Provisionnement à la demande dans Microsoft Entra ID

Utilisez le provisionnement à la demande pour provisionner un utilisateur ou un groupe en quelques secondes. Entre autres choses, vous pouvez utiliser cette fonctionnalité pour :

  • Résoudre rapidement des problèmes de configuration.
  • Valider des expressions que vous avez définies.
  • Utiliser des filtres d’étendue.

Utilisation de l’approvisionnement à la demande

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur d’applications au moins.
  1. Accédez à Identité>Applications>Application d'entreprise> sélectionnez votre application.
  2. Sélectionnez Provisionnement.
  1. Accédez à Identité>External Identities>Synchronisation entre locataires>Configurations
  2. Sélectionnez votre configuration et accédez à la page de configuration Provisionnement.
  1. Configurez l’approvisionnement en fournissant vos informations d’identification d’administrateur.

  2. Sélectionnez Approvisionner à la demande.

  3. Recherchez un utilisateur par prénom, nom, nom d’affichage, nom d’utilisateur principal ou adresse e-mail. Vous pouvez également rechercher un groupe et sélectionner jusqu’à 5 utilisateurs.

    Remarque

    Pour l’application de provisionnement RH cloud (Workday / SuccessFactors à Active Directory / Microsoft Entra ID), la valeur d’entrée est différente. Pour le scénario Workday, indiquez le « WorkerID » ou « WID » de l’utilisateur dans Workday. Pour le scénario SuccessFactors, indiquez le « personIdExternal » de l’utilisateur dans SuccessFactors.

  4. Sélectionnez Approvisionner au bas de la page.

    Screenshot that shows the Microsoft Entra admin center UI for provisioning a user on demand.

Comprendre les étapes d’approvisionnement

Le processus d’approvisionnement à la demande tente d’afficher les étapes que le service d’approvisionnement effectue lors de l’approvisionnement d’un utilisateur. Il existe généralement cinq étapes pour approvisionner un utilisateur. Une ou plusieurs de ces étapes, expliquées dans les sections suivantes, s’affichent au cours de l’expérience d’approvisionnement à la demande.

Étape 1 : Tester la connexion

Le service de provisionnement tente d’autoriser l’accès au système cible en faisant une demande pour un « utilisateur test ». Le service de provisionnement attend une réponse indiquant que le service est autorisé à poursuivre les étapes de provisionnement. Cette étape s’affiche uniquement en cas d’échec. Elle n’apparaît pas pendant l’expérience d’approvisionnement à la demande lorsque l’étape aboutit.

Conseils de dépannage

  • Vérifiez que vous avez fourni au système cible des informations d’identification valides, telles que le jeton secret et l’URL du locataire. Les informations d’identification requises varient selon l’application. Pour obtenir des didacticiels de configuration détaillés, consultez la liste des didacticiels.
  • Assurez-vous que le système cible prend en charge le filtrage sur les attributs correspondants définis dans le volet Mappages d’attributs. Vous devrez peut-être vérifier la documentation de l’API fournie par le développeur de l’application pour comprendre les filtres pris en charge.
  • Pour les applications SCIM (System for Cross-domain Identity Management), vous pouvez utiliser un outil tel que Postman. Ces outils vous permettent de vous assurer que l’application répond aux demandes d’autorisation comme le service d’approvisionnement de Microsoft Entra l’attend. Examinez un exemple de demande.

Étape 2 : Importer l'utilisateur

Ensuite, le service d’approvisionnement récupère l’utilisateur à partir du système source. Les attributs utilisateur que le service récupère sont utilisés ultérieurement pour effectuer les tâches suivantes :

  • évaluer si l’utilisateur est dans l’étendue d’approvisionnement ;
  • vérifier si un utilisateur existant est présent dans le système cible ;
  • déterminer les attributs d’utilisateur à exporter vers le système cible.

Afficher les détails

La section Afficher les détails affiche les propriétés de l’utilisateur qui ont été importées à partir du système source (par exemple, Microsoft Entra ID).

