Approvisionnement avec le connecteur de services web

  • Article

La documentation suivante fournit des informations sur le connecteur de services web génériques. Microsoft Entra ID Governance prend en charge le provisionnement de comptes dans diverses applications telles que SAP ECC, Oracle eBusiness Suite et les applications métier qui exposent les API REST ou SOAP. Les clients qui ont déjà déployé MIM pour se connecter à ces applications peuvent facilement passer à l'agent de provisioning léger Microsoft Entra, tout en réutilisant le même connecteur de services Web conçu pour MIM.

Fonctionnalités prises en charge

  • Créez des utilisateurs dans votre application.
  • Supprimer des utilisateurs dans votre application quand ils n’ont plus besoin d’accès.
  • Gardez les attributs utilisateur synchronisés entre Microsoft Entra ID et votre application.
  • Découvrez le schéma de votre application.

Le connecteur de services web implémente les fonctions suivantes :

  • Découverte SOAP : permet à l’administrateur d’entrer le chemin WSDL exposé par le service web cible. La découverte génère une arborescence des services web hébergés de l’application avec leurs points de terminaison/opérations internes, ainsi que la description des métadonnées de l’opération. Il n’existe aucune limite au nombre d’opérations de découverte qui peuvent être effectuées (étape par étape). Les opérations découvertes sont utilisées ultérieurement pour configurer le flux d’opérations qui implémentent les opérations du connecteur sur la source de données (en tant qu’importation/exportation).

  • Découverte REST : permet à l’administrateur d’entrer les détails du service REST, incluant le point de terminaison de service, le chemin d’accès de la ressource, la méthode et les détails des paramètres. Les informations des services REST seront stockées dans le discovery.xml fichier du projet wsconfig. Elles seront utilisées ultérieurement par l’administrateur pour configurer l’activité du service Web Rest dans le flux de travail.

  • Configuration du schéma : permet à l’administrateur de configurer le schéma. La configuration du schéma inclut une liste des types d’objets et des attributs pour une application spécifique. L’administrateur peut choisir les attributs qui feront partie du schéma.

  • Configuration du flux d’opération : IU du concepteur de flux de travail pour configurer l’implémentation d’opérations d’importation et d’exportation par type d’objet via des fonctions d’opérations de service web exposées, y compris l'attribution de paramètres de l'utilisateur approvisionné aux fonctions de service web.

Conditions préalables à l’approvisionnement

Conditions préalables locales

L’ordinateur qui exécute l’agent de provisionnement doit avoir :

  • Une connectivité aux points de terminaison REST ou SOAP de l’application, ainsi qu’une connectivité sortante à login.microsoftonline.com, d’autres services en ligne Microsoft et aux domaines Azure. Par exemple, une machine virtuelle Windows Server 2016 hébergée dans Azure IaaS ou derrière un proxy.
  • Au moins 3 Go de RAM pour héberger un agent de provisionnement.
  • .NET Framework 4.7.2
  • Windows Server 2016 ou une version ultérieure.

Avant de configurer l’approvisionnement, vérifiez que vous :

  • Exposez les API SOAP ou REST nécessaires dans votre application pour créer, mettre à jour et supprimer des utilisateurs.

Conditions préalables requises du cloud

  • Un locataire Microsoft Entra avec Microsoft Entra ID P1 ou Premium P2 (ou EMS E3 ou E5).

    L’utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.

  • Rôle Administrateur d’identité hybride pour la configuration de l’agent de provisionnement et rôles Administrateur d’application ou Administrateur d’application cloud pour la configuration du provisionnement dans le portail Azure.

  • Les utilisateurs Microsoft Entra à approvisionner dans votre application doivent déjà être renseignés avec tous les attributs requis par votre application.

