Utilisation de SCIM 2.0 via Entra ID

SCIM est une norme ouverte largement acceptée qui permet d'automatiser le provisionnement d'un utilisateur. Il est conçu pour faciliter la gestion des identités des utilisateurs dans les applications basées sur le cloud et services. SCIM dispose d'un ensemble de contrats par défaut pour les utilisateurs et les groupes, qui peuvent être étendus pour fonctionner de pair avec Azure.

Note : Cet article décrit comment utiliser SCIM 2.0 avec une application d'entreprise. Si vous n'avez pas besoin de provisionnement automatique, vous pouvez utiliser l'application Showpad disponible sur le Microsoft Azure Marketplace.

1. Ouvrez le tableau de bord Azure et sélectionnez Microsoft Entra ID à partir de la lame de ressource.
2. Sélectionnez Applications d'entreprise dans le menu de gauche.
3. Cliquez sur Nouvelle application dans le menu supérieur, puis sur Créer votre propre application.
4. Saisissez le nom de votre application et sélectionnez une application sans galerie.
5. Cliquez sur Créer.

Création et configuration de votre application SCIM

Identifiants d'administrateur

1. Ouvrez l'application d'entreprise que vous venez de créer.
2. Cliquez sur Approvisionnement dans le menu de gauche ou sélectionnez Approvisionnement de comptes d'utilisateurs dans l'écran Démarrer, puis cliquez sur Démarrer.
3. Sélectionnez automatique pour le mode d'approvisionnement.
4. Obtenez votre jeton secret à partir des paramètres d'administration en sélectionnant Jetons API dans le portail d'administration de Showpad.
5. Entrez l'URL du locataire, le jeton secret et cliquez sur Tester la connexion.
   L'URL du locataire est votre adresse Web Showpad suivie de /API/users/scim/v2/?aadOptscim062020
   
   

   Remarque : le paramètre ?aadOptscim062020 est nécessaire pour une conformité SCIM totale de l'implémentation AzureAD. Consultez cette page Microsoft pour plus d'informations.

6. Vous verrez une coche verte et un message de réussite lorsque la connexion sera terminée.
   Après avoir testé avec succès la connexion, cliquez sur Enregistrer.

   La section suivante couvre les étapes de configuration des mappings et des paramètres, maintenant qu'ils sont activés.

Mappings

Azure ajoute automatiquement deux mappages par défaut à votre application d'entreprise : Groupes et Utilisateurs.

Mappings d'utilisateurs

1. Dans le volet de gestion de votre application d'entreprise personnalisée, cliquez sur Provisioning dans la colonne de gauche. Sélectionnez Modifier les mappages d'attributs sous Gérer la provision. Développez Mappages et cliquez sur Provisionner les utilisateurs de Azure Active Directory pour configurer les mappages d'utilisateurs.
2. Assurez-vous que le mappage d'utilisateur est activé et que l'objet source est défini sur utilisateur.
3. Si nécessaire, vous pouvez définir des filtres d'étendue dans l'étendue de l'objet source.
4. Pour un service de provisionnement complet, assurez-vous que Créer et Mettre à jour sont cochés dans les paramètres des actions de l'objet cible.
   • Cochez Supprimer si vous souhaitez que les utilisateurs supprimés dans Entra ID soient définitivement supprimés dans Showpad.
   • Décochez Supprimer si vous souhaitez que les utilisateurs supprimés dans Entra ID soient désactivés dans Showpad.
   
5. Faites défiler jusqu'à la fin de la page et activez le bouton Afficher les options avancées.
6. Cliquez sur Vérifier votre schéma ici.
7. Copiez et collez le schéma du champ d'application cible à partir du fichier de schéma fourni par Showpad, ici au bas de cet article.
8. Sauvegardez le nouveau schéma et revenez à l'écran de mappage des attributs.
9. Supprimez les champs non requis ou non disponibles des Mappings dans Showpad, par exemple ville, état, mail, surnom. Consultez cet article sur notre portail de développeur qui contient une liste actualisée des champs disponibles.
10. Mappez les champs restants ou supplémentaires au champ Showpad approprié. Veillez à définir le champ qui doit être utilisé pour faire correspondre les valeurs uniques entre les deux systèmes.
    En voici des exemples :
    