Conseils de dépannage

  • L’importation de l’utilisateur peut échouer lorsque l’attribut correspondant est manquant sur l’objet utilisateur dans le système source. Pour résoudre ce problème, essayez l’une des méthodes suivantes :

    • Mettez à jour l’objet utilisateur avec une valeur pour l’attribut correspondant.
    • Modifiez l’attribut correspondant dans votre configuration d’approvisionnement.
  • Si un attribut que vous attendez ne figure pas dans la liste importée, assurez-vous que l’attribut a une valeur sur l’objet utilisateur dans le système source. Actuellement, le service d’approvisionnement ne prend pas en charge l’approvisionnement des attributs Null.

  • Assurez-vous que la page Mappage d’attributs de votre configuration d’approvisionnement contient l’attribut que vous attendez.

Étape 3 : Déterminer si l'utilisateur se trouve dans l'étendue

Ensuite, le service d’approvisionnement détermine si l’utilisateur se trouve dans l’étendue pour l’approvisionnement. Le service vérifie des aspects tels que les suivants :

  • si l’utilisateur est affecté à l’application ;
  • si l’étendue est définie sur Synchroniser les utilisateurs affectés ou Synchroniser tous les utilisateurs ;
  • filtres d’étendue définis dans votre configuration d’approvisionnement.

Afficher les détails

La section Afficher les détails affiche les conditions d’étendue qui ont été évaluées. Vous pourriez voir une ou plusieurs des propriétés suivantes :

  • Actif dans le système source indique que la propriété IsActive de l’utilisateur est définie sur true dans Microsoft Entra ID.
  • Affecté à l’application indique que l’utilisateur est affecté à l’application dans Microsoft Entra ID.
  • Scope sync all (Étendue tout synchroniser) indique que la configuration de l’étendue autorise tous les utilisateurs et les groupes du locataire.
  • User has required role (Rôle obligatoire de l’utilisateur) indique que l’utilisateur dispose des rôles nécessaires pour être approvisionné dans l’application.
  • Les Filtres d’étendue s’affichent également si vous avez défini des filtres d’étendue pour votre application. Le filtre sera affiché au format suivant : {titre de filtre d’étendue} {attribut de filtre d’étendue} {opérateur de filtre d’étendue} {valeur de filtre d’étendue}.

Conseils de dépannage

Étape 4 : Faire correspondre l'utilisateur entre la source et la cible

Dans cette étape, le service tente de faire correspondre l’utilisateur qui a été récupéré à l’étape d’importation avec un utilisateur dans le système cible.

Afficher les détails

La page Afficher les détails affiche les propriétés des utilisateurs qui ont été mis en correspondance dans le système cible. Le volet de contexte change comme suit :

  • Si aucun utilisateur n’est mis en correspondance dans le système cible, aucune propriété n’est affichée.
  • Si un utilisateur correspond dans le système cible, les propriétés de cet utilisateur s’affichent.
  • Si plusieurs utilisateurs correspondent, les propriétés des deux utilisateurs sont affichées.
  • Si plusieurs attributs correspondants font partie de vos mappages d’attributs, chaque attribut correspondant est évalué de manière séquentielle, et les utilisateurs correspondants pour cet attribut sont affichés.

Conseils de dépannage

  • Il se peut que le service d’approvisionnement ne puisse pas être mettre en correspondance un utilisateur dans le système source de manière unique avec un utilisateur dans la cible. Pour résoudre ce problème, assurez-vous que l’attribut correspondant est unique.
  • Assurez-vous que le système cible prend en charge le filtrage sur l’attribut qui a été défini comme l’attribut correspondant.

Étape 5 : Exécuter l’action

Enfin, le service d’approvisionnement effectue une action telle que créer, mettre à jour, supprimer ou ignorer l’utilisateur.