Installer et configurer l’agent d’approvisionnement Microsoft Entra Connect

  1. Connectez-vous au portail Azure.
  2. Accédez à Applications d’entreprise et sélectionnez Nouvelle application.
  3. Recherchez l’Application ECMA locale, donnez un nom à l’application, puis sélectionnez Créer pour l’ajouter à votre locataire.
  4. Dans le menu, accédez à la page Provisionnement de votre application.
  5. Sélectionnez Prise en main.
  6. Dans la page Provisioning, définissez le mode sur Automatic.

Capture d’écran de la sélection automatique.

  1. Sous Connectivité locale, sélectionnez Télécharger et installer, puis sélectionnez Accepter les conditions générales et télécharger.

  2. Quittez le portail et exécutez le programme d’installation de l’agent d’approvisionnement, acceptez les conditions d’utilisation du service, puis sélectionnez Installer.

  3. Attendez que l’Assistant Configuration de l’agent d’approvisionnement Microsoft Entra s’affiche, puis sélectionnez Suivant.

  4. À l’étape Sélectionner une extension, sélectionnez Provisionnement d’application local, puis Suivant.

  5. L’agent de provisionnement utilisera le navigateur web du système d’exploitation pour afficher une fenêtre contextuelle qui vous permettra de vous authentifier dans Microsoft Entra et éventuellement aussi auprès du fournisseur d’identité de votre organisation. Si vous utilisez Internet Explorer comme navigateur sur Windows Server, vous devrez peut-être ajouter les sites web Microsoft à la liste des sites approuvés de votre navigateur pour permettre à JavaScript de s’exécuter correctement.

  6. Communiquez les informations d’identification relatives à un administrateur Microsoft Entra lorsque vous êtes invité à donner votre autorisation. L’utilisateur doit avoir le rôle Administrateur d’identité hybride ou Administrateur général.

  7. Sélectionnez Confirmer pour confirmer le paramètre. Une fois l’installation réussie, vous pouvez sélectionner Quitter, puis fermer le programme d’installation du Package de l’agent de provisionnement.

Configurer l’application ECMA locale

  1. Dans le portail, dans la section Connectivité locale, sélectionnez l’agent que vous venez de déployer, puis Attribuer les agents.

    Capture d’écran montrant comment sélectionner et attribuer un agent.

  2. Gardez cette fenêtre de navigateur ouverte, car vous effectuez l’étape suivante de la configuration à l’aide de l’assistant Configuration.

Configurer le certificat de l’hôte de connecteur ECMA Microsoft Entra

  1. Sur la machine Windows Server où l’agent de provisionnement est installé, cliquez avec le bouton droit sur Assistant Configuration de Microsoft ECMA2Host dans le menu Démarrer, puis exécutez-le en tant qu’administrateur. L’exécution en tant qu’administrateur Windows est obligatoire pour que l’Assistant puisse créer les journaux d’événements Windows nécessaires.

  2. Lorsque la configuration de l’Hôte de connecteurs ECMA commence, si c’est la première fois que vous exécutez l’Assistant, vous êtes invité à créer un certificat. Laissez le port par défaut 8585 et sélectionnez Générer un certificat pour générer un certificat. Le certificat généré automatiquement est auto-signé dans le cadre de la racine de confiance. Le SAN du certificat correspond au nom d’hôte.

    Capture d’écran montrant la configuration de vos paramètres.

  3. Sélectionnez Enregistrer.

Créez un modèle de connecteur de services web

Avant de créer la configuration du connecteur de services web, vous devez créer un modèle de connecteur de services web et personnaliser le modèle pour répondre aux besoins de votre environnement spécifique. Assurez-vous que ServiceName, EndpointName et OperationName sont corrects.

Vous trouverez des exemples de modèles et des conseils sur l’intégration à des applications populaires telles que SAP ECC 7.0 et Oracle eBusiness Suite dans le package de téléchargement des connecteurs. Vous pouvez apprendre à créer un projet pour votre source de données dans l’outil de configuration de service web à l’aide du guide de flux de travail pour SOAP.

Pour plus d’informations sur la configuration d’un modèle pour vous connecter à l’API REST ou SOAP de votre propre application, consultez la vue d’ensemble du connecteur de service web générique dans la bibliothèque de documentation MIM.

