Tutoriel : Configurer Workplace from Meta pour l’approvisionnement automatique d’utilisateurs
Ce tutoriel décrit les étapes que vous devez effectuer dans Workplace from Meta et Microsoft Entra ID pour configurer l’approvisionnement automatique d’utilisateurs. Une fois configuré, Microsoft Entra ID approvisionne et déprovisionne automatiquement les utilisateurs sur Workplace from Meta en utilisant le service d’approvisionnement Microsoft Entra. Pour découvrir les informations importantes sur ce que fait ce service, comment il fonctionne et consulter le forum aux questions, reportez-vous à l’article Automatiser l’approvisionnement et le désapprovisionnement d’utilisateurs dans les applications SaaS avec Microsoft Entra ID.
Fonctionnalités prises en charge
- Créer des utilisateurs dans Workplace from Meta
- Supprimer les utilisateurs dans Workplace from Meta lorsqu’ils ne nécessitent plus d’accès
- Garder les attributs utilisateur synchronisés entre Microsoft Entra ID et Workplace from Meta
- Authentification unique à Workplace from Meta (recommandé)
Prérequis
Le scénario décrit dans ce tutoriel part du principe que vous disposez des prérequis suivants :
- Un locataire Microsoft Entra
- L’un des rôles suivants : Administrateur d’application, Administrateur d’application cloud ou Propriétaire d’application.
- Un abonnement Workplace from Meta pour lequel l’authentification unique est activée
Remarque
Pour tester les étapes de ce didacticiel, nous déconseillons l’utilisation d’un environnement de production.
Remarque
Cette intégration est également disponible à partir de l’environnement Microsoft Entra US Government Cloud. Vous pouvez trouver cette application dans la galerie d’applications Microsoft Entra US Government Cloud et la configurer de la même manière que vous le faites à partir du cloud public.
Vous devez en outre suivre les recommandations ci-dessous :
- N’utilisez pas votre environnement de production, sauf si cela est nécessaire.
- Si vous n’avez pas d’environnement d’essai Microsoft Entra, vous pouvez obtenir un essai gratuit d’un mois ici.
Étape 1 : Planifier votre déploiement de l’approvisionnement
- En savoir plus sur le fonctionnement du service d’approvisionnement.
- Déterminez qui sera dans l’étendue pour l’approvisionnement.
- Déterminez les données à mapper entre Microsoft Entra ID et Workplace from Meta.
Étape 2 : Configurer Workplace from Meta pour prendre en charge l’approvisionnement avec Microsoft Entra ID
Avant de configurer et d’activer le service d’approvisionnement, vous devez décider quels utilisateurs dans Microsoft Entra ID représentent les utilisateurs qui ont besoin d’accéder à votre application Workplace from Meta. Une fois que vous avez choisi, vous pouvez affecter ces utilisateurs à votre application Workplace from Meta en suivant les instructions fournies ici :
Nous recommandons qu’un seul utilisateur Microsoft Entra soit attribué à Workplace from Meta pour tester la configuration de l’approvisionnement. D’autres utilisateurs peuvent être affectés ultérieurement.
Quand vous assignez un utilisateur à Workplace from Meta, vous devez sélectionner un rôle d’utilisateur valide. Le rôle Accès par défaut ne fonctionne pas pour l’attribution.
Étape 3 : Ajouter Workplace from Meta à partir de la galerie d’applications Microsoft Entra
Ajoutez Workplace from Meta à partir de la galerie d’applications Microsoft Entra pour commencer à gérer l’approvisionnement vers Workplace from Meta. Si vous avez déjà configuré Workplace from Meta pour l’authentification unique, vous pouvez utiliser la même application. Toutefois, il est recommandé de créer une application distincte lors du test initial de l’intégration. En savoir plus sur l’ajout d’une application à partir de la galerie ici.
Étape 4 : Définir qui sera dans l’étendue pour l’approvisionnement
Le service de provisionnement Microsoft Entra vous permet de déterminer qui sera provisionné en fonction de l'affectation à l'application et/ou en fonction des attributs de l'utilisateur/du groupe. Si vous choisissez de définir l’étendue du provisionnement pour votre application en fonction de l’attribution, vous pouvez utiliser les étapes suivantes pour affecter des utilisateurs à l’application. Si vous choisissez de définir l’étendue de l’approvisionnement en fonction uniquement des attributs de l’utilisateur ou du groupe, vous pouvez utiliser un filtre d’étendue comme décrit ici.
Commencez progressivement. Testez avec un petit ensemble d’utilisateurs et de groupes avant d’effectuer un déploiement général. Lorsque l’étendue de l’approvisionnement est définie sur les utilisateurs et les groupes attribués, vous pouvez contrôler cela en affectant un ou deux utilisateurs ou groupes à l’application. Lorsque l’étendue est définie sur tous les utilisateurs et groupes, vous pouvez spécifier un filtre d’étendue basé sur l’attribut.