Voici un exemple de ce que vous pouvez voir une fois l’approvisionnement à la demande d’un utilisateur effectué avec succès :

Screenshot that shows the successful on-demand provisioning of a user.

Afficher les détails

La section Afficher les détails affiche les attributs qui ont été modifiés dans le système cible. Cet affichage représente la sortie finale de l’activité du service d’approvisionnement et des attributs qui ont été exportés. Si cette étape échoue, les attributs affichés représentent les attributs que le service d’approvisionnement a tenté de modifier.

Conseils de dépannage

  • Les défaillances d’exportation des modifications peuvent varier considérablement. Pour les défaillances courantes, consultez la documentation sur les journaux d’approvisionnement.
  • Le provisionnement à la demande indique que le groupe ou l’utilisateur ne peut pas être provisionné, car il n’est pas affecté à l’application. Il existe un délai de réplication allant jusqu’à quelques minutes entre le moment où un objet est affecté à une application et le moment où cette affectation est prise en compte par l’approvisionnement à la demande. Vous devrez peut-être attendre quelques minutes, puis réessayer.

Forum aux questions

  • Devez-vous désactiver l’approvisionnement pour utiliser l’approvisionnement à la demande ? Pour les applications qui utilisent un jeton de porteur à long terme ou un nom d’utilisateur et un mot de passe pour l’autorisation, aucune étape supplémentaire n’est requise. Les applications qui utilisent OAuth pour l’autorisation nécessitent actuellement que le travail d’approvisionnement soit arrêté avant d’utiliser l’approvisionnement à la demande. Les applications telles que G suite, Box, Workplace by Facebook et Slack appartiennent à cette catégorie. Le travail est en cours pour permettre un approvisionnement à la demande pour toutes les applications, sans qu’il soit nécessaire d’arrêter les travaux d’approvisionnement.

  • Quelle est la durée de l’approvisionnement à la demande ? L’approvisionnement à la demande prend généralement moins de 30 secondes.

Limitations connues

Il existe actuellement quelques limitations connues de l’approvisionnement à la demande. Publiez vos suggestions et commentaires afin que nous puissions mieux déterminer les améliorations à apporter à l’étape suivante.

Notes

Les limitations suivantes sont spécifiques de la fonctionnalité d’approvisionnement à la demande. Pour savoir si une application prend en charge l’approvisionnement de groupes, de suppressions ou d’autres fonctionnalités, consultez le didacticiel de cette application.

  • L’approvisionnement à la demande des groupes prend en charge la mise à jour de jusqu’à cinq membres à la fois. Les connecteurs pour la synchronisation entre clients, Workday, etc. ne prennent pas en charge l’approvisionnement de groupes et, par conséquent, ne prennent pas en charge l’approvisionnement de groupes à la demande.
  • L’API de requête d’approvisionnement à la demande ne peut accepter qu’un seul groupe avec jusqu’à 5 membres à la fois.
  • L’approvisionnement de groupes à la demande n’est pas pris en charge pour la synchronisation entre clients.
  • L’approvisionnement à la demande prend en charge l’approvisionnement d’un utilisateur à la fois via le centra d’administration Microsoft Entra.
  • La restauration d’un utilisateur supprimé de manière réversible dans le locataire cible avec un provisionnement à la demande n’est pas prise en charge. Si vous essayez de supprimer de manière réversible un utilisateur avec un approvisionnement à la demande, puis de le restaurer, cela peut créer des utilisateurs en double.
  • Le provisionnement à la demande des rôles n’est pas pris en charge.
  • L’approvisionnement à la demande prend en charge la désactivation des utilisateurs dont l’affectation a été annulée à partir de l’application. En revanche, il ne prend pas en charge la désactivation ou la suppression d’utilisateurs qui ont été désactivés ou supprimés de Microsoft Entra ID. Ces utilisateurs n’apparaissent pas lorsque vous les recherchez.
  • L’approvisionnement à la demande ne prend pas en charge les groupes imbriqués non directement attribués à l’application.

Étapes suivantes