Watchdoc - Annuaires - Entra - Configurer un annuaire Entra ID dans Watchdoc

Configurer la section Propriétés

Dans la section Propriétés,

  • Type : sélectionnez Microsoft Entra ID

  • Identifiant : indiquez le nom de l'annuaire tel que déclaré dans MS Entra ID

  • Description : saisissez une description précisant la nature ou l'objet de l'annuaire

  • Alias : si nécessaire, ajoutez un alias pour retrouver l'annuaire plus facilement qu'à l'aide de son identifiant.

Configurer la section Azure

Les informations saisies permettent d'établir la communication entre Watchdoc et l'annuaire :

  • Tenant-Id : indiquez ici l'identifiant de votre annuaire (Tenant - Locataire) Microsoft Entra ID.

     

  • Application de compte de service : saisissez les informations de connexion qui seront utilisées par le service Watchdoc.

    • Client-Id : indiquez ici l'identifiant de votre application client créée dans Microsoft Entra ID.

    • Client-Secret : indiquez ici la valeur du secret (mot de passe d'application) associé au Client-Id.


  • Application d'authentification des utilisateurs (depuis le Client Windows) : saisissez les informations de connexion qui seront utilisées par l'application Watchdoc Print Client for Windows.

  • Label : nom de l'application indiqué aux utilisateurs dans Watchdoc Print Client

  • Client-Id : indiquez ici l'identifiant de votre application cliente créée dans Microsoft Entra.

  • Application d'authentification des utilisateurs (depuis un navigateur): saisissez les informations de connexion qui seront utilisées par l'interface d'administration de Watchdoc :

    • Label : nom de l'application indiqué aux utilisateurs dans l'interface Watchdoc ;

    • Client-Id : indiquez ici l'identifiant de votre application cliente créée dans Microsoft Entra;

    • Client-Secret : indiquez ici la valeur du secret (mot de passe d'application) associé au Client-Id :

Configurer la section Code PUK

Les utilisateurs inscrits dans un annuaire Microsoft Entra ID peuvent s'authentifier dans Watchdoc à l'aide d'un Code PUKFermé Puk = Print User Key. Dans Watchdoc, il s'agit d'un code (associé à un compte utilisateur, mais utilisé seul) suffisant pour permettre à ce dernier de s'authentifier dans un WES. Le code PUK est généré par un algorithme. L'utilisateur peut le consulter dans la page "Mon compte" de Watchdoc. Par souci de sécurité, nous déconseillons l'authentification par code PUK et recommandons l'utilisation du compte utilisateur (login)/code PIN.*.
Ce code peut être :

  • soit présent dans un attribut de l'annuaire Microsoft Entra ID. Dans ce cas :

    1. cochez la case Le code PUK est dans un attribut d'Entra-ID,

    2. complétez le champ Attribut en saisissant le nom de l'attribut de l'annuaire Entra ID dans lequel est enregistré le code PUK (par exemple, saisissez "employeeId" si l'attribut de l'annuaire Entra ID utilisé est Employee ID) ;

     

  • soit enregistré dans un annuaire de type Base de Codes PUK (SQL). Dans ce cas, il est nécessaire de configurer préalablement cette base (cf. Configurer une base de codes PUK (SQL)), puis de configurer l'annuaire comme suit :

    1. dans la liste des bases, sélectionnez la base de Codes PUK associée à l'annuaire Entra ID (Azure AD) ;

    2. cochez la case Déléguer la création / récupération de codes PUK au serveur maître si vous souhaitez que la gestion des codes PUK soit centralisée par le serveur Master. Cette option, disponible depuis la v6.0.0.4777, permet d'éviter les doublons dans le cas de codes PUK générés depuis un serveur slave lorsque le serveur Master est indisponible.

       

 

èWatchdoc génère automatiquement un code PUK pour chaque utilisateur lors de sa connexion à Watchdoc.

 

*Par souci de sécurité, nous déconseillons l'authentification par code PUK et recommandons l'utilisation du compte utilisateur (login)/code PIN ou code d'impression.

