Résumé

Azure AD peut automatiquement créer des utilisateurs dans votre locataire MindBridge en utilisant une intégration SCIM sortante. SCIM est un protocole pour créer, désactiver et supprimer automatiquement des utilisateurs.

Prérequis

Tout d'abord, suivez les étapes dans Implémenter l'authentification unique (SSO), y compris la section sur l'implémentation de restrictions de sécurité supplémentaires. En particulier, tous vos utilisateurs devraient pouvoir se connecter en utilisant le bouton Microsoft.

Tous les utilisateurs devraient avoir une adresse e-mail associée à leur compte Azure AD.

Vous devriez configurer un groupe de sécurité dans Azure AD pour les utilisateurs réguliers de MindBridge, et un second pour les administrateurs de l’application MindBridge. Remplissez les groupes avec quelques utilisateurs pour les tests. Chaque utilisateur MindBridge ne devrait être que dans un de ces groupes.

• Les groupes imbriqués ne sont pas pris en charge par le provisionnement Azure AD ; tous les utilisateurs doivent être des membres directs de l'un de ces groupes.
• Les groupes dynamiques sont pris en charge. 

Contactez votre GSC pour activer l'accès à l'API pour votre locataire MindBridge.

Consultez les conseils de Microsoft sur le provisionnement d'applications pour des informations de base.

Créer un jeton d'API pour SCIM

1. Connectez-vous à votre locataire MindBridge en tant qu'administrateur de l’application.
2. Dans la barre latérale ( ) à gauche, sélectionnez Admin ( ) puis allez à l'onglet API.
3. Sélectionnez Créer un jeton.
   
   
4. Donnez un nom au jeton, comme SCIM 2023-06-30.
5. Sélectionnez une date d'expiration.
6. Sous Autorisations, sélectionnez SCIM.
   
   
7. Sélectionnez Créer un jeton, et copiez le jeton dans votre gestionnaire de mots de passe. Vous en aurez besoin à l'étape suivante.

Créer une application d'entreprise pour le provisionnement

1. Dans Azure AD, allez à Applications d'entreprise > Ajouter > Application d'entreprise.
2. Choisissez l'option pour Créer votre propre application.
   
   
3. Entrez un nom comme "Provisionnement MindBridge" et choisissez l'option d'intégration hors galerie.
4. Cliquez sur Créer.
   
    
5. Après sa création, sous Gérer (à gauche), allez à Provisionnement et sélectionnez Commencer.
   
   
6. Changez le mode de provisionnement en Automatique.
7. Définissez l'URL du locataire sur l'URL de votre locataire MindBridge, plus /scim/v2.
   Par exemple, si l'URL de votre locataire est https://exampletenant.mindbridge.ai, utilisez https://exampletenant.mindbridge.ai/scim/v2.
8. Définissez le jeton secret sur le jeton que vous avez généré à l'étape précédente.
9. Sélectionnez Tester la connexion.
   
   
   
10. Enregistrer.
    Deux nouvelles sections pour la cartographie et les paramètres apparaîtront sur le même écran.

Désactiver le provisionnement de groupe

1. Développez Cartographie.
   
   
2. Désactivez l'option pour Provisionner les Groupes d'Azure Active Directory en la sélectionnant et en changeant le basculement Activé à Non.
3. Enregistrez la cartographie des attributs.
   
   
4. Cliquez sur le bouton de fermeture pour revenir à l'écran d'édition du provisionnement.
   Les cartographies devraient apparaître comme suit :

Configurer le provisionnement des utilisateurs

1. Modifiez les paramètres pour "Provisionner les utilisateurs d'Azure Active Directory" pour supprimer la cartographie de l'attribut displayName. Il n'est pas utilisé par MindBridge.
   
   
2. En bas de l'écran, sélectionnez la case à cocher pour Afficher les options avancées.
3. Cliquez sur le lien Modifier la liste des attributs pour customappsso.
   
   
4. En bas de la page, utilisez le champ d'entrée pour ajouter un nouvel attribut.
   • Nom : rôles
   • Type : Chaîne
5. Laissez toutes les cases à cocher décochées.
   
   
6. Enregistrer, et vous reviendrez à la page principale de cartographie des attributs pour "Provisionner les utilisateurs d'Azure Active Directory".
7. Cliquez sur le lien Ajouter une nouvelle cartographie.
   
   • Type de cartographie : Expression
   • Expression : SingleAppRoleAssignment([appRoleAssignments])
   • Valeur par défaut si nulle : laissez vide
   • Attribut cible : rôles
   • Faire correspondre les objets en utilisant cet attribut : Non (par défaut)
   • Appliquer cette cartographie : Toujours (par défaut)
8. Cliquez sur Ok pour enregistrer et fermer la cartographie des attributs.
9. Enregistrer, puis cliquez sur le bouton de fermeture pour revenir à l'écran d'édition du provisionnement. 