    

    Entrez l'attribut ID	customappsso Attribute
    userPrincipalName	nom d'utilisateur
    e-mail	emails[type eq "travail".valeur
    givenName	name.givenName
    prénom	titre.nom de famille
    objetId	externalId
    Switch([IsSoftDeleted], , "Faux", "Vrai", "Vrai", "Faux")	actif

11. Cliquez sur Enregistrer lorsque vous avez terminé de construire votre schéma.

Mappages de groupes

1. Cliquez sur Provision Azure Active Directory Groups pour configurer les mappages de groupes.
2. Assurez-vous que le mappage de groupe est activé et que l'objet source est défini sur Groupe.
3. Si nécessaire, vous pouvez définir des filtres d'étendue dans l'étendue de l'objet source.
4. Pour un service de provisionnement complet, assurez-vous que les fonctions Créer, Mettre à jour et Supprimer sont activées dans les paramètres Actions de l'objet cible.
5. Faites défiler jusqu'à la fin de la page et activez le bouton Afficher les options avancées.
6. Cliquez sur Vérifier votre schéma ici.
7. Copiez et collez le schéma des champs de l'application cible à partir du fichier Schéma joint à cet article.
8. Sauvegardez le nouveau schéma et revenez à l'écran de mappage des attributs.
9. Supprimez les champs non requis ou non disponibles dans les Mappings dans Showpad, par exemple ville, état, mail, surnom. Consultez le centre d'aide de Showpad pour voir une liste actualisée des champs disponibles.
10. Mappez les champs restants ou supplémentaires au champ Showpad approprié. Veillez à définir le champ qui doit être utilisé pour faire correspondre les valeurs uniques entre les deux systèmes.
    
11. Enregistrez vos modifications.

Remarque : Pour utiliser les attributs utilisateur Entra comme groupes d'utilisateurs Showpad, envisagez de créer des groupes d'adhésion dynamiques en utilisant des règles d'adhésion dans Azure. En savoir plus sur la gestion des règles pour les groupes d'adhésion dynamiques ici.

Testez votre configuration.

Avant d'activer le provisionnement automatique, nous vous recommandons vivement de tester la configuration à l'aide de la fonctionnalité de provisionnement à la demande.

1. Affectez un utilisateur à votre application d'entreprise personnalisée.
2. Ensuite, retournez à la page de provisionnement de l'application.
3. Sélectionnez Provisionnement à la demande dans la barre de navigation supérieure.
   
4. Recherchez le compte utilisateur que vous avez attribué à l'application et sélectionnez-le.
5. Cliquez sur Provision en bas de la page.
6. Le provisionnement commencera et énumérera le résultat de chaque étape au fur et à mesure qu'elle sera terminée.
   
7. Si toutes les étapes ont fonctionné, vous pouvez passer à Showpad et confirmer que l'utilisateur a été créé avec succès avec toutes les propriétés mappées attribuées.

Démarrer le provisionnement

1. Dans l'écran d'accueil du provisionnement, cliquez sur le bouton Démarrer le provisionnement pour lancer le processus automatique.
   
2. Depuis cet écran, vous pouvez également arrêter, redémarrer, modifier votre provisionnement, et également configurer le provisionnement à la demande. Cliquez sur Rafraîchir si nécessaire.

Affecter des utilisateurs et des groupes

1. Pour provisionner ou déprovisionner des utilisateurs et des groupes, ils doivent être affectés à l'application d'entreprise. Pour ce faire, allez dans la section Aperçu de votre application d'entreprise SCIM.
2. Sélectionnez Utilisateurs et groupes dans le menu de gauche.
3. Cliquez sur Ajouter des utilisateurs/groupes dans la barre de navigation supérieure.
4. Recherchez les utilisateurs et/ou les groupes que vous souhaitez ajouter à cette application et sélectionnez-les.
5. Cliquez sur Affecter.

Pièces jointes