Configurer le connecteur de services web génériques

Dans cette section, vous créez la configuration du connecteur pour votre application.

Connecter l’agent d’approvisionnement à votre application

Pour connecter l’agent d’approvisionnement Microsoft Entra à votre application, procédez comme suit :

  1. Copiez votre .wsconfigmodèle de connecteur de service web dans le C:\Program Files\Microsoft ECMA2Host\Service\ECMA dossier.

  2. Générez un jeton secret qui sera utilisé pour l’authentification de Microsoft Entra ID auprès du connecteur. Le jeton doit contenir au minimum 12 caractères et être unique pour chaque application.

  3. Si vous ne l’avez pas déjà fait, lancez l’Assistant Configuration de Microsoft ECMA2Host à partir du menu Démarrer de Windows.

  4. Sélectionnez Nouveau connecteur.

    Capture d’écran montrant le choix du nouveau connecteur.

  5. Dans la page Properties, renseignez les zones avec les valeurs spécifiées dans le tableau qui suit l’image, puis sélectionnez Next.

    Capture d’écran montrant l’entrée des propriétés.

    Propriété Valeur
    Nom Nom que vous avez choisi pour le connecteur, qui doit être unique sur tous les connecteurs de votre environnement.
    Minuteur de synchronisation automatique (minutes) 120
    Jeton secret Entrez le jeton secret que vous avez généré pour ce connecteur. La clé doit comporter 12 caractères au minimum.
    Extension DLL Pour le connecteur de services web, sélectionnez Microsoft.IdentityManagement.MA.WebServices.dll.

  6. Dans la page Connectivity, renseignez les zones avec les valeurs spécifiées dans le tableau qui suit l’image, puis sélectionnez Next.

    Capture d’écran montrant la page Connectivity.

    Propriété Description
    Projet de service Web Nom de votre modèle de services web.
    Hôte Nom d’hôte du point de terminaison SOAP de votre application, par exemple vhcalnplci.dummy.nodomain
    Port Port de point de terminaison SOAP de votre application, par exemple 8000

  7. Dans la page Fonctionnalités, renseignez les zones avec les valeurs spécifiées dans le tableau ci-dessous, puis sélectionnez Next.

    Propriété Valeur
    Style de nom unique Générique
    Type d’exportation ObjectReplace
    Normalisation des données Aucun
    Confirmation d’objet Normal
    Activer l’importation Activée
    Activation de l’importation d’écart Désactivé
    Activer l’exportation Activée
    Activer l’exportation complète Désactivé
    Activer l’exportation de mot de passe lors d’un premier passage Activée
    Aucune valeur de référence dans le premier transfert d’exportation Désactivé
    Activer renommer l’objet Désactivé
    Supprimer-Ajouter en remplacement Désactivé

Remarque

Si votre modèle de connecteur de services web est ouvert pour modification dans l’outil de configuration du service web, vous obtenez une erreur.

  1. Dans la page General, renseignez les zones et sélectionnez Next.

  2. Dans la page Partitions, sélectionnez Next.

  3. Dans la page Run Profiles, laissez la case Export cochée. Cochez la case Full import et sélectionnez Next. Le profil d’exécution Exportation est utilisé quand l’hôte du connecteur ECMA doit envoyer des modifications de Microsoft Entra ID vers votre application pour insérer, mettre à jour et supprimer des enregistrements. Le profil d’exécution Importation intégrale est utilisé lors du démarrage du service d’hôte du connecteur ECMA pour lire le contenu actuel de votre application.

    Propriété Valeur
    Exporter Exécutez un profil qui exportera des données vers votre application Ce profil d’exécution est requis.
    Importation intégrale Exécutez le profil qui importera toutes les données de votre application.
    Importation d’écart Profil d’exécution qui importera uniquement les modifications apportées à votre application depuis la dernière importation complète ou différentielle.