Configurer la section Code PIN

Indiquez dans cette section si les utilisateurs inscrits dans l'annuaire peuvent s'authentifier dans Watchdoc à l'aide d'un Code PIN (code comportant au moins 4 chiffres et dont la longueur varie en fonction de la configuration par l'administrateur). Associé au nom d'utilisateur, il constitue un moyen d'authentification sur un WES.

Il est enregistré soit dans une table SQL, soit dans un fichier Json et peut être stocké tel quel ou sécurisé par hashage.

Dans la liste, sélectionnez l'un des paramètres suivants ;

  • Auto : le code PIN est généré automatiquement par l'annuaire ;

  • Désactivé : le code PIN n'est pas utilisé ;

  • Stocké ou hérité d'un annuaire fils : ce paramètre est spécifique à l'annuaire META et indique que le code PIN est géré par un autre annuaire inclus dans l'annuaire META ;

  • Stocké dans les paramètres utilisateurs (en clair) : le code PIN est enregistré en clair dans l'annuaire. L'utilisateur peut l'afficher dans sa page "Mon compte" et peut également en générer un nouveau ;

  • Stocké dans les paramètres utilisateurs (hashé) : le code PIN est enregistré de manière sécurisée dans la base Json.db. L'utilisateur ne peut pas l'afficher dans la page "Mon compte", mais il peut en générer un nouveau :

Configurer la section Code d'impression

Indiquez dans cette section si les utilisateur inscrits dans l'annuaire peuvent s'authentifier dans Watchdoc à l'aide d'un code d'impression (code alpha-numérique qui doit contenir entre 4 et 16 caractères et ne doit pas contenir plus de 2 chiffres).

Dans la liste, sélectionnez l'un des paramètres suivants :

  • Désactivé : le code d'impression n'est pas utilisé ;

  • Stocké dans les paramètres utilisateurs (en clair) : le code d'impression est enregistré en clair dans l'annuaire. L'utilisateur peut l'afficher dans sa page "Mon compte" et peut également en générer un nouveau ;

  • Stocké dans les paramètres utilisateurs (hashé) : le code d'impression est enregistré de manière sécurisée dans la base Json.db. L'utilisateur ne peut pas l'afficher dans la page "Mon compte", mais il peut en générer un nouveau.


Configurer la section Badges

L'utilisateur peut s'authentifier sur le périphérique d'impression à l'aide d'un badge. Si c'est ce moyen d'authentification qui est retenu, sélectionnez dans la liste l'annuaire dans lequel sont enregistrés les badges des utilisateurs : ces derniers recevront ainsi un mail comportant leur code (PUK ou PIN) et les invitant à enrôlerFermé Action au cours de laquelle un compte utilisateur est associé au numéro de badge qui lui appartient. L'enrôlement est réalisé lors de la première utilisation d'un badge. L'enrôlement peut être réalisé par le responsable informatique lorsqu'il délivre le badge à un utilisateur ou par l'utilisateur lui-même qui saisit son identifiant (code PIN, code PUK ou identifiant et mot de passe) qui est alors associé à son numéro de badge. Une fois l'enrôlement réalisé, le numéro de badge est associé définitivement à son propriétaire. leur badge.

Par défaut, les badges sont enregistrés dans la base CARDS gérée depuis la Console de Supervision Watchdoc (WSC).

Configurer la section E-mail

Lorsque la notification par e-mail est activée, Watchdoc doit disposer de l'adresse mail des utilisateurs pour communiquer avec eux. Ce paramètre indique à Watchdoc où trouver l'adresse mail des utilisateurs :

  • stockée dans l'annuaire :sélectionnez cette option si l'adresse mail est enregistrée dans un attribut de l'annuaire ;

  • le compte utilisateur sert également d'adresse e-mail : sélectionnez cette option pour que Watchdoc crée l'adresse mail en concaténant le nom du compte de l'utilisateur avec un nom de domaine DNS. Dans ce cas, précisez le nom de domaine DNS à ajouter au nom de l'utilisateur lors de la concaténation ;

  • rechercher l'adresse dans un annuaire alias : optez pour ce choix si l'adresse e-mail est enregistrée dans un annuaire Alias. Dans ce cas, sélectionnez l'annuaire dans lequel sont enregistrées les e-mails. (Pour configurer un annuaire de codes PUK, cf. Configurer un annuaire SQL de codes PUK) :

Configurer la section Cache

Watchdoc peut conserver en cache les requêtes sur l'annuaire afin d'en accélérer l'exécution.
Par défaut, la durée de vie (TTLFermé La durée de vie (TTL - Time To Live) est la durée pendant laquelle un objet est stocké dans un système de mise en cache avant d’être supprimé ou actualisé.) des données d'annuaire mise en cache est de 72 heures.

