Tutoriel : Configurer Cerby pour le provisionnement automatique d’utilisateurs

Ce didacticiel décrit les étapes à suivre dans Cerby et Microsoft Entra ID pour configurer le provisionnement automatique des utilisateurs. Une fois configuré, Microsoft Entra ID provisionne et désapprovisionne automatiquement les utilisateurs et les groupes sur Cerby à l'aide du service de provisionnement Microsoft Entra. Pour découvrir les informations importantes sur ce que fait ce service, comment il fonctionne et consulter le forum aux questions, reportez-vous à l’article Automatiser l’approvisionnement et le désapprovisionnement d’utilisateurs dans les applications SaaS avec Microsoft Entra ID.

Fonctionnalités prises en charge

• Créer des utilisateurs dans Cerby
• Supprimer des utilisateurs de Cerby quand ils n’ont plus besoin d’accès
• Gardez les attributs utilisateur synchronisés entre Microsoft Entra ID et Cerby
• Approvisionner des groupes et des appartenances aux groupes dans Cerby.
• Authentification unique auprès de Cerby (recommandé).

Prérequis

Le scénario décrit dans ce tutoriel part du principe que vous disposez des prérequis suivants :

• Un locataire Microsoft Entra
• L’un des rôles suivants : Administrateur d’application, Administrateur d’application cloud ou Propriétaire d’application.
• Un compte d’utilisateur dans Cerby avec le rôle Propriétaire de l’espace de travail.
• L’intégration basée sur SAML2 de Cerby doit être configurée. Suivez les instructions de l'article Comment configurer l'application SAML Cerby App Gallery avec votre locataire Microsoft Entra pour configurer l'intégration.

Étape 1 : Planifier votre déploiement de l’approvisionnement

1. En savoir plus sur le fonctionnement du service d’approvisionnement.
2. Déterminez qui sera dans l’étendue pour l’approvisionnement.
3. Déterminez les données à mapper entre Microsoft Entra ID et Cerby.

Étape 2 : Configurer Cerby pour prendre en charge le provisionnement avec Microsoft Entra ID

Cerby a activé par défaut la prise en charge du provisioning pour Microsoft Entra ID. Vous devez uniquement récupérer le jeton d’authentification de l’API SCIM en effectuant les étapes suivantes :

1. Connectez-vous à votre espace de travail Cerby correspondant.

2. Cliquez sur le bouton Hi there < utilisateur >! situé en bas du menu de navigation de gauche. Un menu déroulant s’affiche.

3. Sélectionnez l’option Workspace Configuration associée à votre compte dans le menu déroulant. La page Workspace Configuration s’affiche.

4. Activez l’onglet IDP Settings.

5. Cliquez sur le bouton View Token situé dans la section Directory Sync de l’onglet IDP Settings. Une fenêtre contextuelle s’affiche en attente de confirmation de votre identité et une notification Push est envoyée à votre application mobile Cerby. IMPORTANT : Pour confirmer votre identité, vous devez avoir installé l’application mobile Cerby et vous y être connecté pour recevoir des notifications Push.

6. Cliquez sur le bouton It’s me! dans l’écran Demande de confirmation de votre application mobile Cerby pour confirmer votre identité. La fenêtre contextuelle de votre espace de travail Cerby se ferme et la fenêtre contextuelle Show Token s’affiche.

7. Cliquez sur le bouton Copy pour copier le jeton SCIM dans le Presse-papiers.

   Conseil

   Laissez la fenêtre contextuelle Show Token ouverte pour copier le jeton quand vous voulez. Vous avez besoin du jeton pour configurer le provisionnement avec Microsoft Entra ID.

Étape 3 : Ajoutez Cerby depuis la galerie d'applications Microsoft Entra

Ajoutez Cerby depuis la galerie d'applications Microsoft Entra pour commencer à gérer le provisionnement sur Cerby. Si vous avez déjà configuré Cerby pour l’authentification unique, vous pouvez utiliser la même application. Toutefois, il est recommandé de créer une application distincte lors du test initial de l’intégration. En savoir plus sur l’ajout d’une application à partir de la galerie ici.

Étape 4 : Définir qui sera dans l’étendue pour l’approvisionnement

Le service de provisionnement Microsoft Entra vous permet de déterminer qui sera provisionné en fonction de l'affectation à l'application et/ou en fonction des attributs de l'utilisateur et du groupe. Si vous choisissez de définir l’étendue de l’approvisionnement pour votre application en fonction de l’attribution, vous pouvez utiliser les étapes de suivantes pour affecter des utilisateurs et des groupes à l’application. Si vous choisissez de définir l’étendue de l’approvisionnement en fonction uniquement des attributs de l’utilisateur ou du groupe, vous pouvez utiliser un filtre d’étendue comme décrit ici.

• Commencez progressivement. Testez avec un petit ensemble d’utilisateurs et de groupes avant d’effectuer un déploiement général. Lorsque l’étendue de l’approvisionnement est définie sur les utilisateurs et les groupes attribués, vous pouvez contrôler cela en affectant un ou deux utilisateurs ou groupes à l’application. Lorsque l’étendue est définie sur tous les utilisateurs et groupes, vous pouvez spécifier un filtre d’étendue basé sur l’attribut.

• Si vous avez besoin de rôles supplémentaires, vous pouvez mettre à jour le manifeste d’application pour ajouter de nouveaux rôles.

