Avez-vous des questions? Nous avons des réponses.

Mettre en œuvre l'approvisionnement des utilisateurs à partir d'Azure Active Directory en utilisant SCIM

  • Mise à jour

Résumé

Azure AD peut automatiquement créer des utilisateurs dans votre locataire MindBridge en utilisant une intégration SCIM sortante. SCIM est un protocole pour créer, désactiver et supprimer automatiquement des utilisateurs.


Prérequis

Tout d'abord, suivez les étapes de Mise en œuvre de l'authentification unique (SSO), y compris la section sur la mise en œuvre de restrictions de sécurités supplémentaires. En particulier, tous vos utilisateurs doivent pouvoir se connecter en utilisant le bouton Microsoft.

Tous les utilisateurs doivent avoir une adresse e-mail associée à leur compte Azure AD.

Vous devez configurer un groupe de sécurités dans Azure AD pour les utilisateurs réguliers de MindBridge, et un deuxième pour les administrateurs de l’application MindBridge. Remplissez les groupes avec quelques utilisateurs pour les tests. Chaque utilisateur MindBridge ne doit être que dans un de ces groupes.

  • Les groupes imbriqués ne sont pas pris en charge par le provisionnement Azure AD ; tous les utilisateurs doivent être des membres directs de l'un de ces groupes.
  • Les groupes dynamiques sont pris en charge. 

Contactez votre GSC pour activer l'accès à l'API pour votre locataire MindBridge.

Consultez les conseils de Microsoft sur le provisionnement des applications pour des informations générales.


Créer un jeton d'API pour SCIM

  1. Connectez-vous à votre locataire MindBridge en tant qu'administrateurs de l’application.
  2. Dans la barre latérale ( Sidebar_open-close_icon.svg ) à gauche, sélectionnez Admin ( Admin_icon.svg ) puis allez à l'onglet API.
  3. Sélectionnez Créer un jeton.mceclip7.png

  4. Donnez un nom au jeton, comme SCIM 2023-06-30.
  5. Sélectionnez une date d'expiration.
  6. Sous Autorisations, sélectionnez SCIM.mceclip8.png

  7. Sélectionnez Créer un jeton, et copiez le jeton dans votre gestionnaire de mots de passe. Vous en aurez besoin à l'étape suivante.
Conseil : Nous vous recommandons de créer un rappel de calendrier de groupe pour renouveler le jeton. Vous pouvez inclure un lien vers cet article dans la description de l'événement.

Créer une application d'entreprise pour le provisionnement

  1. Dans Azure AD, allez à Applications d'entreprise > Ajouter > Application d'entreprise.
  2. Choisissez l'option Créer votre propre application. mceclip4.png

  3. Entrez un nom comme "Provisionnement MindBridge" et choisissez l'option d'intégration non-galerie.
  4. Cliquez sur Créer.
    mceclip5.png
     
  5. Une fois créée, sous Gérer (à gauche), allez à Provisionnement et sélectionnez Commencer.mceclip6.png

  6. Changez le mode de provisionnement en Automatique.
  7. Définissez l'URL du locataire sur l'URL de votre locataire MindBridge, plus /scim/v2.
    Par exemple, si l'URL de votre locataire est https://exampletenant.mindbridge.ai, utilisez https://exampletenant.mindbridge.ai/scim/v2.
  8. Définissez le jeton secret sur le jeton que vous avez généré à l'étape précédente.mceclip9.png
  9. Sélectionnez Tester la connexion.
    mceclip10.png

  10. Enregistrer.
    Deux nouvelles sections pour la cartographie et les paramètres apparaîtront sur le même écran.

Désactiver le provisionnement des groupes

  1. Développez Cartographie.mceclip11.png

  2. Désactivez l'option de provisionner les Groupes Azure Active Directory en la sélectionnant et en changeant le basculement Activé à Non.
  3. Enregistrez la cartographie des attributs.mceclip14.png

  4. Cliquez sur le bouton de fermeture pour revenir à l'écran d'édition du provisionnement.
    Les cartographies devraient apparaître comme suit :mceclip15.png

Configurer le provisionnement des utilisateurs

  1. Modifiez les paramètres de "Provisionner les utilisateurs Azure Active Directory" pour supprimer la cartographie des attributs displayName. Il n'est pas utilisé par MindBridge.mceclip17.png

  2. En bas de l'écran, sélectionnez la case à cocher pour Afficher les options avancées.
  3. Cliquez sur le lien Modifier la liste des attributs pour customappsso.mceclip18.png

  4. En bas de la page, utilisez le champ de saisie pour ajouter un nouvel attribut.
    • Nom : rôles
    • Type : Chaîne
  5. Laissez toutes les cases à cocher décochées.mceclip0.png

  6. Enregistrer, et vous reviendrez à la page principale de cartographie des attributs pour "Provisionner les utilisateurs Azure Active Directory".
  7. Cliquez sur le lien Ajouter une nouvelle cartographie.
    mceclip20.png
    • Type de cartographie : Expression
    • Expression : SingleAppRoleAssignment([appRoleAssignments])
    • Valeur par défaut si nulle : laissez vide
    • Attribut cible : rôles
    • Faire correspondre les objets en utilisant cet attribut : Non (par défaut)
    • Appliquer cette cartographie : Toujours (par défaut)
  8. Cliquez sur Ok pour enregistrer et fermer la cartographie des attributs.
  9. Enregistrer, puis cliquez sur le bouton de fermeture pour revenir à l'écran d'édition du provisionnement. 

