Qu’est-ce que le provisionnement d’applications dans Microsoft Entra ID ?
Dans Microsoft Entra ID, le terme provisionnement de l’application désigne la création automatique des identités et rôles des utilisateurs pour les applications.
L’approvisionnement d’applications Microsoft Entra désigne la création automatique d’identités et de rôles utilisateur dans les applications auxquelles les utilisateurs ont besoin d’accéder. En plus de créer des identités utilisateur, l’approvisionnement automatique comprend la maintenance et la suppression d’identités utilisateur en cas de modification de l’état ou des rôles. Les scénarios courants incluent l'approvisionnement d'un utilisateur Microsoft Entra dans des applications telles que Dropbox, Salesforce, ServiceNow, etc.
Microsoft Entra ID prend également en charge l’attribution d’utilisateurs dans des applications hébergées localement ou sur une machine virtuelle, sans avoir à ouvrir de pare-feu. Le tableau ci-dessous fournit un mappage des protocoles aux connecteurs pris en charge.
| Protocol | Connector |
|---|---|
| SCIM | SCIM - SaaS SCIM - Réseau local / privé |
| LDAP | LDAP |
| SQL | SQL |
| REST | Services web |
| SOAP | Services web |
| Fichier plat | PowerShell |
| Personnalisée | Connecteurs ECMA personnalisés Connecteurs et passerelles créés par les partenaires |
- Automatiser l’approvisionnement : Créez automatiquement des comptes dans les systèmes adéquats pour les nouvelles personnes rejoignant votre équipe ou votre organisation.
- Automatiser le déprovisionnement : désactivez automatiquement les comptes dans les systèmes appropriés lorsque des personnes quittent l’équipe ou l’organisation.
- Synchroniser les données entre les systèmes : veillez à ce que les identités dans les applications et systèmes soient à jour suite aux modifications apportées au répertoire ou au système de gestion des ressources humaines.
- Approvisionner des groupes : Approvisionnez des groupes pour les applications qui les prennent en charge.
- Régir l’accès : surveillez, puis auditez les utilisateurs approvisionnés dans les applications.
- Déployer en toute transparence dans les scénarios « brown field » : Faites correspondre les identités existantes entre les systèmes et facilitez l’intégration, même lorsque les utilisateurs existent déjà dans le système cible.
- Utiliser une personnalisation riche : Tirez parti des mappages d’attributs personnalisables qui définissent les données utilisateurs qui doivent circuler entre le système source et le système cible.
- Obtenir des alertes pour les événements critiques : Le service d’approvisionnement fournit des alertes pour les événements critiques et permet une intégration de Log Analytics dans laquelle vous pouvez définir des alertes personnalisées pour répondre aux besoins de votre entreprise.
Qu’est-ce que SCIM ?
Pour aider à automatiser l’approvisionnement et le déprovisionnement, les applications exposent les API propriétaires d’utilisateurs et de groupes. La gestion des utilisateurs dans plusieurs applications est un défi, car chaque application tente d’effectuer les mêmes actions. Par exemple, la création ou la mise à jour d’utilisateurs, l’ajout d’utilisateurs à des groupes ou l’annulation de l’approvisionnement d’utilisateurs. Souvent, les développeurs implémentent ces actions légèrement différentes. Par exemple, avec des chemins de point de terminaison différents, des méthodes différentes pour spécifier les informations utilisateur et un schéma différent pour représenter chaque élément d’information.
Pour relever ces défis, la spécification SCIM (System for Cross-domain Identity Management) fournit un schéma utilisateur commun pour aider les utilisateurs à se déplacer dans, hors et autour des applications. SCIM devient la norme de provisionnement de facto et, lorsqu’elle est utilisée avec des normes de fédération comme SAML (Security Assertions Markup Language) ou OIDC (OpenID Connect), elle fournit aux administrateurs une solution de bout en bout basée sur des normes pour la gestion de l’accès.
Pour obtenir des instructions détaillées sur le développement d’un point de terminaison SCIM afin d’automatiser le provisionnement et le déprovisionnement d’utilisateurs et de groupes dans une application, consultez Créer un point de terminaison SCIM et configurer l’attribution des utilisateurs. De nombreuses applications s’intègrent directement avec Microsoft Entra ID. Certains exemples incluent Slack, Azure Databricks et Snowflake. Pour ces applications, ignorez la documentation du développeur, puis utilisez les didacticiels fournis dans la rubrique Didacticiels pour l’intégration d’applications SaaS avec Microsoft Entra ID.
Provisionnement manuel ou automatique
Les applications de la galerie Microsoft Entra prennent en charge l’un de ces deux modes de provisionnement :
- Provisionnement manuel : utilisé lorsqu’il n’existe pas de connecteur de provisionnement Microsoft Entra automatique pour l’application. Vous devez les créer manuellement. Par exemple, directement dans le portail d’administration de l’application, ou en chargeant une feuille de calcul contenant les informations du compte d’utilisateur. Consultez la documentation fournie par l’application ou contactez le développeur de l’application pour déterminer les mécanismes disponibles.
