration du premier lancement d'Internet Explorer n'est pas terminée. Spécifiez le paramètre usebasicparsing et réessayez.
Pour résoudre ce problème :
- Ajoutez l'élément -usebasicparsing à la ligne $response dans le script PowerShell, vers la ligne 158.
- Enregistrez puis exécutez le script.