Utiliser des groupes externes pour gérer les autorisations sur les sources de données des connecteurs Microsoft Graph

  • Article

Les groupes externes vous permettent de gérer les autorisations permettant d’afficher des éléments externes dans une connexion Microsoft Graph et de vous connecter à des sources de données en dehors des groupes Microsoft Entra.

Pour les sources de données qui s’appuient sur Microsoft Entra utilisateurs et groupes, vous définissez des autorisations sur des éléments externes en associant une liste de contrôle d’accès (ACL) à un ID d’utilisateur et de groupe Microsoft Entra lors de la création ou de la mise à jour des éléments externes.

Toutefois, pour les sources de données qui utilisent des groupes non-Azure AD ou des constructions de type groupe, telles que les profils Salesforce, les unités commerciales Dynamics, les groupes SharePoint, les groupes locaux ServiceNow ou les groupes locaux Confluence, nous vous recommandons d’utiliser des groupes externes.

Scénarios courants de groupe externe

Voici des exemples courants de groupes non spécifiques à l’application Azure AD.

Microsoft Dynamics 365 permet aux clients de structurer leurs CRM avec des unités commerciales et des équipes. Les informations d’appartenance pour ces unités commerciales et équipes ne sont pas stockées dans Microsoft Entra ID.

L’image suivante montre la structure des unités commerciales et des équipes.


Diagramme d’une structure dans Dynamics 365. Une unité commerciale est dotée d’une équipe et d’un responsable. Ce gestionnaire a d’autres utilisateurs.

Salesforce utilise des profils, des rôles et des jeux d’autorisations pour l’autorisation. Celles-ci sont spécifiques à Salesforce et les informations d’appartenance ne sont pas disponibles dans Microsoft Entra ID.

L’image suivante montre la structure des informations d’appartenance dans Salesforce.


Diagramme d’une structure de rôles dans Salesforce. Le rôle de vice-président des ventes est au niveau supérieur de la hiérarchie et a trois subordonnés, à savoir le responsable des opérations commerciales, le responsable des ventes et le responsable de la gestion des comptes. Le responsable des opérations commerciales a un responsable des opérations commerciales en tant que subordonné. Le responsable des ventes a un responsable du développement des ventes en tant que subordonné.

Utilisation de groupes externes dans votre connexion

Pour utiliser des groupes externes dans votre connexion, procédez comme suit :

  1. Pour chaque groupe non-Azure AD, utilisez l’API groupes pour créer un groupe externe dans Microsoft Graph.
  2. Utilisez le groupe externe lors de la définition de la liste de contrôle d’accès pour vos éléments externes si nécessaire.
  3. Maintenir l’appartenance des groupes externes à jour et synchronisée.

Créer un groupe externe

Les groupes externes appartiennent à une connexion. Pour créer des groupes externes dans vos connexions, procédez comme suit :

  1. Utilisez l’API de groupes dans Microsoft Graph, comme indiqué dans l’exemple suivant.

    Remarque

    Les champs displayName et description sont facultatifs.

    POST /external/connections/{connectionId}/groups

{ 
  "id": "contosoEscalations", 
  "displayName": "Contoso Escalations", 
  "description": "Tier-1 escalations within Contoso"
} 

  2. Fournissez un identificateur ou un nom dans le champ ID. Utilisez cette valeur pour appeler le groupe externe dans les requêtes suivantes.

    Remarque

    Le champ ID vous permet d’utiliser l’URL et les jeux de caractères Base64 sécurisés pour le nom de fichier. Il a une limite de 128 caractères.

    Un groupe externe peut contenir un ou plusieurs des éléments suivants :

    • Un utilisateur Microsoft Entra.
    • Groupe Microsoft Entra.
    • Un autre groupe externe, y compris les groupes externes imbriqués.

  3. Après avoir créé le groupe, vous pouvez ajouter des membres au groupe, comme illustré dans les exemples suivants.

    POST https://graph.microsoft.com/beta/external/connections/{connectionId}/groups/{groupId}/members

{
  "id": "contosoSupport",
  "type": "group",
  "identitySource": "external"
}

    POST https://graph.microsoft.com/beta/external/connections/{connectionId}/groups/{groupId}/members

{
  "id": "25f143de-be82-4afb-8a57-e032b9315752",
  "type": "user",
  "identitySource": "azureActiveDirectory"
}

    POST https://graph.microsoft.com/beta/external/connections/{connectionId}/groups/{groupId}/members

{
  "id": "99a3b3d6-71ee-4d21-b08b-4b6f22e3ae4b",
  "type": "group",
  "identitySource": "azureActiveDirectory"
}

Utiliser des groupes externes dans la liste de contrôle d’accès

Vous pouvez utiliser des groupes externes lors de la définition de listes de contrôle d’accès pour des éléments externes, comme illustré dans l’exemple suivant. En plus de Microsoft Entra utilisateurs et groupes, un élément externe peut avoir des groupes externes dans ses entrées de contrôle d’accès.

PUT https://graph.microsoft.com/beta/external/connections/{id}/items/{id} 

Content-type: application/json 
{ 
  "@odata.type": "microsoft.graph.externalItem", 
  "acl": [ 
    { 
      "type": "group", 
      "value": "contosEscalations", 
      "accessType": "grant", 
      "identitySource": "External" 
    }, 
    { 
      "type": "user", 
      "value": "87e9089a-08d5-4d9e-9524-b7bd6be580d5", 
      "accessType": "grant", 
      "identitySource": "azureActiveDirectory" 
    }, 
    { 
      "type": "group", 
      "value": "96fbeb4f-f71c-4405-9f0b-1d6988eda2d2", 
      "accessType": "deny", 
      "identitySource": "azureActiveDirectory" 
    } 
  ], 
  "properties": { 
    "title": "Error in the payment gateway", 
    "priority": 1, 
    "assignee": "john@contoso.com" 
  }, 
  "content": { 
    "value": "<h1>Error in payment gateway</h1><p>Error details...</p>", 
    "type": "html" 
  } 
} 

Remarque

Vous pouvez utiliser des groupes externes dans les listes de contrôle d’accès avant même que les groupes ne soient créés.

Maintenir la synchronisation des appartenances aux groupes externes

Maintenez à jour l’appartenance à votre groupe externe dans Microsoft Graph. Lorsque les appartenances changent dans votre groupe personnalisé, assurez-vous que la modification est répercutée dans le groupe externe à un moment qui répond à vos besoins.

Gérer les groupes externes et l’appartenance

Vous pouvez utiliser l’API groupes pour gérer vos groupes externes et l’appartenance à un groupe. Pour plus d’informations, consultez externalGroup et externalGroupMember.

Remarque

Un utilisateur doit avoir moins de 2 049 appartenances à un groupe de sécurité externe, y compris les appartenances directes et indirectes. Lorsque cette limite est dépassée, les résultats de la recherche deviennent imprévisibles. Les requêtes des utilisateurs avec plus de 10 000 groupes de sécurité externes échouent avec une 400 réponse.

Contenu connexe