Watchdoc - Annuaires - Déclarer et configurer une base de données utilisateurs (SQL)

Principe

Dans le cas où votre organisation ne dispose pas d'un annuaire LDAP, elle peut utiliser une table SQL en guise d'annuaire utilisateurs. 

Connexion

Les informations saisies permettent d'établir la communication entre Watchdoc et la base de données :

• Type : sélectionnez, dans la liste, le type de la base SQL (SQL Server, Postgresql ou SQLite) ;

• Serveur SQL : indiquez dans la zone le serveur où est localisée la base SQL hébergeant l'annuaire. Cliquez sur le bouton Parcourir pour parcourir votre espace de travail afin d'y sélectionner le serveur parmi les serveurs SQL détectés dans votre réseau ;

• Authentification : dans la liste, sélectionnez le mode d'authentification au serveur SQL : SQL Serveur ou Windows SSPI Interface du fournisseur de support de sécurité (Security Support Provider Interface). L'interface SSPI est une interface universelle, normalisée par l'industrie, pour les applications distribuées sécurisées. (Source : https://learn.microsoft.com/) ;

• Nom d'utilisateur : saisissez dans la zone le nom du compte utilisateur habilité à gérer la base SQL ;

• Mot de passe : saisissez dans la zone le mot de passe du compte utilisateur habilité à gérer la base SQL ;

• Base de données : indiquez le nom de la base de données dans laquelle sont enregistrés les comptes utilisateurs (watchdocstats, la plupart du temps). Cliquez sur le bouton Parcourir pour parcourir le serveur SQL déclaré précédemment afin d'y sélectionner les tables qui y sont déclarées ;

• Chemin : pour une base de données de type SQLite, indiquez le chemin du fichier spécifique à la base de données utilisateurs :
  
  

Requêtes SQL

Dans des cas particuliers où la base de données SQL est structurée selon des besoins spécifiques, il peut être nécessaire d'indiquer à Watchdoc les requêtes nécessaires à l'interrogation de cette base de données.

 

Dans chaque champ de saisie Récupération..., saisissez la requête SQL permettant la récupération de l'élément (informations utilisateur, groupes d'un utilisateur ou liste des groupes existants) dans la table SQL interrogée.

Code PUK

L'utilisateur dispose de plusieurs moyens d'authentification dans Watchdoc. Précisez celui que vous souhaitez lui proposer.

Par souci de sécurité, nous déconseillons l'authentification par code PUK et recommandons l'utilisation du compte utilisateur (login) et code PIN.

• Pas de Code PUK : décochez cette case si l'utilisateur s'authentifie avec un code PUK ;

  ou

• Récupération du compte: cochez le bouton-radio et saisissez la requête SQL qui permet la récupération du compte utilisateur à l'aide de son code PUK si c'est de cette manière que le compte utilisateur doit être retrouvé ;

  ou

• Générer un code PUK : cochez le bouton-radio qui permet à Watchdoc de générer un code PUK à partir de la valeur trouvée dans la colonne login et précisez pour cela l'algorithme utilisé et la variabilité ;

  • Algorithme : sélectionnez le niveau d'algorithme permettant de générer les codes PUK de vos utilisateurs (6 ou 10 chiffres) ;

  • Variabilité : sélectionnez dans la liste la fréquence selon laquelle l'algorithme de chiffrement du code PUK est renouvelé. Si le code est renouvelé, pensez à mettre en place un moyen d'en informer vos utilisateurs (cf. Communiquer le code PUK aux utilisateurs Watchdoc) :
    
    

Code PIN

• Code PIN - Les utilisateurs disposent d'un code PIN : cochez cette case si l'utilisateur s'authentifie avec un code PIN Le code PIN (Personal Identification Number) est un code comportant au moins 4 chiffres. Il est, par exemple, utilisé sur un téléphone mobile ou un smartphone équipés d'une carte SIM. Dans Watchhdoc, c'est un code qui, associé au nom d'utilisateur, constitue un moyen d'authentification sur un WES. Ce code peut être saisi et consulté depuis la page Mon Compte. Il est enregistré soit dans une table SQL, soit dans un fichier Json et peut être stocké tel quel ou sécurisé par hachage. ;