  4. Dans la page Object Types, renseignez les zones et sélectionnez Next. Utilisez le tableau qui suit l’image pour obtenir des conseils concernant les différentes zones à renseigner.

    • Ancre : La valeur de cet attribut doit être unique pour chaque objet de la base de données cible. Le service d’approvisionnement Microsoft Entra va interroger l’hôte du connecteur ECMA à l’aide de cet attribut après le cycle initial. Cette valeur est définie dans le modèle de connecteur de services web.

    • DN : l’option de génération automatique doit être sélectionnée dans la plupart des cas. Si elle ne l’est pas, vérifiez que l’attribut DN est mappé à un attribut dans Microsoft Entra ID qui stocke le DN au format suivant : CN = anchorValue, Object = objectType. Pour plus d’informations sur les ancres et le DN, consultez À propos des attributs d’ancre et des noms uniques.

      Propriété Valeur
      Objet cible Utilisateur
      Ancre userName
      DN userName
      Généré automatiquement Activée

  5. L’hôte du connecteur ECMA découvre les attributs pris en charge par votre application. Parmi eux, vous pouvez choisir ceux que vous souhaitez exposer à Microsoft Entra ID. Ces attributs peuvent ensuite être configurés dans le portail Azure pour l’approvisionnement. Dans la page Sélectionner des attributs, ajoutez tous les attributs dans la liste déroulante, un à la fois. La liste déroulante Attribut affiche tout attribut qui a été découvert dans votre application et qui n’a pas été choisi dans la page Sélectionner les attributs précédente. Une fois tous les attributs pertinents ajoutés, sélectionnez Suivant.

    Capture d’écran montrant la page Select Attributes.

  6. Dans la page Deprovisioning, sous Disable flow, sélectionnez Delete. Les attributs sélectionnés sur la page précédente ne pourront pas être sélectionnés sur la page Suppression les privilèges d’accès. Sélectionnez Terminer.

Remarque

Si vous utilisez Définir la valeur de l’attribut, sachez que seules les valeurs booléennes sont autorisées.

Dans la page Déprovisionnement , sous Désactiver le flux, sélectionnez Aucun si vous contrôlez l’état du compte d’utilisateur avec une propriété telle que expirationTime. Sous Supprimer le flux, sélectionnez Aucun si vous ne souhaitez pas supprimer les utilisateurs de votre application ou Supprimer si vous le faites. Sélectionnez Terminer.

Vérifier que le service ECMA2Host est en cours d’exécution

  1. Sur le serveur sur lequel s’exécute l’hôte du connecteur ECMA Microsoft Entra, sélectionnez Démarrer.

  2. Entrez run et tapez services.msc dans la zone.

  3. Dans la liste Services, vérifiez que Microsoft ECMA2Host est présent et en cours d’exécution. Si ce n’est pas le cas, sélectionnez Démarrer.

    Capture d’écran montrant que le service fonctionne.

  4. Si vous avez démarré le service récemment et que vous avez de nombreux objets utilisateur dans votre application, patientez quelques minutes le temps que le connecteur établisse une connexion avec votre application et réalise l’importation intégrale initiale.

Configurer la connexion de l’application dans le portail Azure

  1. Revenez à la fenêtre du navigateur web dans laquelle vous configurez l’approvisionnement d’applications.

    Remarque

    Si la fenêtre avait expiré, vous devrez sélectionner l’agent à nouveau.

    1. Connectez-vous au portail Azure.
    2. Accédez à Applications d’entreprise, puis à l’application On-premises ECMA app.
    3. Sélectionnez Provisionnement.
    4. Si Démarrer s’affiche, remplacez le mode par Automatique, dans la section Connectivité locale, sélectionnez l’agent que vous avez déployé, puis Attribuer des agents. Sinon, accédez à Modifier l’approvisionnement.