Cochez les cases des caches que vous souhaitez activer :

  • Infos user : cochez cette case pour activer le cache relatif aux informations utilisateurs.

  • Non trouvés : cochez cette case pour activer le cache relatif aux utilisateurs dont le compte n'a pas été trouvé.

  • Cache à froid : cochez cette case pour conserver un cache des données "froides", c'est-à-dire des données déjà vérifiées mais expirées.

  • Persistance : cochez cette case pour permettre de conserver le cache sur le disque afin de le retrouver en cas de redémarrage du service Watchdoc.

  • Compression : cochez cette case pour activer la compression du cache sur le disque. Il est fortement recommandé d'activer ce paramètre afin de réduire la taille du fichier quand la persistance est activée.

  • Chiffrement : cochez cette case pour chiffrer le fichier de cache sur le disque afin d'en sécuriser le contenu.

Configurer la section Fusible

Les annuaires utilisateurs sont généralement hébergés sur un contrôleur de domaine ou serveur distant, accessible via le réseau local. En cas de panne réseau ou de ralentissement important, cela peut provoquer, par effet de cascade, un blocage ou ralentissement du serveur d'impression.

 

Il peut alors être utile d'activer un "fusible logique", qui se déclenche en cas de ralentissement majeur du système, afin de stopper les requêtes envoyées au serveur défaillant pour éviter une surcharge de travail.

Attention: il est important de bien considérer l'impact de l'activation d'un fusible sur le bon fonctionnement du service !
Afin de protéger efficacement le serveur de tout dysfonctionnement de l'annuaire distant, il est important de calibrer correctement le fusible.
Il est recommandé de tester le paramétrage du fusible avant de le configurer en environnement de production.

Dans les champs, saisissez les valeurs au-delà desquelles Watchdoc cesse d'envoyer des requêtes au serveur d'annuaire :

  • Erreurs max. : il s'agit du nombre d'erreurs "graves" successives tolérées. Une erreur "grave" est, par exemple, un problème de communication réseau, un timeout, un dysfonctionnement du serveur distant. Ces erreurs sont généralement rares et peuvent parfois se régler naturellement (fin d'une période de pointe, redémarrage du serveur distant). Les erreurs "logiques" (comme un échec d'identification, de syntaxe ou de configuration de l'annuaire) sont ignorées.

  • Durée max. : il s'agit de la durée moyenne maximale tolérée pour l'exécution des 10 dernières requêtes. En cas de fort ralentissement du serveur distant (période de pointe, timeout réseau,...), cette durée est rallongée.

  • Requêtes max. : il s'agit du nombre maximum de requêtes en parallèle autorisées. En cas de forte charge de travail, le serveur distant peut ne pas être capable de répondre à un grand nombre de requêtes simultanées.

  • Délai attente : après déclenchement du fusible, délai d'attente avant réactivation. Au terme de ce délai, Watchdoc relance les requêtes afin de "sonder" l'état du serveur. Si les requêtes aboutissent, le fusible est réactivé, sinon il attend à nouveau l'expiration du délai. A tout moment, l'administrateur peut manuellement désactiver le fusible. Le fusible reste alors coupé jusqu'à ce qu'il soit réactivé manuellement. Pensez à utiliser cette fonctionnalité afin de tester l'impact d'une panne sur le serveur d'impression.



Les valeurs généralement saisies pour l'activation du fusible dans un environnement multi serveur (Master) sont les suivantes :

  • erreurs max : 5

  • requêtes max : 5

  • durée max : 30 secondes

  • délai attente : 120 secondes

Configurer la section Print Client

  • Ne pas utiliser cet annuaire : cochez cette case pour que cet annuaire ne soit pas utilisé par Watchdoc Print Client :