Tutoriel : Configurer Concur pour l’approvisionnement automatique d’utilisateurs
L’objectif de ce tutoriel est de vous montrer les étapes à effectuer dans Concur et Microsoft Entra ID pour approvisionner et retirer automatiquement des comptes utilisateur de Microsoft Entra ID directement vers Concur.
Avertissement
Cette intégration d’approvisionnement n’est plus prise en charge et la fonctionnalité d’approvisionnement directe de l’application SAP Concur dans Microsoft Entra Enterprise App Gallery est supprimée. La fonctionnalité d’authentification unique (SSO) de l’application reste intacte. Les clients doivent plutôt approvisionner SAP Concur via SAP Cloud Identity Services. Pour plus d’informations, consultez comment configurer l’approvisionnement d’utilisateurs de Microsoft Entra ID vers SAP Cloud Identity Services et comment configurer l’approvisionnement d’utilisateurs à partir de SAP Cloud Identity Services sur SAP Concur.
Prérequis
Le scénario décrit dans ce didacticiel part du principe que vous disposez des éléments suivants :
- Un locataire Microsoft Entra.
- Un abonnement Concur pour lequel l’authentification unique est activée
- Un compte d’utilisateur dans Concur avec les autorisations d’administrateur d’équipe
Affectation d’utilisateurs à Concur
Microsoft Entra ID utilise un concept appelé « attributions » pour déterminer les utilisateurs devant recevoir un accès aux applications sélectionnées. Dans le cadre de l’approvisionnement automatique des comptes d’utilisateurs, seuls les utilisateurs et les groupes qui sont « attribués » à une application dans Microsoft Entra ID sont synchronisés.
Avant de configurer et d’activer le service d’approvisionnement, vous devez déterminer quels utilisateurs et/ou groupes dans Microsoft Entra ID représentent les utilisateurs qui ont besoin d’accéder à votre application Concur. Une fois que vous avez choisi, vous pouvez affecter ces utilisateurs à votre application Concur en suivant les instructions fournies ici :
Affecter un utilisateur ou un groupe à une application d’entreprise.
Conseils importants pour l’affectation d’utilisateurs à Concur
Nous vous recommandons de n’affecter qu’un seul utilisateur Microsoft Entra à Concur pour tester la configuration de l’approvisionnement. Les autres utilisateurs et/ou groupes peuvent être affectés ultérieurement.
Quand vous affectez un utilisateur à Concur, vous devez sélectionner un rôle d’utilisateur valide. Le rôle « Accès par défaut » ne fonctionne pas pour l’approvisionnement.
Activer l’approvisionnement d’utilisateurs
Cette section explique comment connecter votre annuaire Microsoft Entra ID à l’API d’approvisionnement de comptes d’utilisateur de Concur pour créer, mettre à jour et désactiver les comptes d’utilisateur affectés dans Concur en fonction des attributions d’utilisateurs et de groupes dans Microsoft Entra ID.
Conseil
Vous pouvez également choisir d’activer l’authentification unique basée sur SAML pour Concur en suivant les instructions fournies dans le Portail Azure. L’authentification unique peut être configurée indépendamment de l’approvisionnement automatique, bien que ces deux fonctionnalités se complètent.
Pour configurer l’approvisionnement de comptes utilisateur :
Cette section décrit comment activer l’approvisionnement des comptes d’utilisateurs Active Directory sur Concur.
Pour activer des applications dans le service Dépenses, vous devez vous assurer que la bonne configuration est définie et qu’un profil d’administrateur des services Web est utilisé. N’ajoutez pas le rôle WS Admin au profil d’administrateur existant que vous utilisez pour les fonctions administratives T&E.
Concur Consultants ou l’administrateur des clients doit créer un profil d’administrateur des services web distinct, et l’administrateur des clients doit utiliser ce profil pour les fonctions d’administrateur des services web (par exemple pour l’activation d’applications). Ces profils doivent être séparés du profil d’administrateur T&E utilisé quotidiennement par l’administrateur des clients (le profil d’administrateur T&E ne doit pas se voir affecter le rôle WS Admin).
Quand vous créez le profil à utiliser pour l’activation de l’application, entrez le nom de l’administrateur des clients dans les champs du profil utilisateur. Cela permet d’affecter la propriété au profil. Une fois qu’un ou plusieurs profils ont été créés, le client doit se connecter avec ce profil pour pouvoir cliquer sur le bouton « Activer » d’une application partenaire dans le menu Services Web.
Cette action ne doit pas être exécutée avec le profil utilisé pour l’administration T&E normale, et ce pour les raisons suivantes.
Le client doit être celui qui clique sur Oui dans la boîte de dialogue qui s’affiche quand une application est activée. Ce clic signifie que le client accepte que l’application partenaire accède aux données. Par conséquent, vous ou le partenaire ne pouvez pas cliquer sur le bouton Oui.
Si un administrateur de clients ayant activé une application à l’aide du profil d’administrateur T&E quitte l’entreprise (entraînant la désactivation du profil), toute application activée à l’aide de ce profil cesse de fonctionner jusqu’à son activation au moyen d’un autre profil WS Admin actif. C’est pourquoi vous devez créer des profils D’administration WS distincts.
Si un administrateur quitte l’entreprise, le nom associé au profil WS Admin peut être remplacé par celui du nouvel administrateur sans affecter l’application activée, puisque le profil n’a pas besoin d’être inactivé.
Pour configurer l'approvisionnement des utilisateurs, procédez comme suit :
Connectez-vous à votre locataire Concur.
Dans le menu Administration, sélectionnez Web Services.
Sur le côté gauche, dans le volet Web Services, sélectionnez Enable Partner Application.
Dans la liste Enable Application, sélectionnez Microsoft Entra ID, puis cliquez sur Enable.
Cliquez sur Yes pour fermer la boîte de dialogue Confirm Action.
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise.
Si vous avez déjà configuré Concur pour l’authentification unique, recherchez votre instance de Concur à l’aide du champ de recherche. Sinon, sélectionnez Ajouter et recherchez Concur dans la galerie d’applications. Sélectionnez Concur dans les résultats de recherche et ajoutez-la à votre liste d’applications.
Sélectionnez votre instance de Concur, puis sélectionnez l’onglet Approvisionnement.
Définissez le Mode d’approvisionnement sur Automatique.
Dans la section Informations d’identification administrateur, entrez le nom d’utilisateur et le mot de passe de l’administrateur Concur.
Sélectionnez Tester la connexion pour vous assurer que Microsoft Entra ID peut se connecter à votre application Concur. Si la connexion échoue, vérifiez que votre compte Concur dispose des autorisations d’administrateur d’équipe.
Entrez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur d’approvisionnement dans le champ E-mail de notification, puis cochez la case.
Cliquez sur Enregistrer.
Sous la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec Concur.
Dans la section Mappage d’attributs. passez en revue les attributs utilisateur synchronisés de Microsoft Entra ID vers Concur. Les attributs sélectionnés en tant que propriétés de Correspondance sont utilisés pour faire correspondre les comptes d’utilisateur dans Concur pour les opérations de mise à jour. Cliquez sur le bouton Enregistrer pour valider les modifications.
Pour activer le service d’approvisionnement Microsoft Entra pour Concur, définissez le paramètre État du provisionnement sur Activé dans la section Paramètres
Cliquez sur Enregistrer.
Vous pouvez à présent créer un compte de test. Patientez jusqu’à 20 minutes et vérifiez que le compte a bien été synchronisé avec Concur.