  2. Dans la section Informations d’identification de l’administrateur, entrez l’URL suivante. Remplacez la partie {connectorName} par le nom du connecteur sur l’hôte de connecteur ECMA. Le nom du connecteur est sensible à la casse et doit être identique à celui configuré dans l’Assistant. Vous pouvez également remplacer localhost par le nom d’hôte de votre ordinateur.

    Propriété Valeur
    URL de locataire https://localhost:8585/ecma2host_APP1/scim

  3. Entrez la valeur Secret Token que vous avez définie lors de la création du connecteur.

    Remarque

    Si vous venez d’attribuer l’agent à l’application, patientez 10 minutes pour que l’inscription se termine. Le test de connectivité ne fonctionne pas tant que l’inscription n’est pas terminée. Pour accélérer le processus d’inscription, vous pouvez forcer l’inscription de l’agent en redémarrant l’agent d’approvisionnement sur votre serveur. Accédez à votre serveur, recherchez services dans la barre de recherche Windows, identifiez le service Agent d’approvisionnement Microsoft Entra Connect, cliquez avec le bouton droit sur le service, puis redémarrez.

  4. Sélectionnez Test Connection et patientez une minute.

  5. Une fois que le test de connexion est réussi et qu'il indique que les informations d'identification fournies sont autorisées à activer le provisionnement, sélectionnez Enregistrer.

    Capture d’écran montrant le test d’un agent.

Configurer les mappages d’attributs

Vous devez maintenant mapper les attributs entre la représentation de l’utilisateur dans Microsoft Entra ID et la représentation de l’utilisateur dans votre application.

Vous allez utiliser le portail Azure pour configurer le mappage entre les attributs des utilisateurs Microsoft Entra et les attributs que vous avez sélectionnés précédemment dans l’Assistant Configuration de l’hôte ECMA.

  1. Vérifiez que le schéma Microsoft Entra inclut les attributs requis par votre application. Si celui-ci impose la configuration d’un attribut pour les utilisateurs, et que cet attribut n’est pas encore inclus dans votre schéma Microsoft Entra pour un utilisateur, vous devez utiliser la fonctionnalité d’extension d’annuaire pour ajouter cet attribut comme extension.

  2. Dans le Centre d’administration Microsoft Entra, sous Applications d’entreprise, sélectionnez Application ECMA locale, puis la page Approvisionnement.

  3. Sélectionnez Modifier le provisionnement, puis attendez 10 secondes.

  4. Développez Mappages et sélectionnez Configurer les utilisateurs Microsoft Entra. Si c’est la première fois que vous configurez les mappages d’attributs pour cette application, il n’y a qu’un seul mappage présent pour un espace réservé.

    Capture d’écran montrant l’attribution d’un utilisateur.

  5. Pour vérifier que le schéma de votre application est disponible dans Microsoft Entra ID, activez la case Afficher les options avancées, puis sélectionnez Modifier la liste d’attributs pour ScimOnPremises. Vérifiez que tous les attributs sélectionnés dans l’Assistant Configuration sont listés. Si ce n’est pas le cas, attendez quelques minutes le temps que le schéma s’actualise, puis rechargez la page. Quand vous voyez les attributs listés, quittez cette page pour revenir à la liste des mappages.

  6. Maintenant, cliquez sur le mappage ESPACE RÉSERVÉ userPrincipalName. Ce mappage est ajouté par défaut lors de votre première configuration du provisionnement local.

Capture d’écran de l’espace réservé.

Modifiez la valeur pour qu’elle corresponde à ce qui suit :

Type de mappage Attribut source Attribut cible
Direct userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName

  1. Sélectionnez maintenant Ajouter un nouveau mappage, puis répétez l’étape suivante pour chaque mappage.

  2. Spécifiez les attributs source et cible pour chacun des attributs requis par votre application. Par exemple,

    Attribut Microsoft Entra Attribut ScimOnPremises Priorité des correspondances Appliquer ce mappage
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:UserName 1 Uniquement durant la création d'objet
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password Uniquement durant la création d'objet
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city Toujours
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company Toujours
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department Toujours
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email Toujours
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime Toujours
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName Toujours
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName Toujours
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber Toujours
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle Toujours

  3. Une fois que tous les mappages ont été ajoutés, sélectionnez Enregistrer.

Affecter des utilisateurs à l’application

Maintenant que l’hôte du connecteur ECMA Microsoft Entra est capable de communiquer avec Microsoft Entra ID, et que le mappage des attributs est configuré, vous pouvez passer à la configuration de l’étendue de l’approvisionnement.