Finaliser les paramètres de provisionnement

  1. Sous Paramètres, sélectionnez d'abord la case à cocher pour activer les notifications par e-mail en cas d'échec, puis fournissez une adresse e-mail.
  2. Sélectionnez la deuxième case à cocher pour activer la prévention des suppressions accidentelles avec un seuil approprié (par exemple, 10 utilisateurs).
    Si le système de provisionnement estime qu'il doit supprimer plus de 10 utilisateurs à la fois, il passera d'abord en statut de quarantaine pour approbation.
  3. Laissez le champ Portée sur le paramètre par défaut, pour synchroniser uniquement les utilisateurs et groupes assignés.
  4. Laissez le basculement Statut du provisionnement sur Off pour l'instant.
  5. Enregistrer et fermer.

mceclip16.png

Masquer l'application de provisionnement des utilisateurs

L'application de provisionnement n'est pas utilisée pour le SSO et ne doit pas apparaître dans le lanceur d'applications O365. Dans l'application d'entreprise, allez dans Propriétés et changez le basculement Visible pour les utilisateurs à Non, puis enregistrez.

mceclip22.png


Définir les rôles

Les définitions de rôles sont configurées sous Enregistrements d'application, pas Applications d'entreprise. Pour configurer les rôles, allez à Azure AD > Enregistrements d'application > Toutes les applications, et recherchez l'application de provisionnement MindBridge.

mceclip23.png

À l'intérieur de l'enregistrement de l'application, allez à Rôles d'application, Créer un rôle d'application.

  • Nom d'affichage: ADMIN
  • Types de membres autorisés: Utilisateurs/Groupes
  • Valeur: ADMIN
  • Description: Administrateurs de l’application MindBridge
  • Activer le rôle: Coché (par défaut)

Répétez pour ajouter un autre rôle :

  • Nom d'affichage: ORGANIZATION_CREATOR
  • Types de membres autorisés: Utilisateurs/Groupes
  • Valeur: ORGANIZATION_CREATOR
  • Description: Utilisateurs MindBridge avec autorisation de créer de nouvelles organisations.
  • Activer le rôle: Coché (par défaut)

Répétez pour un troisième rôle :

  • Nom d'affichage: USER
  • Types de membres autorisés: Utilisateurs/Groupes
  • Valeur: USER
  • Description: Utilisateurs MindBridge qui ne peuvent pas créer de nouvelles organisations.
  • Activer le rôle: Coché (par défaut)

mceclip25.png


Attribuer des groupes à l'application de provisionnement

  1. Retournez à l'application d'entreprise. Dans Azure AD, allez à Applications d'entreprise et recherchez l'application de provisionnement MindBridge.
  2. Dans l'application d'entreprise, allez à Utilisateurs et Groupes > Ajouter un utilisateur/groupe.
  3. Sélectionnez votre groupe d'administrateurs de l’application MindBridge.
  4. Pour le rôle, sélectionnez ADMIN, puis Attribuer.
  5. Ajoutez une autre attribution.
  6. Sélectionnez votre groupe d'utilisateurs MindBridge.
  7. Pour le rôle, sélectionnez l'une des options suivantes (en majuscules) :
    • ORGANIZATION_CREATOR, si tous les utilisateurs doivent pouvoir créer de nouvelles organisations (recommandé);
    • USER, si les utilisateurs ne doivent pas pouvoir créer de nouvelles organisations.mceclip26.png
  8. Examinez vos attributions.mceclip27.png


Liste de contrôle

Avant de continuer, confirmez que vous avez :

  • Créé des groupes pour les administrateurs de l’application MindBridge et les utilisateurs réguliers. Les adhésions aux groupes doivent être mutuellement exclusives (chaque utilisateur ne peut être que dans l'un d'eux). Les groupes ne peuvent pas avoir de groupes imbriqués.
  • Créé une application d'entreprise.
  • Testé la connexion avec "Test Connection".
  • Désactivé "Provision Azure Active Directory Groups".
  • Configuré "Provision Azure Active Directory Users" :
    • Supprimé la cartographie de l'attribut displayName.
    • Ajouté un attribut pour "rôles".
    • Ajouté une cartographie d'attribut pour "rôles".
  • Créé des rôles d'application dans l'enregistrement de l'application.
  • Attribué des groupes à l'application d'entreprise.
  • Rendu l'application invisible sous Propriétés.


Activer le provisionnement

  1. Allez à Provisioning > Modifier le provisionnement.
  2. Changez le statut de provisionnement à Activé, puis enregistrer.mceclip28.png
  3. Fermez pour revenir à la page principale de provisionnement.
  4. Attendez quelques secondes, puis cliquez sur Actualiser.
    Un cycle de provisionnement réussi devrait avoir eu lieu.
    mceclip29.png

  5. Utilisez l'option pour afficher les journaux de provisionnement afin d'enquêter sur les échecs éventuels.
  6. Vérifiez les rôles des utilisateurs dans MindBridge (ouvrez la barre latérale, cliquez sur Admin ( Admin_icon.svg ), puis allez à l'onglet Gestion des utilisateurs pour vous assurer que les rôles corrects ont été attribués.


Continuer la population des groupes

Remplissez vos groupes d'utilisateurs et d'administrateurs de l’application MindBridge avec les utilisateurs restants. Assurez-vous que chaque utilisateur ne soit que dans l'un de ces groupes.

Le cycle de provisionnement s'exécute périodiquement à l'intervalle affiché sur la page de provisionnement. Vérifiez les journaux après le prochain cycle pour confirmer que vos utilisateurs ont été provisionnés.


Autre chose en tête ? Discutez avec nous ou soumettez une demande pour obtenir de l'aide supplémentaire.

Cet article vous a-t-il été utile?