- Automatique signifie qu’un connecteur d’approvisionnement Microsoft Entra est disponible pour cette application. Suivez le tutoriel de configuration pour configurer le provisionnement de votre application. Vous trouverez les didacticiels dans Didacticiels pour l’intégration d’applications SaaS avec Microsoft Entra ID.
Le mode de provisionnement pris en charge par une application est également visible sous l’onglet Provisionnement une fois que vous avez ajouté l’application à vos applications d’entreprise.
Avantages de l’approvisionnement automatique
Le nombre d’applications utilisées dans les organisations modernes continue d’augmenter. En tant qu’administrateur informatique, vous devez assurer la gestion des accès à grande échelle. Vous utilisez des normes telles que SAML ou OIDC pour l’authentification unique (SSO), mais l’accès exige également que vous approvisionniez les utilisateurs dans une application. Vous pourriez penser que l’approvisionnement consiste à créer manuellement chaque compte d’utilisateur ou à charger des fichiers CSV chaque semaine. Ces processus sont fastidieux, coûteux et sujets aux erreurs. Pour simplifier le processus, utilisez SAML juste-à-temps (JAT) pour automatiser l’approvisionnement. Utilisez le même processus pour déprovisionner des utilisateurs lorsqu’ils quittent l’organisation ou n’ont plus besoin d’accéder à certaines applications suite à un changement de rôle.
Voici quelques-unes des motivations courantes de l’utilisation de l’approvisionnement automatique :
- Optimisation de l’efficacité et de la précision des processus d’approvisionnement.
- Économies sur les coûts liés à l’hébergement et à la gestion de scripts et de solutions d’approvisionnement personnalisés.
- Sécurisation de votre organisation en supprimant instantanément les identités des utilisateurs des applications SaaS lorsqu’ils quittent l’organisation.
- Importation facile de nombreux utilisateurs dans un système ou une application SaaS spécifique.
- Un ensemble unique de stratégies pour déterminer les utilisateurs approvisionnés qui peuvent se connecter à une application.
L’approvisionnement d’utilisateurs de Microsoft Entra peut vous aider à relever ces défis. Pour en savoir plus sur la façon dont les clients utilisent le provisionnement d’utilisateurs Microsoft Entra, consultez l’étude de cas ASOS. La vidéo suivante offre une vue d’ensemble du provisionnement d’utilisateurs dans Microsoft Entra ID.
Quels applications et systèmes puis-je utiliser avec l’approvisionnement d’utilisateurs automatique Microsoft Entra ?
Microsoft Entra offre une prise en charge préintégrée de plusieurs applications SaaS et systèmes de gestion des ressources humaines connus, ainsi qu’une prise en charge générique des applications qui implémentent des parties spécifiques de la norme SCIM 2.0.
Applications préintégrées (applications SaaS de la Galerie) : vous trouverez toutes les applications pour lesquelles Microsoft Entra ID prend en charge un connecteur de provisionnement préintégré dans Tutoriels pour l’intégration d’applications SaaS avec Microsoft Entra ID. Les applications préintégrées répertoriées dans la galerie utilisent généralement des API de gestion des utilisateurs SCIM 2.0 pour l’approvisionnement.
Pour demander une nouvelle application pour l’approvisionnement, veuillez consulter la rubrique Soumettre une requête pour publier votre application dans la galerie d’applications Microsoft Entra Directory. Pour une demande d’approvisionnement d’utilisateurs, nous avons besoin que l’application dispose d’un point de terminaison compatible SCIM. Demandez au fournisseur de l’application de suivre la norme SCIM pour que nous puissions intégrer rapidement l’application à notre plateforme.
Applications qui prennent en charge SCIM 2.0 : pour plus d’informations sur la connexion générique d’applications qui implémentent des API de gestion des utilisateurs SCIM 2.0, consultez Créer un point de terminaison SCIM et configurer le provisionnement d’utilisateurs.
Applications qui utilisent un répertoire ou une base de données existant, ou fournissent une interface d’approvisionnement : consultez les didacticiels sur l’approvisionnement dans un répertoire LDAP, une base de données SQL, qui ont une interface REST ou SOAP ou qui peuvent être accessibles via PowerShell, un connecteur ECMA personnalisé ou des connecteurs et des passerelles créés par des partenaires.
Applications qui prennent en charge l’approvisionnement juste-à-temps via SAML.
Comment configurer l’approvisionnement automatique pour une application ?
Pour les applications préintégrées répertoriées dans la galerie, utilisez les instructions détaillées existantes pour configurer l’approvisionnement automatique. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Tutoriels pour l’intégration d’applications SaaS avec Microsoft Entra ID. La vidéo suivante vous montre comment configurer l’approvisionnement automatique d’utilisateurs pour SalesForce.
Pour les autres applications qui prennent en charge SCIM 2.0, suivez les étapes décrites dans Créer un point de terminaison SCIM et configurer le provisionnement d’utilisateurs.