Comment migrer des utilisateurs entre répertoires Atlassian - Valiantys - Atlassian Platinum Partner
logo-bleu_rvb.png
Back

Comment migrer des utilisateurs entre répertoires Atlassian

Jusqu’a présent, votre instance Jira utilise son propre répertoire interne d’utilisateurs pour l’identification. Votre Confluence utilise également ce même repertoire pour gérer les droits de son côté.
Le choix du répertoire cible pour un compte donné se fait à la création de ce dernier. Il n’existe ensuite aucune procédure pour déplacer ce repertoire après cette action. Et pourtant, cela serait très utile dans de nombreux cas, comme par exemple :

  • La mise en place d’un serveur Crowd pour la gestion des utilisateurs afin de profiter de son module de SSO
  • La remise à plat de la politique de gestion des utilisateurs
  • Le raccordement au LDAP entreprise. (Toutefois, il est déjà possible lors de la déclaration du LDAP, de choisir de fusionner nativement les comptes qui portent le même nom. Le périmètre est alors moins couvert qu’avec cette procédure)

 

Outil Version
Jira 7.2.8
Confluence 6.1.2
Crowd 2.7.0
MySQL 5.5

 

 

Cette procédure de migration est compatible avec n’importe quel cas de migration d’un repertoire à un autre (Crowd et/ou Jira).

Cette procédure demande d’effectuer des modifications sur la base de données Jira/Confluence. Aucune action de cette article ne doit être faite sans sauvegarde préalable des outils impactés. 

Etude de cas

Dans le cas étudié, nous utilisons Crowd depuis un moment avec deux répertoires : un interne et un LDAP délégué. Le répertoire LDAP est prioritaire sur l’interne. Crowd est utilisé par Jira et Confluence pour l’authentification des utilisateurs.

Pour certaines raisons techniques, certains utilisateurs n’étaient pas créés dans le repertoire LDAP délégué, mais dans le répertoire interne.
Par ailleurs, d’autres utilisateurs possédaient un compte dans les 2 repertoires.

L’objectif est alors de basculer l’ensemble des comptes sur le LDAP délégué. Pour cela, nous allons distinguer les différents cas d’utilisateurs rencontrés :

  • Utilisateur ayant seulement un compte dans le répertoire Crowd interne. « CRÉER LE COMPTE DANS LE RÉPERTOIRE CIBLE » puis « FUSIONER LES COMPTES »
  • Utilisateur ayant seulement un compte dans le répertoire LDAP délégué. « PAS D’ACTIONS À PRENDRE »
  • Utilisateur ayant un compte avec un login différent dans le répertoire Crowd interne et dans le le répertoire LDAP délégué. « FUSIONER LES COMPTES »
  • Utilisateur ayant un compte avec le même login dans le répertoire Crowd interne et dans le le répertoire LDAP délégué. « FUSIONER LES COMPTES »
Bien que deux répertoires (Interne et LDAP délégué) soient déclarés dans Crowd, on ne vera qu’un seul répertoire dans les outils Jira et Confluence. Autrement dit, Jira et Confluence ne peuvent pas faire la différence entre un utilisateur Interne Crowd et celui d’un LDAP délégué Crowd. Il est possible qu’un utilisateur ayant le même login existe dans les deux répertoires Crowd. Dans ce cas, les outils connectés à ce dernier n’en verront qu’un seul. Celui dans le répertoire ayant la priorité la plus forte. 

L’opération doit conserver l’historique des actions faites via les comptes actuels.

La procédure

Prérequis

  • Les utilisateurs dont le contenu est à migrer doivent déjà être créés dans répertoire LDAP de Crowd.
  • Les comptes d’utilisateurs à migrer qui sont dans le répertoire interne Crowd doivent posséder un nom différent de ceux du répertoire LDAP (on pourra par exemple suffixer le nom par “_old”)
  • Les affectations de groupes doivent être identiques entre les répertoires pour les utilisateurs migrés.
  • Les répertoires doivent avoir été synchronisés au préalable (Dans Jira/Confluence, partie administration > Gestion des utilisateurs > Répertoires, forcez la synchronisation du répertoire Crowd)

Exécution

Nous allons aller en base et prendre toutes les contributions et abonnements de l’ancien utilisateur pour aller l’affecter au nouveau. Il s’agit donc d’un fusion entre deux comptes.

La fusion peut se faire entre 2 comptes et plus. Dans le cas d’un fusion de plusieurs comptes, il faudra reproduire l’opération 2 à 2 jusqu’à épuisement de la liste.

1- Migration

La modification en base implique un arrêt des outils le temps de la modification. Le temps d’exécution des requêtes dépend du serveur, mais aussi du résultat de ces dernières. Il faut compter environ 1 à 2 secondes sur un environnement de production classique pour traiter un utilisateur. La rupture de service sera donc relativement minime.

Pour cette dernière étape, nous allons effectuer des modifications en base de données sur les outils Jira et Confluence.

L’idée est d’aller changer en base les clés qui font le lien vers les anciens utilisateurs et de les rebrancher vers les nouveaux.
Il faut procéder à 24 requêtes SQL pour Jira et 15 pour Confluence, par utilisateur. L’utilisation du script donné plus bas n’est pas obligatoire, mais aidera vraiment si vous avez plusieurs utilisateurs à migrer durant cette opération.