Si vous avez besoin de rôles supplémentaires, vous pouvez mettre à jour le manifeste d’application pour ajouter de nouveaux rôles.
Étape 5 : Configurer l’approvisionnement automatique des utilisateurs dans Workplace from Meta
Cette section vous guide à travers les étapes de configuration du service d’approvisionnement Microsoft Entra pour créer, mettre à jour et désactiver des utilisateurs dans Workplace from Meta en fonction des attributions d’utilisateurs dans Microsoft Entra ID.
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise.
Dans la liste des applications, sélectionnez Workplace from Meta.
Sélectionnez l’onglet Approvisionnement.
Définissez le Mode d’approvisionnement sur Automatique.
Vérifiez que la section « URL du locataire » est remplie avec le point de terminaison correct : https://scim.workplace.com/. Sous la section Informations d’identification de l’administrateur, cliquez sur Autoriser. Vous serez redirigé vers la page d’autorisation de Workplace from Meta. Entrez votre nom d’utilisateur Workplace from Meta, puis cliquez sur le bouton Continuer. Cliquez sur Tester la connexion pour vérifier que Microsoft Entra ID peut se connecter à Workplace from Meta. Si la connexion échoue, vérifiez que votre compte Workplace from Meta dispose des autorisations d’administrateur et réessayez.
Notes
Si l’URL n’est pas modifiée en https://scim.workplace.com/, la tentative de sauvegarde de la configuration échouera.
Dans le champ E-mail de notification, entrez l’adresse e-mail de la personne ou du groupe qui doit recevoir les notifications d’erreur de provisionnement et sélectionnez la case à cocher Envoyer une notification par e-mail en cas de défaillance.
Sélectionnez Enregistrer.
Sous la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entra avec Workplace from Meta.
Passez en revue les attributs des utilisateurs synchronisés entre Microsoft Entra ID et Workplace from Meta dans la section Mappage des attributs. Les attributs sélectionnés en tant que propriétés de Correspondance servent à faire correspondre les comptes d’utilisateur dans Workplace from Meta, en vue d’opérations de mise à jour. Si vous choisissez de modifier l’attribut cible correspondant, vous devez vous assurer que l’API Workplace from Meta prend en charge le filtrage des utilisateurs en fonction de cet attribut. Cliquez sur le bouton Enregistrer pour valider les modifications.
Attribut Type userName String displayName String active Boolean title Boolean emails[type eq "work"].value String name.givenName String name.familyName String name.formatted String addresses[type eq "work"].formatted String addresses[type eq "work"].streetAddress String addresses[type eq "work"].locality String addresses[type eq "work"].region String addresses[type eq "work"].country String addresses[type eq "work"].postalCode String addresses[type eq "other"].formatted String phoneNumbers[type eq "work"].value String phoneNumbers[type eq "mobile"].value String phoneNumbers[type eq "fax"].value String externalId String preferredLanguage String urn:scim:schemas:extension:enterprise:1.0.manager String urn:scim:schemas:extension:enterprise:1.0.department String urn:scim:schemas:extension:enterprise:1.0.division String urn:scim:schemas:extension:enterprise:1.0.organization String urn:scim:schemas:extension:enterprise:1.0.costCenter String urn:scim:schemas:extension:enterprise:1.0.employeeNumber String urn:scim:schemas:extension:facebook:auth_method:1.0:auth_method Chaîne urn:scim:schemas:extension:facebook:frontline:1.0.is_frontline Boolean urn:scim:schemas:extension:facebook:starttermdates:1.0.startDate Entier Pour configurer des filtres d’étendue, reportez-vous aux instructions suivantes fournies dans Approvisionnement d’applications basé sur les attributs avec filtres d’étendue.
Pour activer le service d’approvisionnement Microsoft Entra pour Workplace from Meta, basculez l’état d’approvisionnement sur Activé dans la section Paramètres.
Définissez les utilisateurs que vous voulez approvisionner dans Workplace from Meta en choisissant les valeurs appropriées dans Étendue dans la section Paramètres.
Lorsque vous êtes prêt à effectuer l’approvisionnement, cliquez sur Enregistrer.
Cette opération démarre le cycle de synchronisation initiale de tous les utilisateurs définis sous Étendue, dans la section Paramètres. L'exécution du cycle initial prend plus de temps que les cycles suivants, qui se produisent environ toutes les 40 minutes tant que le service de provisionnement Microsoft Entra est en cours d'exécution.
Étape 6 : Surveiller votre déploiement
Une fois que vous avez configuré l’approvisionnement, utilisez les ressources suivantes pour surveiller votre déploiement :
- Utilisez les journaux d’approvisionnement pour déterminer quels utilisateurs ont été configurés avec succès ou échoué.
- Consultez la barre de progression pour afficher l’état du cycle d’approvisionnement et sa progression.
- Si la configuration de l’approvisionnement semble se trouver dans un état non sain, l’application passe en quarantaine. Pour en savoir plus sur les états de quarantaine, cliquez ici.
