Approvisionnement d’applications locales Microsoft Entra vers des applications prenant en charge SCIM

  • Article

Le service d’approvisionnement Microsoft Entra prend en charge un client SCIM 2.0 qui peut être utilisé pour approvisionner automatiquement des utilisateurs dans des applications locales ou dans le cloud. Cet article explique comment vous pouvez utiliser le service d’approvisionnement Microsoft Entra pour approvisionner des utilisateurs dans une application locale compatible avec SCIM. Si vous souhaitez approvisionner des utilisateurs dans des applications locales non SCIM qui utilisent SQL en tant que magasin de données, consultez le didacticiel sur le connecteur SQL générique de l’hôte du connecteur Microsoft Entra ECMA. Si vous souhaitez approvisionner des utilisateurs dans des applications cloud, telles que DropBox et Atlassian, passez en revue les didacticiels spécifiques à l’application.

Diagram that shows SCIM architecture.

Prérequis

  • Un locataire Microsoft Entra avec Microsoft Entra ID P1 ou Premium P2 (ou EMS E3 ou E5). L’utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.
  • Rôle Administrateur pour l’installation de l’agent. Cette tâche est un effort unique et il doit s’agir d’un compte Azure qui est soit un Administrateur d’identité hybride, soit un Administrateur général.
  • Rôle Administrateur pour la configuration de l’application dans le cloud (administrateur d’application, administrateur d’application cloud, administrateur général ou rôle personnalisé avec autorisations).
  • Ordinateur avec au moins 3 Go de RAM pour héberger un agent d’approvisionnement. L’ordinateur doit disposer de Windows Server 2016 ou d’une version ultérieure de Windows Server, d’une connectivité à l’application cible et d’une connectivité sortante vers login.microsoftonline.com, d’autres domaines Microsoft Online Services et Azure. Par exemple, une machine virtuelle Windows Server 2016 hébergée dans Azure IaaS ou derrière un proxy.
  • Assurez-vous que votre implémentation SCIM répond aux exigences du SCIM Microsoft Entra. Microsoft Entra ID offre un code de référence open source que les développeurs peuvent utiliser pour démarrer leur implémentation SCIM, comme décrit dans le tutoriel : Développer un exemple de point de terminaison SCIM dans Microsoft Entra ID.
  • Prenez en charge le point de terminaison /schemas pour diminuer la configuration requise dans le portail Azure.

Installer et configurer l’agent d’approvisionnement Microsoft Entra Connect

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur d’applications au moins.
  2. Accédez à Identité>Applications>Applications d’entreprise.
  3. Recherchez l’Application SCIM locale, donnez un nom à l’application, puis sélectionnez Créer pour l’ajouter à votre locataire.
  4. Dans le menu, accédez à la page Provisionnement de votre application.
  5. Sélectionnez Prise en main.
  6. Dans la page Provisioning, définissez le mode sur Automatic.

Screenshot of selecting Automatic.

  1. Sous Connectivité locale, sélectionnez Télécharger et installer, puis sélectionnez Accepter les conditions générales et télécharger.

Screenshot of download location for agent.

  1. Quittez le portail et ouvrez le programme d’installation de l’agent d’approvisionnement, acceptez les conditions d’utilisation du service, puis sélectionnez Installer.
  2. Attendez l’ouverture de l’Assistant Configuration de l’agent d’approvisionnement Microsoft Entra, puis sélectionnez Suivant.
  3. À l’étape Sélectionner une extension, sélectionnez Provisionnement d’application local, puis Suivant.
  4. L’agent de provisionnement utilisera le navigateur web du système d’exploitation pour afficher une fenêtre contextuelle qui vous permettra de vous authentifier dans Microsoft Entra et éventuellement aussi auprès du fournisseur d’identité de votre organisation. Si vous utilisez Internet Explorer comme navigateur sur Windows Server, vous devrez peut-être ajouter les sites web Microsoft à la liste des sites approuvés de votre navigateur pour permettre à JavaScript de s’exécuter correctement.
  5. Communiquez les informations d’identification relatives à un administrateur Microsoft Entra lorsque vous êtes invité à donner votre autorisation. L’utilisateur doit avoir le rôle Administrateur d’identité hybride ou Administrateur général.
  6. Sélectionnez Confirmer pour confirmer le paramètre. Une fois l’installation réussie, vous pouvez sélectionner Quitter, puis fermer le programme d’installation du Package de l’agent de provisionnement.

Configurer la connexion via l’agent d’approvisionnement

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur d’applications au moins.

  2. Accédez à Identité>Applications>Applications d’entreprise.

  3. Recherchez l’application créée précédemment.

  4. Dans le menu, accédez à la page Provisionnement de votre application.

  5. Dans le portail, dans la section Connectivité locale, sélectionnez l’agent que vous venez de déployer, puis Attribuer les agents.

    Screenshot that shows how to select and assign an agent.

  6. Redémarrez le service de l’agent d’approvisionnement ou attendez 10 minutes avant de tester la connexion.

  7. Dans le champ URL du locataire, entrez l’URL du point de terminaison SCIM de l’application. Exemple : https://api.contoso.com/scim/

  8. Copiez le jeton du porteur OAuth requis pour le point de terminaison SCIM dans le champ Jeton secret.

  9. Sélectionnez Tester la connexion pour que Microsoft Entra ID tente de se connecter au point de terminaison SCIM. Si la tentative échoue, des informations d’erreur s’affichent.

  10. Si la tentative de connexion à l’application réussit, sélectionnez Enregistrer pour enregistrer les informations d’identification d’administrateur.

  11. Gardez cette fenêtre de navigateur ouverte, car vous effectuez l’étape suivante de la configuration à l’aide de l’assistant Configuration.

Provisionnement vers une application compatible SCIM

Une fois l’agent installé, aucune autre configuration n’est nécessaire localement et toutes les configurations d’approvisionnement sont ensuite gérées à partir du portail. Répétez les étapes ci-dessous pour chaque application locale provisionnée via SCIM.

  1. Configurez les mappages d’attributs ou les règles d’étendue requis pour votre application.
  2. Ajoutez des utilisateurs à l’étendue en attribuant des utilisateurs et des groupes à l’application.
  3. Testez l’approvisionnement de quelques utilisateurs à la demande.
  4. Ajoutez des utilisateurs supplémentaires dans l’étendue en les attribuant à votre application.
  5. Accédez au volet Approvisionnement, puis sélectionnez Démarrer le provisionnement.
  6. Analyse à l’aide des journaux d’approvisionnement.

La vidéo suivante fournit une vue d’ensemble du provisionnement local.

Étapes suivantes