Synchronisation automatique des annuaires
Provisioning et protocole SCIM
Le « provisioning » est un terme utilisé pour parler de la synchronisation des annuaires. Par exemple, Azure Active Directory est un annuaire. D’autres termes sont utilisés; on dit également d’AzureAD qu’il est un « fournisseur d’identités » ou bien encore un « identity provider » en anglais (terme qui sera employé le plus souvent).
Exemple de comportements du provisioning :
Un utilisateur est assigné à l’application Steeple dans Azure : l’utilisateur est retrouvé ou bien créé dans Steeple.
Un utilisateur est désactivé dans Azure : il n’existera plus dans Steeple.
Le provisioning est un outil puissant qui permet d’éviter certaines activités chronophages pour les entreprises, dont la gestion des identités fait partie.
SCIM dans tout ça ?
SCIM est un protocole à suivre dans le cadre du développement d’une telle fonctionnalité. Pour que cela fonctionne bien, il faut être conforme à ce protocole.
Procédure de configuration MICROSOFT AZURE AD SCIM
RAPPEL : il est primordial d’avoir configuré le SSO avant de commencer la configuration du provisioning. Ni la configuration d’AzureAD ni celle de Steeple ne le permettent.
Dans Steeple :
Administration > Intégrations > Installer
Cliquer ensuite sur Afficher de la section Identification, pour afficher deux paramètres nécessaires à la configuration du provisioning :
- l'URL de base SCIM, appelé aussi "Tenant URL" par Azure
- l'Authorization Header Bearer Token, appelé aussi "Secret Token" par Azure
Dans Azure :
Annuaire Overview > Provisioning
Dans cet onglet « Provisioning », AzureAD sélectionne automatiquement le mode « Manuel ». Pour nous, il faut sélectionner le mode « Automatique ». Il faut ensuite copier-coller le tenant URL et le Secret Token dans les champs appropriés puis cliquer sur « Test Connection » :
Note : aucune mappage supplémentaire n'est nécessaire dans Azure quant à la gestion du rôle des utilisateurs.
Par la suite, il faudra ajouter vos utilisateurs. Depuis l'onglet "Utilisateurs et groupes", sélectionnez vos groupes créés au préalable.
Rappel : il est conseillé d'avoir au moins deux groupes d'utilisateurs par communauté : un pour les contributeurs, un pour les administrateurs.
Une fois vos groupes ajoutés, vous pouvez retourner dans l'onglet "Provisionnement" puis cliquer sur "Démarrer le provisionnement".
Le nombre d’utilisateurs synchronisés apparaît alors dans Azure.
Remarque : Azure Active Directory se met à jour toutes les 25 à 40 minutes. Un changement dans l’annuaire est susceptible de ne pas se répercuter de manière immédiate dans Steeple mais plusieurs dizaines de minutes plus tard.
Dans Steeple :
Suite à cette configuration sur Azure et l’activation du provisioning, Steeple va recevoir la liste des profils obtenus lors de cette activation.
Il faut par la suite, attribuer les différents rôles à vos groupes et communautés liées : 
Une fois cette étape terminée, vous pouvez cliquer sur Passer à l’étape suivante.
La dernière étape consiste donc à activer la synchronisation, en cochant tout simplement le bouton "Synchronisation active".
Envoi des invitations
Vous avez la possibilité d'envoyer un email automatique aux utilisateurs créés par la synchronisation pour les inviter à activer leur compte. Cet envoi est optionnel avec l'activation du SSO qui leur permettra de se connecter même sans l'email d'invitation.
En tant qu’administrateur, vous avez également la possibilité de supprimer cette méthode d’accès pour revenir à un système d’authentification dit « classique », avec e-mail et mot de passe.
Pour cela il suffit de décocher la case pour rompre la synchronisation.