Intégration LDAP / Active Directory

Connectez Badgr à votre annuaire d'entreprise pour importer automatiquement vos employés. Fonctionne avec Active Directory Windows Server, Synology DSM, OpenLDAP, FreeIPA et tout annuaire compatible LDAP v3.

☁️

Vous utilisez aussi Microsoft 365 / Entra ID ? L'intégration Azure AD est plus simple à configurer et ne nécessite pas d'ouvrir de port réseau. Les deux intégrations peuvent être actives en même temps. Voir le guide Microsoft Entra ID →

Qu'est-ce que l'intégration LDAP ?

LDAP (Lightweight Directory Access Protocol) est le protocole standard pour interroger les annuaires d'entreprise. Active Directory de Microsoft, Synology Directory Server, OpenLDAP, FreeIPA — tous exposent une interface LDAP que Badgr peut interroger pour récupérer la liste de vos employés.

Une fois configurée, l'intégration vous permet de :

Rechercher dans votre annuaire directement depuis l'interface Badgr
Importer un ou plusieurs employés en un clic (sans ressaisir nom / email)
Garder les employés importés synchronisés : si vous réimportez un employé existant, ses données sont mises à jour

ℹ️

Prérequis plan

L'intégration LDAP est disponible à partir du plan Business. Votre compte doit être configuré par le propriétaire (owner) du tenant.

Ce que Badgr lit (et ne lit pas)

Badgr requête les attributs que vous configurez (nom, email, identifiant unique) ainsi que des attributs de repli standard (cn, mail, uid) pour résoudre le nom et l'email lorsque les attributs configurés sont absents. Aucun mot de passe, aucun groupe, aucune donnée RH n'est transmis ni stocké. La connexion est établie via un compte de service dédié avec droits de lecture seule.

Microsoft Active Directory (Windows Server)

Active Directory est le cas le plus courant dans les PME belges. Voici les valeurs exactes à renseigner dans Badgr.

Champ	Valeur recommandée
Serveur	`dc01.votredomaine.local` (ou l'IP du contrôleur de domaine)
Port	`389` (LDAP) ou `636` (LDAPS — recommandé)
SSL / LDAPS	Oui si port 636
Bind DN	`CN=svc_badgr,OU=ServiceAccounts,DC=votredomaine,DC=local` ou format UPN : `svc_badgr@votredomaine.local`
Base DN	`DC=votredomaine,DC=local` (tout le domaine) ou `OU=Employes,DC=votredomaine,DC=local` (une OU spécifique)
Filtre	`(&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))`
Attribut Nom	`displayName` (ou `cn`)
Attribut Email	`mail` (ou `userPrincipalName`)
Attribut ID	`objectGUID` (ou `sAMAccountName`)

Filtre AD expliqué

Le filtre ci-dessus sélectionne uniquement les utilisateurs actifs. Le segment !(userAccountControl:1.2.840.113556.1.4.803:=2) exclut les comptes désactivés — ce qui évite d'importer d'anciens employés.

filtre ldap

(&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

⚠️

Bonne pratique sécurité

Créez un compte de service dédié à Badgr (ex. svc_badgr) avec uniquement les droits de lecture sur l'annuaire. N'utilisez jamais un compte Domain Admins ou votre compte personnel.

Compte de service — commande PowerShell

powershell

New-ADUser -Name "svc_badgr" `
  -SamAccountName "svc_badgr" `
  -UserPrincipalName "svc_badgr@votredomaine.local" `
  -Path "OU=ServiceAccounts,DC=votredomaine,DC=local" `
  -AccountPassword (ConvertTo-SecureString "MotDePasse!" -AsPlainText -Force) `
  -PasswordNeverExpires $true `
  -Enabled $true

Synology DSM (annuaire LDAP intégré)

Synology NAS avec Directory Server activé expose un serveur LDAP sur le réseau local.

Champ	Valeur
Serveur	IP de votre NAS Synology
Port	`389`
Bind DN	`uid=root,cn=users,dc=votre,dc=domaine` (Synology → Directory Server → Settings)
Base DN	`cn=users,dc=votre,dc=domaine`
Filtre	`(objectClass=person)`
Attribut Nom	`cn`
Attribut Email	`mail`
Attribut ID	`uid`

ℹ️

Trouver vos paramètres Synology

Dans DSM : Panneau de configuration → Directory Server → Settings. Notez le FQDN et le Base DN affichés.

OpenLDAP / 389 Directory Server

Pour les serveurs Linux avec OpenLDAP ou 389 Directory Server (Red Hat).

Champ	Valeur
Serveur	Adresse de votre serveur OpenLDAP
Port	`389` (ou `636` avec LDAPS)
Bind DN	`cn=admin,dc=votredomaine,dc=tld`
Base DN	`ou=people,dc=votredomaine,dc=tld`
Filtre	`(objectClass=inetOrgPerson)`
Attribut Nom	`cn`
Attribut Email	`mail`
Attribut ID	`uid`

FreeIPA / Red Hat IdM

FreeIPA (et son équivalent commercial Red Hat Identity Management) utilise le schéma LDAP standard.

Champ	Valeur
Serveur	`ipa.votredomaine.local`
Port	`389` ou `636`
Bind DN	`uid=admin,cn=users,cn=accounts,dc=votredomaine,dc=tld`
Base DN	`cn=users,cn=accounts,dc=votredomaine,dc=tld`
Filtre	`(objectClass=person)`
Attribut Nom	`cn`
Attribut Email	`mail`
Attribut ID	`uid`

Authentik, JumpCloud, Okta LDAP et autres

Ces fournisseurs cloud exposent une interface LDAP compatible. Les valeurs de connexion (host, port, Bind DN, Base DN) sont disponibles dans les réglages de votre fournisseur. Le schéma d'attributs suit généralement le format inetOrgPerson (OpenLDAP standard) :

Nom : cn ou displayName
Email : mail
ID : uid ou entryUUID

Consultez la documentation de votre fournisseur pour obtenir les valeurs exactes.

Sécurité

🔒

Chiffrement et TLS

Badgr stocke le mot de passe bind chiffré en AES-256. Lorsque LDAPS est activé (port 636), la connexion est établie en TLS strict avec validation du certificat serveur (LDAP_OPT_X_TLS_DEMAND). Les comptes désactivés sont exclus par le filtre.

Recommandations

Utilisez LDAPS (port 636) plutôt que LDAP (389) dès que votre infrastructure le permet
Créez un compte de service dédié et en lecture seule pour Badgr
Limitez la Base DN à l'OU contenant vos employés actifs (pas le domaine entier)
Utilisez le filtre AD pour exclure les comptes désactivés
Rotatez le mot de passe du compte de service tous les 12 mois

Documentation à jour au 13 mai 2026. Si vous remarquez une incohérence avec le comportement réel de Badgr, écrivez-nous.

Besoin d'aide ? Contactez le support Badgr

Notre équipe répond en moins de 24h en jours ouvrés.

Sujet

Votre email

Message

Réponse sous 24h en jours ouvrés.