Étape 5 : Configurer le provisionnement automatique des utilisateurs sur Cerby

Cette section vous guide à travers les étapes de configuration du service de provisionnement Microsoft Entra pour créer, mettre à jour et désactiver des utilisateurs et des groupes dans Cerby en fonction des attributions d'utilisateurs et de groupes dans Microsoft Entra ID.

Pour configurer le provisionnement automatique des utilisateurs pour Cerby dans Microsoft Entra ID :

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identité>Applications>Applications d’entreprise.

   

3. Dans la liste des applications, sélectionnez Cerby.

   

4. Sélectionnez l’onglet Approvisionnement.

   

5. Définissez le Mode d’approvisionnement sur Automatique.

   

6. Dans la section Informations d’identification de l’administrateur, entrez https://api.cerby.com/v1/scim/v2 comme URL de votre locataire Cerby et le jeton d’authentification de l’API SCIM que vous avez récupéré précédemment.

7. Cliquez sur Tester la connexion pour vous assurer que Microsoft Entra ID peut se connecter à Cerby. Si la connexion échoue, vérifiez que votre compte Cerby dispose des autorisations d’administrateur et réessayez.

   

8. Dans le champ E-mail de notification, entrez l’adresse e-mail de la personne ou du groupe qui doit recevoir les notifications d’erreur de provisionnement et sélectionnez la case à cocher Envoyer une notification par e-mail en cas de défaillance.

   

9. Sélectionnez Enregistrer.

10. Dans la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec Cerby.

11. Passez en revue les attributs utilisateur synchronisés de Microsoft Entra ID vers Cerby dans la section Mappages d'attributs. Les attributs sélectionnés en tant que propriétés de Correspondance sont utilisés pour faire correspondre les comptes d’utilisateur dans Cerby pour les opérations de mise à jour. Si vous choisissez de modifier l’attribut cible correspondant, vous devez vérifier que l’API Cerby prend en charge le filtrage des utilisateurs en fonction de cet attribut. Cliquez sur le bouton Enregistrer pour valider les modifications.

    Attribut	Type	Pris en charge pour le filtrage	Requis par Cerby
    userName	String	✓	✓
    emails[type eq "work"].value	String	✓	✓
    active	Boolean		✓
    name.givenName	String		✓
    name.familyName	String		✓
    externalId	Chaîne

12. Sous la section Mappages, sélectionnez Synchroniser les groupes Microsoft Entra avec Cerby.

13. Dans la section Mappages des attributs, passez en revue les attributs des groupes qui sont synchronisés entre Microsoft Entra ID avec Cerby. Les attributs sélectionnés comme propriétés de Correspondance sont utilisés pour la mise en correspondre des groupes dans Cerby dans le cadre des opérations de mise à jour. Cliquez sur le bouton Enregistrer pour valider les modifications.

    Attribut	Type	Pris en charge pour le filtrage	Requis par Cerby
    displayName	String	✓	✓
    externalId	String
    membres	Informations de référence

14. Pour configurer des filtres d’étendue, reportez-vous aux instructions suivantes fournies dans Approvisionnement d’applications basé sur les attributs avec filtres d’étendue.

15. Pour activer le service de provisionnement Microsoft Entra pour Cerby, modifiez l'état de provisionnement sur Activé dans la section Paramètres.

    

16. Définissez les utilisateurs et les groupes à provisionner sur Cerby en choisissant les valeurs souhaitées dans Étendue, dans la section Paramètres.

    

17. Lorsque vous êtes prêt à effectuer l’approvisionnement, cliquez sur Enregistrer.

    

Cette opération démarre le cycle de synchronisation initiale de tous les utilisateurs et groupes définis dans Étendue dans la section Paramètres. Le cycle initial prend plus de temps que les cycles suivants, qui se produisent environ toutes les 40 minutes tant que le service de provisionnement Microsoft Entra est en cours d’exécution.

Étape 6 : Surveiller votre déploiement

Une fois que vous avez configuré l’approvisionnement, utilisez les ressources suivantes pour surveiller votre déploiement :

• Utilisez les journaux d’approvisionnement pour déterminer quels utilisateurs ont été configurés avec succès ou échoué.
• Consultez la barre de progression pour afficher l’état du cycle d’approvisionnement et sa progression.
• Si la configuration de l’approvisionnement semble se trouver dans un état non sain, l’application passe en quarantaine. Pour en savoir plus sur les états de quarantaine, cliquez ici.

Conseils de dépannage

Si vous devez regénérer le jeton d’authentification de l’API SCIM, procédez comme suit :

1. Envoyez un e-mail avec votre demande à l’équipe du support de Cerby. L’équipe Cerby regénère le jeton d’authentification de l’API SCIM.

2. Recevez l’e-mail de réponse de Cerby pour confirmer que le jeton a été correctement regénéré.

3. Suivez les instructions de l’article Comment récupérer le jeton d’authentification de l’API SCIM à partir de Cerby pour récupérer le nouveau jeton.

   Notes

   L’équipe Cerby développe actuellement une solution en libre-service pour regénérer le jeton d’authentification de l’API SCIM. Pour regénérer le jeton, les membres de l’équipe Cerby doivent valider leur identité.

Journal des modifications

• 02/01/2024 : ajout de la prise en charge de l’Approvisionnement de groupes.

Plus de ressources

• Gestion de l’approvisionnement de comptes d’utilisateur pour les applications d’entreprise
• Qu’est-ce que l’accès aux applications et l’authentification unique avec Microsoft Entra ID ?

Étapes suivantes

• Découvrez comment consulter les journaux d’activité et obtenir des rapports sur l’activité d’approvisionnement