Gestion de l’approvisionnement de comptes d’utilisateur pour les applications d’entreprise dans le portail Azure

Cet article décrit les étapes générales de la gestion du provisionnement et du déprovisionnement automatique des comptes d’utilisateur pour les applications qui prennent en charge ces fonctions. L’approvisionnement de comptes d’utilisateur consiste à créer, mettre à jour et/ou désactiver des enregistrements de compte d’utilisateur dans le magasin local de profils utilisateur d’une application. La plupart des applications cloud et SaaS stockent le rôle et les autorisations des utilisateurs dans le magasin local de profils utilisateur de l’utilisateur. La présence de ces enregistrements d’utilisateur dans le magasin local de l’utilisateur est requise pour l’authentification unique et l’accès aux opérations. Pour en savoir plus sur le provisionnement automatique de comptes d’utilisateur, consultez Automatiser le provisionnement et le déprovisionnement des utilisateurs dans les applications avec Azure Active Directory.

Important

Azure Active Directory (Azure AD) a une galerie contenant des milliers d’applications pr-intégrées pour lesquelles le provisionnement automatique est activé avec Azure AD. Vous devez commencer par trouver le tutoriel de configuration du provisionnement spécifique de votre application dans la liste des tutoriels sur l’intégration des applications SaaS avec Azure Active Directory. Vous y trouverez probablement des instructions pas à pas pour la configuration de l’application et d’Azure AD afin de créer la connexion de provisionnement.

Recherche de vos applications dans le portail

Utilisez le portail Azure Active Directory pour afficher et gérer toutes les applications d’entreprise qui sont configurées pour l’authentification unique. Les applications d’entreprise sont des applications qui sont déployées et utilisées au sein de votre organisation. Suivez ces étapes pour afficher et gérer vos applications d’entreprise :

  1. Ouvrez le portail Azure Active Directory.

  2. Dans le volet gauche, sélectionnez Applications d’entreprise. Une liste de toutes les applications configurées s’affiche, dont les applications qui ont été ajoutées à partir de la galerie.

  3. Sélectionnez n’importe quelle application pour charger son panneau de ressources, où vous pouvez afficher les rapports et gérer les paramètres de l’application.

  4. Sélectionnez Approvisionnement pour gérer les paramètres d’approvisionnement du compte utilisateur de l’application sélectionnée.

    Provisioning screen to manage user account provisioning settings

Modes d’approvisionnement

Le volet Approvisionnement commence par un menu Mode, qui indique les modes d’approvisionnement pris en charge pour une application d’entreprise et permet de les configurer. Les options disponibles incluent :

  • Automatique : cette option est affichée si Azure AD prend en charge l’approvisionnement ou l’annulation de l’approvisionnement automatiques basés sur une API de comptes d’utilisateur pour cette application. Sélectionnez ce mode pour afficher une interface qui aide les administrateurs :

    • Configurer Azure AD pour se connecter à l’API de gestion de l’application de l’utilisateur
    • Créer des mappages de compte et des flux de travail qui définissent le flux des données d’un compte d’utilisateur entre Azure AD et l’application
    • Gérer le service d’approvisionnement Azure AD
  • Manuel : cette option est affichée si Azure AD ne prend pas en charge l’approvisionnement automatique de comptes d’utilisateur pour cette application. Dans ce cas, les enregistrements de comptes d’utilisateur stockés dans l’application doivent être gérés à l’aide d’un processus externe qui dépend des fonctionnalités de gestion et d’approvisionnement des utilisateurs fournies par cette application (par exemple l’approvisionnement SAML juste-à-temps).

Configuration de l’approvisionnement automatique de comptes d’utilisateur

Sélectionnez l’option Automatique pour spécifier les paramètres des informations d’identification administrateur, des mappages, des arrêts et des démarrages et de la synchronisation.

Admin Credentials (Informations d’identification de l’administrateur)

Développez Informations d’identification administrateur pour saisir les informations d’identification requises par Azure AD pour se connecter à l’API de gestion des utilisateurs de l’application. Les entrées requises dépendent de l’application. Pour en savoir plus sur les types d’informations d’identification requis pour une application spécifique, consultez le didacticiel de configuration de cette application.

Sélectionnez Tester la connexion pour tester les informations d’identification. Azure AD essaie alors de se connecter à l’API de configuration de l’application à l’aide des informations d’identification fournies.

Mappages

Développez Mappages pour afficher et modifier les attributs utilisateur qui circulent entre Azure AD et l’application cible lorsque des comptes d’utilisateur sont configurés ou mis à jour.

Il existe un ensemble préconfiguré de mappages entre les objets utilisateur Azure AD et les objets utilisateur de chaque application SaaS. Certaines applications gèrent également des objets groupe. Sélectionnez un mappage dans la table pour ouvrir l’éditeur de mappage, où vous pouvez les afficher et les personnaliser.

Les personnalisations prises en charge sont notamment les suivantes :

  • L’activation et la désactivation des mappages d’objets spécifiques, par exemple entre l’objet utilisateur Azure AD et l’objet utilisateur de l’application SaaS.

  • Modification des attributs qui circulent entre l’objet utilisateur Azure AD et l’objet utilisateur de l’application. Pour plus d’informations sur le mappage d’attributs, voir Présentation des types de mappages d’attributs.

  • Le filtrage des actions d’approvisionnement qu’effectue Azure AD sur l’application ciblée. Plutôt qu’Azure AD synchronise entièrement les objets, vous pouvez limiter les actions exécutées.

    Par exemple, si vous sélectionnez uniquement Mettre à jour, Azure AD met à jour les comptes d’utilisateur d’une application et n’en crée pas de nouveaux. Si vous sélectionnez uniquement Créer, Azure crée des comptes d’utilisateur, mais ne met pas à jour les comptes existants. Cette fonctionnalité permet aux administrateurs de créer des mappages différents pour les flux de travail de création et de mise à jour de comptes.

  • Ajout d’un nouveau mappage d’attribut. Sélectionnez Ajouer un nouveau mappage en bas du volet Mappage d’attribut. Remplissez le formulaire Modifier l’attribut et sélectionnez OK pour ajouter le nouveau mappage à la liste.

Paramètres

Développez Paramètres pour définir une adresse e-mail afin de recevoir des notifications, et choisir de recevoir ou non des alertes en cas d’erreur. Vous pouvez également sélectionner l’étendue des utilisateurs à synchroniser. Vous pouvez choisir de synchroniser tous les utilisateurs et groupes ou uniquement ceux qui sont attribués.

État de l’approvisionnement

Si c’est la première fois que l’approvisionnement est activé pour une application, activez le service en définissant le paramètre État de la configuration sur Activé. Avec cette modification, le service de provisionnement d’Azure AD doit exécuter un cycle initial. Il lit les utilisateurs affectés dans la section Utilisateurs et groupes, interroge l’application cible à leur sujet, puis effectue les actions d’approvisionnement définies dans la section Mappages d’Azure AD. Au cours de ce processus, le service d’approvisionnement stocke des données en cache sur les comptes d’utilisateur qu’il gère, de sorte que les opérations d’annulation de l’approvisionnement n’ont aucun effet sur les comptes non gérés des applications cibles qui n’ont jamais été concernés par l’affectation. Après le cycle initial, le service de provisionnement synchronise automatiquement les objets utilisateur et groupe toutes les 40 minutes.

Changez État de la configuration en Désactivé pour suspendre le service d’approvisionnement. Dans cet état, Azure ne crée, met à jour ou supprime aucun objet utilisateur ou groupe dans l’application. Changez de nouveau l’état pour Activé et le service reprend où il s’était arrêté.