Conseils de dépannage
- Si la création d’un utilisateur n’aboutit pas et qu’il existe un événement de journal d’audit doté du code « 1789003 », cela signifie que l’utilisateur provient d’un domaine non vérifié.
- Dans certains cas, les utilisateurs reçoivent l'erreur « ERREUR : Champ E-mail manquant : Vous devez fournir une adresse électronique Erreur renvoyée par Facebook : Le traitement de la requête HTTP a entraîné une exception. » Pour plus d’informations, consultez la réponse HTTP renvoyée par la propriété « Response » de cette exception. Cette opération a été retentée zéro fois. Une nouvelle tentative sera effectuée après cette date. Cette erreur est due au fait que les clients mappent les messages, plutôt que userPrincipalName, à la messagerie Facebook, mais que certains utilisateurs n’ont pas d’attribut de messagerie. Pour éviter les erreurs et provisionner avec succès les utilisateurs qui ont échoué dans Workplace from Facebook, modifiez le mappage de l'attribut de l'email de Workplace from Facebook en Coalesce([mail],[userPrincipalName]) ou désassignez l'utilisateur de Workplace from Facebook, ou fournissez une adresse email pour l'utilisateur.
- Il existe une option dans Workplace qui autorise l’existence d’utilisateurs sans adresse e-mail. Si ce paramètre est activé côté Workplace, le provisionnement côté Azure doit être redémarré pour que les utilisateurs sans adresse e-mail puissent être créés dans Workplace.
Mettre à jour une application Workplace from Meta pour utiliser le point de terminaison Workplace from Meta SCIM 2.0
En décembre 2021, Facebook a publié un connecteur SCIM 2.0. L’exécution des étapes ci-dessous met à jour les applications configurées pour utiliser le point de terminaison SCIM 1.0 afin d’utiliser le point de terminaison SCIM 2.0. Ces étapes suppriment toutes les personnalisations apportées précédemment à l’application Workplace from Meta, à savoir :
- Informations sur l’authentification
- Filtres d’étendue
- Mappages d’attributs personnalisés
Notes
Veillez à noter toutes les modifications apportées aux paramètres énumérés ci-dessus avant d’effectuer les étapes ci-dessous. Dans le cas contraire, vous risquez de perdre des paramètres personnalisés.
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à Identité>Applications>Applications d’entreprise>Workplace from Meta.
Dans la section Propriétés de votre nouvelle application personnalisée, copiez l’ID objet.
Dans une nouvelle fenêtre de navigateur Web, accédez à https://developer.microsoft.com/graph/graph-explorer et connectez-vous en tant qu'administrateur du locataire Microsoft Entra où votre application est ajoutée.
Vérifiez que le compte utilisé dispose des autorisations appropriées. L’autorisation « Directory.ReadWrite.All » est requise pour apporter cette modification.
À l’aide de l’ObjectID sélectionné à partir de l’application, exécutez la commande suivante :
GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
En prenant la valeur « ID » du corps de la réponse à la requête GET ci-dessus, exécutez la commande ci-dessous en remplaçant « [job-id] » par la valeur d’ID de la requête GET. La valeur doit être au format « FacebookAtWorkOutDelta.xxxxxxxxxxxxxxx.xxxxxxxxxxxxxxx » :
DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
Dans l’Afficheur Graph, exécutez la commande ci-dessous. Remplacez « [object-id] » par l’ID du principal de service (ID d’objet) copié à partir de la troisième étape.
POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }
Revenez à la première fenêtre du navigateur web et sélectionnez l’onglet Approvisionnement pour votre application. Votre configuration aura été réinitialisée. Vous pouvez vérifier que la mise à niveau a été effectuée en confirmant que l’ID de tâche commence par « FacebookWorkplace ».
Dans la section Informations d’identification d’administrateur, mettez à jour l’URL de locataire comme suit : https://scim.workplace.com/
Restaurez les modifications apportées précédemment à l’application (détails de l’authentification, filtres d’étendue, mappages d’attributs personnalisés) et réactivez l’approvisionnement.
Notes
Si vous ne rétablissez pas les paramètres précédents, les attributs (name.formatted, par exemple) peuvent être mis à jour dans Workplace de manière inattendue. Veillez à vérifier la configuration avant d’activer l’approvisionnement.
Journal des modifications
- 09/10/2020 : ajout de la prise en charge des attributs d’entreprise « division », « organization », « costCenter » et « employeeNumber ». Ajout de la prise en charge des attributs personnalisés « startDate », « auth_method » et « frontline ».
- 07/22/2021 : Mise à jour des conseils de dépannage pour les clients avec un mappage d’e-mail à Facebook, mais certains utilisateurs n’ont pas d’attribut de messagerie.
Plus de ressources
- Gestion de l’approvisionnement de comptes d’utilisateur pour les applications d’entreprise
- Qu’est-ce que l’accès aux applications et l’authentification unique avec Microsoft Entra ID ?