Partager via

Tutoriel pour configurer Saviynt avec Azure Active Directory B2C

  • Article

Découvrez comment intégrer Azure Active Directory B2C (Azure AD B2C) à la plateforme Saviynt Security Manager, qui offre visibilité, sécurité et gouvernance. Saviynt intègre le risque et la gouvernance des applications, la gestion de l’infrastructure, la gestion des comptes privilégiés et l’analyse des risques des clients.

En savoir plus : Saviynt pour Azure AD B2C

Utilisez les instructions suivantes pour configurer l’administration déléguée du contrôle d’accès pour les utilisateurs d’Azure AD B2C. Saviynt détermine si un utilisateur est autorisé à gérer les utilisateurs Azure AD B2C avec ce qui suit :

  • Sécurité au niveau des fonctionnalités pour déterminer si les utilisateurs peuvent effectuer une opération
    • Par exemple, créer un utilisateur, mettre à jour un utilisateur, réinitialiser le mot de passe de l’utilisateur, et bien plus encore
  • Sécurité au niveau du champ pour déterminer si les utilisateurs peuvent lire/écrire des attributs utilisateur pendant les opérations de gestion des utilisateurs
    • Par exemple, un agent du support technique peut mettre à jour un numéro de téléphone ; les autres attributs sont en lecture seule
  • Sécurité au niveau des données pour déterminer si les utilisateurs peuvent effectuer une opération sur un autre utilisateur
    • Par exemple, un administrateur du support technique pour la région Royaume-Uni gère les utilisateurs du Royaume-Uni

Prérequis

Pour commencer, vous avez besoin des éléments suivants :

Description du scénario

L’intégration de Saviynt inclut les composants suivants :

  • Azure AD B2C : identité en tant que service pour le contrôle personnalisé de l’inscription, de la connexion et de la gestion des profils des clients.
  • Saviynt pour Azure AD B2C : gouvernance des identités pour l’administration déléguée de la gestion du cycle de vie des utilisateurs et la gouvernance des accès.
  • API Microsoft Graph : interface permettant à Saviynt de gérer les utilisateurs d’Azure AD B2C et leur accès.

Le diagramme d’architecture suivant illustre l’implémentation.

Diagram of the Saviynt architecture.

  1. Un administrateur délégué démarre l’opération de gestion des utilisateurs d’Azure AD B2C avec Saviynt.
  2. Saviynt vérifie que l’administrateur délégué peut effectuer l’opération.
  3. Saviynt envoie une réponse indiquant une réussite ou une défaillance d’autorisation.
  4. Saviynt permet à l’administrateur délégué d’effectuer l’opération.
  5. Saviynt appelle l’API Microsoft Graph avec les attributs utilisateur pour gérer l’utilisateur dans Azure AD B2C.
  6. L’API Microsoft Graph crée, met à jour ou supprime l’utilisateur dans Azure AD B2C.
  7. Azure AD B2C envoie une réponse indiquant une réussite ou une défaillance.
  8. L’API Microsoft Graph renvoie la réponse à Saviynt.

Créer un compte Saviynt, puis créer des stratégies déléguées

  1. Créez un compte Saviynt. Pour démarrer, accédez à saviynt.com Nous contacter.
  2. Créez des stratégies d’administration déléguée.
  3. Attribuez aux utilisateurs le rôle d’administrateur délégué.

Configurer Azure AD B2C avec Saviynt

Utilisez les instructions suivantes pour créer une application, supprimer des utilisateurs, et bien plus encore.

Créer une application Microsoft Entra pour Saviynt

Pour les instructions suivantes, utilisez le répertoire avec le locataire Azure AD B2C.

  1. Connectez-vous au portail Azure.

  2. Dans la barre d’outils du portail, sélectionnez Répertoires + abonnements.

  3. Sur la page Paramètres du portail | Répertoires + abonnements, dans la liste Nom de répertoire, recherchez votre répertoire Azure AD B2C.

  4. Sélectionnez Changer.

  5. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.

  6. Sélectionnez Inscription d’applications>Nouvelle inscription.

  7. Entrez un nom d’application. Par exemple, Saviynt.

  8. Sélectionnez Create (Créer).

  9. Accédez à API autorisées.

  10. Sélectionnez + Ajouter une autorisation.

  11. La page Demander des autorisations d’API apparaît.

  12. Sélectionnez l’onglet API Microsoft.

  13. Sélectionnez Microsoft Graph comme API Microsoft couramment utilisée.

  14. Allez à la page suivante.

  15. Sélectionnez Autorisations de l’application.

  16. Sélectionner Répertoire.

  17. Cochez les cases Directory.Read.All et Directory.ReadWrite.All.

  18. Sélectionnez Ajouter des autorisations.

  19. Passez en revue les autorisations.

  20. Sélectionnez Accorder le consentement de l’administrateur pour le répertoire par défaut.

  21. Sélectionnez Enregistrer.

  22. Accédez à Certificats et secrets.

  23. Sélectionnez + Ajouter une clé secrète client.

  24. Entrez la description de la clé secrète client.

  25. Sélectionnez l’option d’expiration.

  26. Sélectionnez Ajouter.

  27. La clé secrète apparaît dans la section Clé secrète client. Enregistrez la clé secrète client pour l’utiliser ultérieurement.

  28. Accédez à Vue d’ensemble.

  29. Copiez l’ID de client et l’ID de locataire.

Enregistrez l’ID de locataire, l’ID de client, puis la clé secrète client pour terminer l’installation.

Permettre à Saviynt de supprimer des utilisateurs

Permettez à Saviynt d’effectuer des opérations de suppression d’utilisateurs dans Azure AD B2C.

En savoir plus : Objets d’application et de principal du service dans Microsoft Entra ID

  1. Installez la version la plus récente du module Microsoft Graph PowerShell sur une station de travail ou un serveur Windows.

Pour plus d’informations, consultez la documentation sur Microsoft Graph PowerShell.

  1. Connectez-vous au module PowerShell, puis exécutez les commandes suivantes :
Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

Test de la solution

Accédez à votre locataire d’application Saviynt, puis testez la gestion du cycle de vie des utilisateurs et les cas d'usage de la gouvernance des accès.

Étapes suivantes