• Algorithme : par défaut, Watchdoc génère un code PIN automatiquement si l'utilisateur n'en dispose pas. Si l'utilisateur en possède déjà un, c'est ce dernier qui est utilisé :

• Chiffres : indiquez la longueur souhaitée du code PIN ;

• Variabilité : sélectionnez dans la liste la fréquence selon laquelle code PIN est renouvelé ;
  
  

Code d'impression

Indiquez dans cette section si les utilisateur inscrits dans l'annuaire peuvent s'authentifier dans Watchdoc à l'aide d'un code d'impression (code alpha-numérique qui doit contenir entre 4 et 16 caractères et ne doit pas contenir plus de 2 chiffres).

Dans la liste, sélectionnez l'un des paramètres suivants :

• Désactivé : le code d'impression n'est pas utilisé ;

• Stocké dans les paramètres utilisateurs (en clair) : le code d'impression est enregistré en clair dans l'annuaire. L'utilisateur peut l'afficher dans sa page "Mon compte" et peut également en générer un nouveau ;

• Stocké dans les paramètres utilisateurs (hashé) : le code d'impression est enregistré de manière sécurisée dans la base Json.db. L'utilisateur ne peut pas l'afficher dans la page "Mon compte", mais il peut en générer un nouveau.
  
  
  

Avancé

• Journalisation - Enregistrer les requêtes SQL dans le journal de l'application : cochez la case si vous souhaitez garder une trace des requêtes SQL dans un fichier dédié. Ce fichier peut être utile pour aider au diagnostic en cas de dysfonctionnement.

Durée de vie du cache

Watchdoc peut conserver un cache des informations propres aux utilisateurs afin d'accélérer le temps de traitement. Les informations saisies permettent de définir la durée de conservation des caches :

• TTL Infos : saisissez, en secondes, minutes, heures ou jours, la durée de conservation des informations utilisateurs ;

• TTL NotFound : saisissez, en secondes, minutes, heures ou jours, la durée de conservation des informations relatives aux utilisateurs que Watchdoc n'a pas trouvés l'annuaire.

 

Durant le délai indiqué, Watchdoc ne sollicite pas l'annuaire mais son cache. Il n'est donc pas recommandé de définir une durée de conservation trop longue afin de permettre de relancer la requête, utile pour les utilisateurs non trouvés.

Cache

Watchdoc peut conserver en cache les requêtes sur l'annuaire afin d'en accélérer l'exécution.
Par défaut, la durée de vie (TTL La durée de vie (TTL - Time To Live) est la durée pendant laquelle un objet est stocké dans un système de mise en cache avant d’être supprimé ou actualisé.) des données d'annuaire mise en cache est de 72 heures.

Cochez les cases des caches que vous souhaitez activer :

• Infos user : cochez cette case pour activer le cache relatif aux informations utilisateurs.

• Non trouvés : cochez cette case pour activer le cache relatif aux utilisateurs dont le compte n'a pas été trouvé.

• Cache à froid : cochez cette case pour conserver un cache des données "froides", c'est-à-dire des données déjà vérifiées mais expirées.

• Persistance : cochez cette case pour permettre de conserver le cache sur le disque afin de le retrouver en cas de redémarrage du service Watchdoc.

• Compression : cochez cette case pour activer la compression du cache sur le disque. Il est fortement recommandé d'activer ce paramètre afin de réduire la taille du fichier quand la persistance est activée.

• Chiffrement : cochez cette case pour chiffrer le fichier de cache sur le disque afin d'en sécuriser le contenu.
  
  
  

Si le compte spécifié n'est pas situé sous "CN=Users,DC=...,DC=..." et que la forme "DOMAIN\login" ne fonctionne pas, il est impératif de préciser le DN complet (ex: "CN=compte_readonly,OU=test,DC=...,DC=...")

Badges

Badges : si les utilisateurs disposent d'un badge, sélectionnez dans la liste l'annuaire duquel ils proviennent (base WSC Cards par défaut).