Important

Si vous avez été connecté à l’aide d’un rôle d’administrateur d’identité hybride, vous devez vous déconnecter et vous connecter avec un compte ayant le rôle d’administrateur d’application, d’administrateur d’application cloud ou d’administrateur général, pour cette section. Le rôle Administrateur d’identité hybride ne dispose pas des autorisations nécessaires pour affecter des utilisateurs à des applications.

S’il existe des utilisateurs dans votre application, vous devez leur créer des attributions de rôles d’application. Pour en savoir plus sur la création en bloc d’attributions de rôles d’application, consultez l’article Gouvernance des utilisateurs existants d’une application dans Microsoft Entra ID.

S’il n’existe aucun utilisateur actuel de l’application, sélectionnez un utilisateur de test dans Microsoft Entra afin qu’il soit attribué pour l’application.

  1. Assurez-vous que l’utilisateur qui va être sélectionné a toutes les propriétés qui seront mappées aux attributs requis par votre application.

  2. Dans le portail Azure, sélectionnez Applications d’entreprise.

  3. Sélectionnez l’application Application ECMA locale.

  4. À gauche, sous Gérer, sélectionnez Utilisateurs et groupes.

  5. Sélectionner Ajouter un utilisateur/groupe.

    Capture d’écran montrant l’ajout d’un utilisateur.

  6. Sous Utilisateurs, sélectionnez Aucun sélectionné.

    Capture d’écran montrant Aucune sélection.

  7. Sélectionnez des utilisateurs à droite, puis cliquez sur le bouton Sélectionner.

    Capture d’écran montrant Sélectionner des utilisateurs.

  8. Sélectionnez Affecter.

    Capture d’écran montrant Affecter des utilisateurs.

Tester le provisionnement

Maintenant que vos attributs sont mappés et que les utilisateurs sont affectés, vous pouvez tester le provisionnement à la demande avec l’un de vos utilisateurs.

  1. Dans le portail Azure, sélectionnez Applications d’entreprise.

  2. Sélectionnez l’application Application ECMA locale.

  3. Sur la gauche, sélectionnez Provisionnement.

  4. Sélectionnez Approvisionner à la demande.

  5. Recherchez l’un de vos utilisateurs de test, puis sélectionnez Provisionner.

    Capture d’écran montrant le test de l’approvisionnement.

  6. Après plusieurs secondes, le message Utilisateur créé dans le système cible s’affiche, avec une liste des attributs utilisateur.

Démarrer le provisionnement des utilisateurs

  1. Une fois l’approvisionnement à la demande réussi, revenez à la page de configuration de l’approvisionnement. Vérifiez que l’étendue est définie sur les seuls utilisateurs et groupes affectés, activez le provisionnement, puis sélectionnez Enregistrer.

    Capture d’écran montrant Démarrer le provisionnement.

  2. Attendez jusqu’à 40 minutes que le service d’approvisionnement démarre. Une fois le travail de provisionnement terminé, comme décrit dans la section suivante, si vous avez fini le test, vous pouvez remplacer l’état du provisionnement par Désactivé et sélectionner Enregistrer. Cette action empêche que le service de provisionnement s’exécute à l’avenir.

Résolution des erreurs de provisionnement

Si une erreur s’affiche, sélectionnez Afficher les journaux de provisionnement. Recherchez dans le journal une ligne dans laquelle l’état est Échec, puis sélectionnez cette ligne.

Pour plus d’informations, accédez à l’onglet Résolution des problèmes et recommandations.

Étapes suivantes