Provisioning / SCIM - Azure Active Directory

Synchronisation automatique des annuaires

Provisioning (protocole SCIM)


Le « provisioning » est un terme utilisé pour parler de la synchronisation des annuaires. Par exemple, Azure Active Directory est un annuaire. D’autres termes sont utilisés; on dit également d’AzureAD qu’il est un « fournisseur d’identités » ou bien encore un « identity provider » en anglais (terme qui sera employé le plus souvent).

Exemple de comportements du provisioning :
Un utilisateur est assigné à l’application Steeple dans Azure : l’utilisateur est retrouvé ou bien créé dans Steeple.

Un utilisateur est désactivé dans Azure : il n’existera plus dans Steeple.

Le provisioning est un outil puissant qui permet d’éviter certaines activités chronophages pour les entreprises, dont la gestion des identités fait partie.

SCIM dans tout ça ?
SCIM est un protocole à suivre dans le cadre du développement d’une telle fonctionnalité. Pour que cela fonctionne bien, il faut être conforme à ce protocole.

MICROSOFT AZURE ACTIVE DIRECTORY

RAPPEL : il est primordial d’avoir configuré le SSO avant de commencer la configuration du provisioning. Ni la configuration d’AzureAD ni celle de Steeple ne le permettent.

Dans Steeple :

installer microsoft azure ad


Administration > Intégrations > Installer

Cliquer ensuite sur Identification, pour afficher deux paramètres nécessaires à la configuration du provisioning : le tenant URL et le ** Secret Token** :

administration microsoft azure active directory


Dans Azure :

Annuaire Overview > Provisioning

Dans cet onglet « Provisioning », AzureAD sélectionne automatiquement le mode « Manuel ». Pour nous, il faut sélectionner le mode « Automatique ». Il faut ensuite copier-coller le tenant URL et le Secret Token dans les champs appropriés puis cliquer sur « Test Connection » :

provisioning azure ad

Note : aucune mappage supplémentaire n'est nécessaire dans Azure quant à la gestion du rôle des utilisateurs. 

 

Par la suite, il faudra ajouter vos utilisateurs. Depuis l'onglet "Utilisateurs et groupes", sélectionnez vos groupes créés au préalable.

microsoft ad azure onglet utilisateurs et groupes

Rappel : il est conseillé d'avoir au moins deux groupes d'utilisateurs par communauté : un pour les contributeurs, un pour les administrateurs. 

 

Une fois vos groupes ajoutés, vous pouvez retourner dans l'onglet "Provisionnement" puis cliquer sur "Démarrer le provisionnement". 

microsoft ad azure demarrer le provisionnement


Le nombre d’utilisateurs synchronisés apparaît alors dans Azure.

Remarque : Azure Active Directory se met à jour toutes les 25 à 40 minutes. Un changement dans l’annuaire est susceptible de ne pas se répercuter de manière immédiate dans Steeple mais plusieurs dizaines de minutes plus tard.


Suite à cette configuration sur Azure et l’activation du provisioning, Steeple va recevoir la liste des profils obtenus lors de cette activation. Il faut par la suite, attribuer les différents rôles à vos groupes et communautés liées :

liste des profils obtenus apres la configuration d'azure

Une fois cette étape terminée, vous pouvez cliquer sur Passer à l’étape suivante

La dernière étape consiste donc à activer la synchronisation, en cochant tout simplement le bouton.
synchronisation dans steeple

En tant qu’administrateur, vous avez également la possibilité de supprimer cette méthode d’accès pour revenir à un système d’authentification dit « classique », avec e-mail et mot de passe.

Pour cela il suffit de décocher la case pour rompre la synchronisation.