L’utilisation du script est assez simple. Il faut l’appeler et passer en paramètre :

  • l’ancien login
  • le nouveau login (ce dernier doit être différent car, comme expliqué plus haut, on ne pourra distinguer la provenance du répertoire Crowd depuis Jira et Confluence)

2- Opérations post-migration

Après relance des outils, il faudra lancer une ré-indexation de Jira et Confluence. Cela peut être plus ou moins long selon les instances.

L’accès aux utilisateurs qui viennent d’être migrés est instantané. En revanche, l’affectation des contributions et abonnements dépendra de la ré-indexation. Cela s’effectuera donc progressivement.

Scripts de références

Migrate.bat

Rôle et déroulement

Le but de ce script est d’aller collecter dans Jira et Confluence les contributions de l’utilisateur actuel. Le script va générer automatiquement un fichier SQL pour aller faire la mise à jour de l’ancien vers le nouvel utilisateur.

Ce dernier se charge pour chaque utilisateur d’aller chercher en base les identifiants utilisateurs pour les deux comptes, afin de limiter la fourniture des arguments. En cas de mauvaise saisie ou si l’utilisateur n’est pas trouvé, le script se met en erreur. Aucune modification en base ne sera faite dans ce cas là.

Le résultat de la sauvegarde ainsi que les modifications effectuées sont conservés pour chaque utilisateur migré, dans un dossier à son nom.

On fournit simplement le login de l’ancien utilisateur et le nouveau comme paramètres d’entrée,

Vous devez remplacer USER/PASSWORD par les identifiants de votre user pour la base de données.

La vérification

  • Si ce n’est pas déjà fait, en cas d’utilisation du CAPCHA, vous devez désactiver la fonction en attendant que les utilisateurs impactés se connectent une première fois après la migration.
  • Vérifiez que les utilisateurs migrés peuvent bien se connecter : via le panel d’administration de Jira > Gestion des utilisateurs, faîtes une recherche sur les utilisateurs correspondants et vérifiez la date de dernière connexion.
  • Depuis Jira et Confluence, allez sur les profils d’utilisateurs d’origine et cible, et constatez que le flux d’activité a bien été transféré.

Pour aller plus loin

Maintenant que vous savez tout sur la migration des utilisateurs entre répertoires Atlassian, votre gestion des utilisateurs devrait s’en trouver simplifiée. Pour bénéficier de nombreux autres conseils avisés de nos consultants sur Jira, Confluence, Jira Service Desk ou encore des apps de la Marketplace Atlassian, inscrivez-vous à notre newsletter.

Cutted Triangle

Subscribe to the Valiantys Newsletter

Demande enregistrée ! Demande en cours... Ceci n'est pas un email Une erreur s'est produite

In accordance with our privacy policy, we are committed to respecting your personal data.

Contact us

Our Atlassian certified consultants will be happy to answer you.

Join us

We're building the next dream team - Are you in?

Follow us

Nous utilisons des cookies pour le fonctionnement de ce site, pour améliorer son utilisation, personnaliser votre expérience et réaliser des statistiques de visite. Vous pouvez gérer les paramètres et choisir d’accepter ou non certains cookies durant votre navigation. Pour plus d’informations, consultez notre politique de confidentialité. Nos politique de confidentialité

Paramètres de confidentialité

Afin de faciliter votre navigation et de vous apporter le meilleur service possible, nous utilisons des cookies pour améliorer le site aux besoins des visiteurs, notamment selon la fréquentation.  Pour plus d’informations, consultez notre politique de confidentialité. Nos politique de confidentialité

Recaptcha

Google reCAPTCHA est un système conçu pour distinguer les humains des ordinateurs, de telle sorte que les bots soient incapables de remplir les formulaires de manière malveillante au nom d’un être humain.

Analytics

Utilisé pour envoyer des données à Google Analytics sur le périphérique et le comportement du visiteur. Suit l'internaute à travers les appareils et les canaux de marketing. Utilisé par Google Analytics pour diminuer radicalement le taux de requêtes. Enregistre un identifiant unique utilisé pour générer des données statistiques sur la façon dont le visiteur utilise le site.

LinkedIn

Cookies pour une publicité ciblée : Ces cookies peuvent être mis en place au sein de notre site Web par nos partenaires publicitaires. Ils peuvent être utilisés par ces sociétés pour établir un profil de vos intérêts et vous proposer des publicités pertinentes sur d'autres sites Web. Ils ne stockent pas directement des données personnelles, mais sont basés sur l'identification unique de votre navigateur et de votre appareil Internet. Si vous n'autorisez pas ces cookies, votre publicité sera moins ciblée.

Cookies "réseaux sociaux" : Ces cookies sont activés par les services proposés sur les réseaux sociaux que nous avons ajoutés au site Web afin de vous donner la possibilité de partager notre contenu avec votre réseau et vos connaissances. Ils nous permettent également de suivre votre navigation sur d’autres sites Web et d’établir un profil de vos intérêts. Cela peut avoir un impact sur le contenu et les messages affichés sur les autres sites Web que vous consultez. Si vous n'autorisez pas ces cookies, il se peut que vous ne puissiez pas utiliser ou visualiser ces outils de partage.