Important : La synchronisation Active Directory (AD) ne sera plus disponible pour la configuration après le 30 juin 2025. Veuillez envisager d'utiliser l'approvisionnement confidentiel à la place.
En savoir plus sur Dashlane Confidential SSO et l'approvisionnement SCIM
En tant qu'administrateur d'un forfait professionnel Dashlane, vous pouvez configurer Dashlane pour synchroniser automatiquement les utilisateurs et groupes Active Directory (AD) pour l'approvisionnement et le déprovisionnement automatisés des comptes Dashlane.
Gérer l'approvisionnement des membres du forfait avec SCIM
Guide vidéo
Cette vidéo fournit un guide détaillé de la configuration de Dashlane pour synchroniser automatiquement les utilisateurs et groupes Active Directory (AD) pour l'approvisionnement et le déprovisionnement automatisés des comptes Dashlane.
Créer un groupe AD et un compte de service
- Se connecter à un serveur Windows avec le module Active Directory Utilisateurs et Ordinateurs.
- Créer ou identifier un groupe dont vous souhaitez inviter les membres à votre forfait. Si aucun groupe n'existe, nous vous recommandons de créer un groupe "AllDashlaneUsers".
- Ajouter au moins un utilisateur AD avec une adresse e-mail au groupe.
- Créer un utilisateur Active Directory que vous utiliserez pour exécuter le script de synchronisation, communément appelé un compte de service. Dans la vidéo d'exemple, nous créons le compte de service "SA_DashlaneSync".
- Ajouter le compte de service au groupe d'admins locaux afin qu'il puisse se connecter à la machine et exécuter des scripts PowerShell.
- Se connecter en tant que compte de service nouvellement créé.
Configurer la Console d'administration
Pour configurer votre compte pour la synchronisation AD :
- Se connecter à la Console d'administration.
- Sélectionner Intégrations, Approvisionnement, puis Configurer pour Active Directory.
- Activez l'approvisionnement automatique des utilisateurs et la synchronisation des groupes.
- Une fois que vous avez vérifié la synchronisation et que tous les membres actuels de Dashlane sont dans le champ de la synchronisation, envisagez d'activer le déprovisionnement automatique des utilisateurs.
- Sélectionnez Copier pour copier le script AD de Dashlane affiché dans la fenêtre grise sur votre presse-papiers.
Configurer Active Directory et le script de synchronisation
- Connectez-vous à un serveur Windows ou une station de travail avec Windows PowerShell 3.0 ou plus avec le compte de service que nous avons créé précédemment.
- Si vous ne l'avez pas déjà fait, créez ou identifiez un Groupe de sécurité Active Directory que vous souhaitez synchroniser avec Dashlane.
- Nous recommandons de créer un nouveau groupe appelé AllDashlaneUsers pour commencer.
- Ajouter des utilisateurs au groupe auquel vous souhaitez que des comptes Dashlane soient associés.
- Ouvrez PowerShell ISE et sélectionnez Fichier puis Nouveau.
- Collez le script enregistré sur votre presse-papiers à partir de l'Étape 4 dans Configuration de la Console d'Administration.
-
Modifiez la ligne 21 du script et saisissez les noms des groupes que vous souhaitez synchroniser avec Dashlane.
- Enregistrez le script PowerShell sur l'ordinateur local.
-
Exécutez le script en sélectionnant la flèche verte dans PowerShell ISE.
- Assurez-vous que le script renvoie : "code":200,"message":"OK"
- Copiez la chaîne de texte entre les tirets sur votre presse-papiers.
- Naviguez de nouveau vers la Console d'Administration et Actualisez la page.
- Dans la fenêtre contextuelle Vérifier la clé de sécurité, sélectionnez Continuer.
- Saisissez la chaîne de texte de votre presse-papiers que vous avez copiée depuis l'étape 10 dans le champ de texte, et sélectionnez Vérifier maintenant.
Vérifier la synchronisation
- Dans la Console d'administration, visualisez l'onglet Utilisateurs et validez que tout nouveau membre du forfait a un statut Invitation en attente.
- Dans l'onglet Groupes, visualisez les groupes qui ont été synchronisés.
- Pour visualiser votre statut de synchronisation AD dans la Console d'administration, sélectionnez Intégrations puis Approvisionnement. Ensuite, sélectionnez Configurer pour Active Directory.
- Après avoir confirmé que tous les membres synchronisés sont inclus dans les groupes de synchronisation Active Directory, nous recommandons d'activer dépourvisionnement automatique des utilisateurs.
Planifier une synchronisation régulière avec le Planificateur de tâches
Avec le script enregistré sur votre domaine, vous pouvez le programmer pour qu'il s'exécute automatiquement à un intervalle que vous définissez.
Note : Le compte membre du forfait défini pour exécuter cette tâche doit être capable de lire les Unités Organisationnelles (OU) et les comptes membres dans votre environnement Active Directory.
- Assurez-vous que vous êtes connecté sous le même compte de service que celui utilisé pour exécuter la synchronisation initiale.
- Programmer ceci pour s'exécuter avec un compte différent ne fonctionnera pas car la clé de synchronisation générée est dérivée de la machine et du membre utilisés pour la synchronisation et doit rester la même.
- Sur le serveur Windows qui exécutera le script, ouvrez le Planificateur de tâches.
- Sélectionnez Bibliothèque du Planificateur de tâches.
- Sélectionnez l'onglet Action dans le menu en haut à gauche.