E-mail

Lorsque la notification par e-mail est activée, Watchdoc doit disposer de l'adresse mail des utilisateurs pour communiquer avec eux. Ce paramètre indique à Watchdoc où trouver l'adresse mail des utilisateurs :

• stockée dans l'annuaire :sélectionnez cette option si l'adresse mail est enregistrée dans un attribut de l'annuaire ;

• le compte utilisateur sert également d'adresse e-mail : sélectionnez cette option pour que Watchdoc crée l'adresse mail en concaténant le nom du compte de l'utilisateur avec un nom de domaine DNS. Dans ce cas, précisez le nom de domaine DNS à ajouter au nom de l'utilisateur lors de la concaténation ;

• rechercher l'adresse dans un annuaire alias : optez pour ce choix si l'adresse e-mail est enregistrée dans un annuaire Alias. Dans ce cas, sélectionnez l'annuaire dans lequel sont enregistrées les e-mails. (Pour configurer un annuaire de codes PUK, cf. Configurer un annuaire SQL de codes PUK) :
  
  

Fusibles

Les annuaires utilisateurs sont généralement hébergés sur un contrôleur de domaine ou serveur distant, accessible via le réseau local. En cas de panne réseau ou de ralentissement important, cela peut provoquer, par effet de cascade, un blocage ou ralentissement du serveur d'impression.

 

Il peut alors être utile d'activer un "fusible logique", qui se déclenche en cas de ralentissement majeur du système, afin de stopper les requêtes envoyées au serveur défaillant pour éviter une surcharge de travail.

Attention: il est important de bien considérer l'impact de l'activation d'un fusible sur le bon fonctionnement du service !
Afin de protéger efficacement le serveur de tout dysfonctionnement de l'annuaire distant, il est important de calibrer correctement le fusible.
Il est recommandé de tester le paramétrage du fusible avant de le configurer en environnement de production.

Dans les champs, saisissez les valeurs au-delà desquelles Watchdoc cesse d'envoyer des requêtes au serveur d'annuaire :

• Erreurs max. : il s'agit du nombre d'erreurs "graves" successives tolérées. Une erreur "grave" est, par exemple, un problème de communication réseau, un timeout, un dysfonctionnement du serveur distant. Ces erreurs sont généralement rares et peuvent parfois se régler naturellement (fin d'une période de pointe, redémarrage du serveur distant). Les erreurs "logiques" (comme un échec d'identification, de syntaxe ou de configuration de l'annuaire) sont ignorées.

• Durée max. : il s'agit de la durée moyenne maximale tolérée pour l'exécution des 10 dernières requêtes. En cas de fort ralentissement du serveur distant (période de pointe, timeout réseau,...), cette durée est rallongée.

• Requêtes max. : il s'agit du nombre maximum de requêtes en parallèle autorisées. En cas de forte charge de travail, le serveur distant peut ne pas être capable de répondre à un grand nombre de requêtes simultanées.

• Délai attente : après déclenchement du fusible, délai d'attente avant réactivation. Au terme de ce délai, Watchdoc relance les requêtes afin de "sonder" l'état du serveur. Si les requêtes aboutissent, le fusible est réactivé, sinon il attend à nouveau l'expiration du délai. A tout moment, l'administrateur peut manuellement désactiver le fusible. Le fusible reste alors coupé jusqu'à ce qu'il soit réactivé manuellement. Pensez à utiliser cette fonctionnalité afin de tester l'impact d'une panne sur le serveur d'impression.
  
  
  
  

Les valeurs généralement saisies pour l'activation du fusible dans un environnement multi serveur (Master) sont les suivantes :

• erreurs max : 5

• requêtes max : 5

• durée max : 30 secondes

• délai attente : 120 secondes

Print clients

• Ne pas utiliser cet annuaire : cochez cette case pour que Watchdoc Print Client n'utilise pas cet annuaire
  
  

Validation de la configuration

Cliquez sur le bouton Créer pour valider la configuration de votre annuaire.

Et après ? 

Une fois la base SQL déclarée comme annuaire, vous pouvez l'intégrer comme sous-annuaire de l'annuaire META (cf. Déclarer et configurer un annuaire META).