Finaliser les paramètres de provisionnement

1. Sous Paramètres, sélectionnez d'abord la case à cocher pour activer les notifications par e-mail pour les échecs, puis fournissez une adresse e-mail.
2. Sélectionnez la deuxième case à cocher pour activer la prévention des suppressions accidentelles avec un seuil approprié (par exemple, 10 utilisateurs).
   Si le système de provisionnement estime qu'il doit supprimer plus de 10 utilisateurs à la fois, il passera en statut de quarantaine pour approbation d'abord.
3. Laissez le champ Portée sur le paramètre par défaut, pour synchroniser uniquement les utilisateurs et groupes assignés.
4. Laissez le basculement Statut de provisionnement sur Off pour l'instant.
5. Enregistrer et fermer.

Masquer l'application de provisionnement des utilisateurs

L'application de provisionnement n'est pas utilisée pour le SSO et ne devrait pas apparaître dans le lanceur d'applications O365. Dans l'application d'entreprise, allez à Propriétés et changez le basculement Visible pour les utilisateurs à Non, puis enregistrez.

Définir les rôles

Les définitions de rôles sont configurées sous Enregistrements d'application, pas Applications d'entreprise. Pour configurer les rôles, allez à Azure AD > Enregistrements d'application > Toutes les applications, et recherchez l'application de provisionnement MindBridge.

À l'intérieur de l'enregistrement de l'application, allez à Rôles d'application, Créer un rôle d'application.

• Nom d'affichage: ADMIN
• Types de membres autorisés: Utilisateurs/Groupes
• Valeur: ADMIN
• Description: Administrateurs de l'application MindBridge
• Activer le rôle: Coché (par défaut)

Répétez pour ajouter un autre rôle :

• Nom d'affichage: ORGANIZATION_CREATOR
• Types de membres autorisés: Utilisateurs/Groupes
• Valeur: ORGANIZATION_CREATOR
• Description: Utilisateurs MindBridge avec autorisation de créer de nouvelles organisations.
• Activer le rôle: Coché (par défaut)

Répétez pour un troisième rôle :

• Nom d'affichage: USER
• Types de membres autorisés: Utilisateurs/Groupes
• Valeur: USER
• Description: Utilisateurs MindBridge qui ne peuvent pas créer de nouvelles organisations.
• Activer le rôle: Coché (par défaut)

Attribuer des groupes à l'application de provisionnement

1. Retournez à l'application d'entreprise. Dans Azure AD, allez à Applications d'entreprise et recherchez l'application de provisionnement MindBridge.
2. Dans l'application d'entreprise, allez à Utilisateurs et Groupes > Ajouter un utilisateur/groupe.
3. Sélectionnez votre groupe d'administrateurs de l'application MindBridge.
4. Pour le rôle, sélectionnez ADMIN, puis Attribuer.
5. Ajoutez une autre attribution.
6. Sélectionnez votre groupe d'utilisateurs MindBridge.
7. Pour le rôle, sélectionnez l'une des options suivantes (en majuscules) :
   • ORGANIZATION_CREATOR, si tous les utilisateurs doivent pouvoir créer de nouvelles organisations (recommandé);
   • USER, si les utilisateurs ne doivent pas pouvoir créer de nouvelles organisations.
8. Examinez vos attributions.
   
   

Liste de contrôle

Avant de continuer, confirmez que vous avez :

• Créé des groupes pour les administrateurs de l'application MindBridge et les utilisateurs réguliers. Les adhésions aux groupes doivent être mutuellement exclusives (chaque utilisateur ne peut être que dans l'un d'eux). Les groupes ne peuvent pas avoir de groupes imbriqués.
• Créé une application d'entreprise.
• Testé la connexion avec "Test Connection".
• Désactivé "Provision Azure Active Directory Groups".
• Configuré "Provision Azure Active Directory Users" :
  • Supprimé la cartographie de l'attribut displayName.
  • Ajouté un attribut pour "roles".
  • Ajouté une cartographie d'attribut pour "roles".
• Créé des rôles d'application dans l'enregistrement de l'application.
• Attribué des groupes à l'application d'entreprise.
• Rendu l'application invisible sous Propriétés.
  
  

Activer le provisionnement

1. Allez à Provisioning > Modifier le provisionnement.
2. Changez le statut de provisionnement à Activé, puis enregistrez.
3. Fermez pour revenir à la page principale de provisionnement.
4. Attendez quelques secondes, puis cliquez sur Actualiser.
   Un cycle de provisionnement réussi devrait avoir été exécuté.
   
   
   
5. Utilisez l'option pour afficher les journaux de provisionnement afin d'enquêter sur les échecs éventuels.
6. Vérifiez les rôles des utilisateurs dans MindBridge (ouvrez la barre latérale, cliquez sur Admin ( ), puis allez à l'onglet Gestion des utilisateurs pour vous assurer que les rôles corrects ont été attribués.
   
   

Continuer la population des groupes

Remplissez vos groupes d'utilisateurs et d'administrateurs de l'application MindBridge avec les utilisateurs restants. Assurez-vous que chaque utilisateur ne soit que dans l'un de ces groupes.

Le cycle de provisionnement s'exécute périodiquement à l'intervalle affiché sur la page de Provisioning. Vérifiez les journaux après le prochain cycle pour confirmer que vos utilisateurs ont été provisionnés.

Autre chose en tête ? Discutez avec nous ou soumettez une demande pour obtenir une assistance supplémentaire.