Compte utilisateur Active Directory

L’annuaire Active Directory doit autoriser un compte permettant à SN SSO Agent d’avoir accès à l’observateur d’événements de l’annuaire et avoir le droit d’ouvrir une session en tant que service. Le paramétrage de ce compte doit précéder l’installation de l’Agent SSO.

Pour cela vous pouvez soit créer un « compte privilégié » dédié à l’agent SSO, soit donner les droits à un utilisateur existant. Il est cependant déconseillé d’utiliser le compte Administrateur du domaine AD afin d’éviter de potentiels problèmes de sécurités.

NOTE

Si plusieurs contrôleurs AD régissent le domaine, il est impératif que le compte utilisé par l’Agent SSO soit un compte dédié appartenant au domaine, car les droits décrits ci-après doivent s’appliquer sur tous les contrôleurs, afin de relayer l’ensemble des événements survenus sur le domaine (les traces générées rapportent l’accès refusé à la lecture des événements).

Si vous souhaitez utiliser la méthode de détection des déconnexions par Base de registre (cf. section Détection des déconnexions), ce compte doit appartenir au groupe Administrateur du serveur Active Directory ou être défini en tant qu’administrateur local sur les machines supervisées. D’autre part, cette méthode requiert la configuration de la zone inverse du domaine sur le serveur DNS afin de détecter les changements d’adresse IP (en cas de renouvellement d’adresse DHCP, par exemple). Pour plus d’informations, consultez la section Cas spécifiques, Changement d’adresse IP.