Qu'est-ce que le Provisioning ?
Par défaut, l’accès et le rôle des utilisateurs Steeple aux communautés d’une organisation doivent être attribués ou révoqués manuellement par un administrateur de ces communautés.
Cette gestion manuelle peut être simplifiée par l’usage du SSO, qui permet aux administrateurs du fournisseur d’identités utilisé (à condition qu’il soit compatible) de configurer accès et rôles directement au sein de l’outil à l’aide de propriétés spécifiques ajoutées à ses utilisateurs. Au moment où survient le mécanisme d’authentification SSO, ces propriétés spécifiques sont évaluées par Steeple pour donner accès à de nouvelles communautés (le cas échéant) avec le rôle approprié. Notez que ce mécanisme ne permet pas de révoquer des accès ou des rôles, seulement d’en donner de nouveaux si besoin, et qu’il ne se déclenche qu’au moment où l’utilisateur s’authentifie (c’est-à-dire au renouvellement de sa session).
Il apparaît donc que la gestion par défaut ou par SSO ne constitue pas une solution entièrement automatisée et continue de configuration des accès et des rôles pour une organisation. Pour une telle solution, il faut utiliser la fonctionnalité d’approvisionnement automatique (en anglais, automatic provisioning, ou ici simplement provisioning) pour l’organisation.
L’approvisionnement automatique permet de configurer directement au sein du fournisseur d’identités (si compatible) les données suivantes d’une organisation:
- données d’identité (prénom, nom, email, etc.) d’un utilisateur
- droit d’accès d’un utilisateur à une communauté
- rôles d’accès d’un utilisateur à une communauté
Les modifications effectuées au sein du fournisseur d’identités sont alors répercutées en quelques instants sur le contenu de l’organisation Steeple, et ce sans aucun besoin d’action manuelle côté Steeple.
Comme les effets de l’approvisionnement automatique sont produits à partir de la même source de vérité que celle utilisée pour le SSO (à savoir le fournisseur d’identités), il n’existe pas de risques de conflits entre ces deux fonctionnalités, qui répondent à des besoins différents mais complémentaires.
Nous recommandons donc à toute organisation désirant une gestion simple, cohérente et sécurisée de ses utilisateurs sur Steeple de configurer à la fois SSO et approvisionnement unique.
Configuration de l’approvisionnement automatique
Steeple implémente l’approvisionnement automatique à l’aide du protocole SCIM.
L’implémentation repose sur un principe de communication à sens unique depuis un fournisseur d’identité doté d’un répertoire d’utilisateurs (Azure AD, Okta, etc.) vers un fournisseur de service (Steeple). Trois ensembles de ressources peuvent ainsi être automatiquement synchronisés de l’un vers l’autre:
- les utilisateurs
- les groupes
- les appartenances des utilisateurs aux groupes
Lorsqu’une modification d’un utilisateur, d’un groupe ou d’une appartenance utilisateur/groupe est faite côté fournisseur d’identité, elle est communiquée presque immédiatement à Steeple par le biais d’un échange direct entre le fournisseur d’identité et Steeple.
Pour une organisation donnée, Steeple est donc en mesure de reconstituer l’état d’un répertoire d’utilisateurs et groupes tel qu’il est maintenu et publié par le fournisseur d’identité.
Notez qu’il n’est pas tout à fait possible de faire correspondre directement les ressources exposées par le fournisseur d’identité à celles de l’organisation Steeple:
- les communautés d’une organisation sont indépendantes du fournisseur d’identité
- le fournisseur d’identité n’expose pas directement d’objets pouvant correspondre au rôle d’un utilisateur dans une communauté
Pour résoudre ce problème de correspondance, les groupes du fournisseur d’identité sont associés côté Steeple à une couple (communauté, rôle), permettant ainsi de dériver de l’appartenance d’un utilisateur à un groupe côté IdP l’appartenance à une communauté avec un rôle donné à un utilisateur côté Steeple.
La configuration de l’approvisionnement automatique requiert donc deux actions spécifiques:
- configurer la communication entre le fournisseur d’identité et Steeple côté fournisseur d’accès
- configurer les correspondances groupes/communautés/rôles côté Steeple
Nous vous renvoyons au document dédié pour la configuration en fonction de votre fournisseur d’identité:
Remarques
- La désactivation ou suppression d’un utilisateur côté fournisseur d’accès entraîne le retrait de l’utilisateur de l’organisation côté Steeple. Le compte restera disponible pour son propriétaire mais il ne sera plus membre d’aucune communauté dans l’organisation.
- Lorsqu’un utilisateur est retiré d’une communauté par effet de l’approvisionnement automatique, ses éventuelles publications dans la communauté deviennent invisibles pour celle-ci. Une action manuelle du support ou d’un coach est alors nécessaire pour réassigner sur demande les publications à un autre utilisateur appartenant encore à la communauté.