- Sélectionnez Créer une tâche.
- Sélectionnez l'onglet Général.
- Dans la zone de texte Nom, tapez Dashlane AD Sync.
- Sélectionnez les Options de sécurité.
- Dans les Options de sécurité, cochez les cases pour Exécuter que l'utilisateur soit connecté ou non et Exécuter avec les plus hauts privilèges.
Définissez un planning pour exécuter le script en créant un nouveau déclencheur. Dans l'exemple suivant, il s'exécutera quotidiennement à 1:00.
- Sélectionnez l'onglet Actions.
- Sélectionnez Nouvelle Action.
- Sous Programme/script, tapez ce qui suit : powershell
- Sous Ajouter des arguments (facultatif), collez ce qui suit :
-file C:\FilePathtoPowershellScript\dashlane-ad-sync.ps1
Quelques considérations
- Une fois que vous avez configuré la synchronisation, nous vous recommandons de gérer vos groupes Dashlane et les membres du forfait exclusivement via votre Active Directory.
- Tous les membres considérés par le script doivent avoir une adresse e-mail spécifiée dans Active Directory.
- Les administrateurs ne peuvent pas déprovisionner tous les administrateurs car chaque forfait doit avoir au moins un administrateur actif.
- Chaque forfait doit avoir au moins un responsable de la facturation actif.
- Le nombre de membres dans les groupes synchronisés ne doit pas dépasser le nombre de licences disponibles dans votre compte.
Synchronisation des utilisateurs uniquement
Pour synchroniser uniquement les membres du groupe AD et ne pas créer un groupe de partage Dashlane, modifiez les lignes 124 et 125 du script de synchronisation AD.
Exemple :
Avant le changement à la ligne 124 et 125:
$DataStr += $GroupInfo.ObjectGUID
$DataStr += $GroupInfo.Name
Après le changement à la ligne 124 et 125:
$DataStr += $GroupInfo.Sync_Users_Only
$DataStr += $GroupInfo.Sync_Users_Only
Messages d'erreur
Message d'erreur 400
Dashlane synchronisation a répondu avec le message suivant : {"code":400,"message":"Mauvaise requête"}
Pour résoudre l'erreur :
- Assurez-vous que vous n'essayez pas de synchroniser plus de membres que de licences achetées.
- Assurez-vous que le Module Active Directory pour Windows PowerShell est installé.
- Assurez-vous d'avoir configuré les paramètres de sécurité HTTPS.
- Assurez-vous qu'au moins un utilisateur avec une adresse e-mail est dans le groupe Active Directory que vous tentez de synchroniser.
Aucune clé de synchronisation de répertoire ne s'affiche
Pour résoudre l'erreur :
- Dans votre script PowerShell, changez la variable DashlaneDirectorSyncKey## par un nouveau numéro pour forcer une nouvelle clé de synchronisation.
- Enregistrez et exécutez le script.
Exemple :
Avant le changement à la ligne 104 (cela peut varier de quelques numéros selon le nombre de groupes que vous avez) :
$CspParameters.KeyContainerName = "DashlaneDirectorySyncKey53"
Après le changement à la ligne 104 :
$CspParameters.KeyContainerName = "DashlaneDirectorySyncKey54"
Message d'erreur 403
La synchronisation Dashlane a répondu avec le message suivant : {"code":403,"message":"Interdit"}
Pour résoudre l'erreur :
- Se connecter à la Console d'administration.
- Sélectionnez Intégrations puis Approvisionnement. Ensuite, sélectionnez Configurer pour Active Directory.
- Activez l'approvisionnement automatique des utilisateurs et des groupes.
Message d'erreur Erreur member_removal_over_limit
Le script de synchronisation AD possède une limite intégrée qui empêche un départ massif accidentel d'utilisateurs. Parfois, un départ massif est nécessaire, vous devrez donc augmenter la limite d'utilisateurs que vous pouvez retirer de votre forfait.
Pour résoudre l'erreur :
- Dans votre script PowerShell, ajoutez un ";removalLimit=###" à la fin de la ligne suivante (vers la ligne 155) et exécutez le script manuellement.
Exemple : Cet exemple retire 100 utilisateurs avec le script de synchronisation.
Avant le changement autour de la ligne 155 :
Après le changement de la limite de suppression à 100 utilisateurs, permettant la suppression de jusqu'à 100 utilisateurs :
$Payload = @{adLogins=$FileContentEncoded;adToken=$INSTALL_TOKEN;teamId=$TEAM_ID;signature=$SignatureHash;publicKey=$PublicKeyHash;removalLimit=100}
Après que vos utilisateurs ont été retirés via la synchronisation, envisagez de supprimer le texte ajouté pour le ramener au paramètre par défaut, qui est de 10 utilisateurs ou 5% de tous les utilisateurs, selon ce qui est plus élevé.
Message d'erreur Erreur de synchronisation Dashlane
La synchronisation Dashlane a répondu avec ce qui suit : Erreur de synchronisation Dashlane :System.NotSupporteDException - le contenu de la réponse ne peut pas être analysé car le moteur d'Internet Explorer n'est pas disponible, ou la configuration de premier lancement d'Internet Explorer n'est pas complète. Spécifiez le paramètre usebasicparsing et réessayez.
Pour résoudre l'erreur :
- Ajoutez le commutateur -usebasicparsing à la ligne $response dans le script Powershell, autour de la ligne 158.
- Enregistrez et exécutez le script.