Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans Microsoft Entra ID, le terme approvisionnement des applications désigne la création automatique d’identités et de rôles utilisateur pour les applications.
Le provisionnement d’applications Microsoft Entra fait référence à la création automatique d’identités et de rôles utilisateur dans les applications pour lesquelles les utilisateurs ont besoin d'accès. En plus de créer des identités utilisateur, l’approvisionnement automatique comprend la maintenance et la suppression d’identités utilisateur en cas de modification de l’état ou des rôles. Les scénarios courants incluent l’approvisionnement d’un utilisateur Microsoft Entra dans des applications SaaS telles que Dropbox, Salesforce, ServiceNow et bien plus encore.
Microsoft Entra ID prend également en charge l’approvisionnement d’utilisateurs dans des applications hébergées localement ou dans une machine virtuelle, sans avoir à ouvrir de pare-feu. Le tableau ci-dessous fournit un mappage des protocoles aux connecteurs pris en charge.
| Protocole | Connecteur |
|---|---|
| SCIM |
SCIM - SaaS SCIM - Réseau local / privé |
| LDAP | LDAP |
| SQL | SQL |
| Repos | Services web |
| SOAP | Services web |
| Fichier plat | PowerShell |
| Personnalisé |
Connecteurs personnalisés ECMA Connecteurs et passerelles créés par les partenaires |
- Automatiser l’approvisionnement : créez automatiquement des comptes dans les systèmes adéquats pour les nouvelles personnes rejoignant votre équipe ou votre organisation.
- Automatiser le déprovisionnement : désactivez automatiquement les comptes dans les systèmes appropriés lorsque des personnes quittent l’équipe ou l’organisation.
- Synchroniser les données entre les systèmes : veillez à ce que les identités dans les applications et systèmes soient à jour suite aux modifications apportées au répertoire ou au système de gestion des ressources humaines.
- Découvrir des comptes :Découvrezles utilisateurs existants dans votre application, y compris les comptes locaux ou orphelins.
- Approvisionner des groupes : provisionnez des groupes pour les applications qui les prennent en charge.
- Régir l’accès : surveillez, puis auditez les utilisateurs approvisionnés dans les applications.
- Déployer en toute transparence dans les scénarios « brown field » : faites correspondre les identités existantes entre les systèmes et facilitez l’intégration, même lorsque les utilisateurs existent déjà dans le système cible.
- Utiliser une personnalisation riche : tirez parti des mappages d’attributs personnalisables qui définissent les données utilisateurs qui doivent circuler entre le système source et le système cible.
- Get alertes pour les événements critiques : le service d’approvisionnement fournit des alertes pour les événements critiques et permet une intégration Log Analytics où vous pouvez définir des alertes personnalisées en fonction de vos besoins métier.
Qu’est-ce que SCIM ?
Pour aider à automatiser l’approvisionnement et le déprovisionnement, les applications exposent les API propriétaires d’utilisateurs et de groupes. La gestion des utilisateurs dans plusieurs applications est un défi, car chaque application tente d’effectuer les mêmes actions. Par exemple, la création ou la mise à jour d’utilisateurs, l’ajout d’utilisateurs à des groupes ou l’annulation de l’approvisionnement d’utilisateurs. Souvent, les développeurs implémentent ces actions légèrement différentes. Par exemple, avec des chemins de point de terminaison différents, des méthodes différentes pour spécifier les informations utilisateur et un schéma différent pour représenter chaque élément d’information.
Pour relever ces défis, la spécification SCIM (System for Cross-domain Identity Management) fournit un schéma utilisateur commun pour aider les utilisateurs à se déplacer dans, hors et autour des applications. SCIM devient la norme de provisionnement de facto et, lorsqu’elle est utilisée avec des normes de fédération comme SAML (Security Assertions Markup Language) ou OIDC (OpenID Connect), elle fournit aux administrateurs une solution de bout en bout basée sur des normes pour la gestion de l’accès.
Pour obtenir des instructions détaillées sur le développement d’un point de terminaison SCIM afin d’automatiser le provisionnement et le déprovisionnement d’utilisateurs et de groupes dans une application, consultez Créer un point de terminaison SCIM et configurer l’attribution des utilisateurs. De nombreuses applications s’intègrent directement à Microsoft Entra ID. Voici quelques exemples : Slack, Azure Databricks et Snowflake. Pour ces applications, ignorez la documentation du développeur et utilisez les didacticiels fournis dans Tutorials pour l’intégration d’applications SaaS avec Microsoft Entra ID.
Provisionnement manuel ou automatique
Les applications de la galerie Microsoft Entra prennent en charge l’un des deux modes d’approvisionnement :
- Provisionnement manuel indique qu'il n'y a pas encore de connecteur de provisionnement automatique Microsoft Entra pour l'application. Vous devez les créer manuellement. Par exemple, directement dans le portail d’administration de l’application, ou en chargeant une feuille de calcul contenant les informations du compte d’utilisateur. Consultez la documentation fournie par l’application ou contactez le développeur de l’application pour déterminer les mécanismes disponibles.
- Automatic signifie qu’un connecteur d’approvisionnement Microsoft Entra est disponible dans cette application. Suivez le tutoriel de configuration pour configurer le provisionnement de votre application. Recherchez les didacticiels d’application dans Tutorials pour l’intégration d’applications SaaS à Microsoft Entra ID.
Le mode de provisionnement pris en charge par une application est également visible sous l’onglet Provisionnement une fois que vous avez ajouté l’application à vos applications d’entreprise.
Avantages de l’approvisionnement automatique
Le nombre d’applications utilisées dans les organisations modernes continue d’augmenter. En tant qu’administrateur informatique, vous devez assurer la gestion des accès à grande échelle. Vous utilisez des normes telles que SAML ou OIDC pour l’authentification unique (SSO), mais l’accès exige également que vous approvisionniez les utilisateurs dans une application. Vous pourriez penser que l’approvisionnement consiste à créer manuellement chaque compte d’utilisateur ou à charger des fichiers CSV chaque semaine. Ces processus sont fastidieux, coûteux et sujets aux erreurs. Pour simplifier le processus, utilisez SAML juste-à-temps (JAT) pour automatiser l’approvisionnement. Utilisez le même processus pour déprovisionner des utilisateurs lorsqu’ils quittent l’organisation ou n’ont plus besoin d’accéder à certaines applications suite à un changement de rôle.
Voici quelques-unes des motivations courantes de l’utilisation de l’approvisionnement automatique :
- Optimisation de l’efficacité et de la précision des processus d’approvisionnement.
- Économies sur les coûts liés à l’hébergement et à la gestion de scripts et de solutions d’approvisionnement personnalisés.
- Sécurisation de votre organisation en supprimant instantanément les identités des utilisateurs des applications SaaS lorsqu’ils quittent l’organisation.
- Importation facile de nombreux utilisateurs dans un système ou une application SaaS spécifique.
- Un ensemble unique de stratégies pour déterminer les utilisateurs approvisionnés qui peuvent se connecter à une application.
Le provisionnement d’utilisateurs Microsoft Entra peut aider à résoudre ces problèmes. Pour en savoir plus sur la façon dont les clients ont utilisé l'approvisionnement des utilisateurs de Microsoft Entra, lisez l’étude de cas ASOS. La vidéo suivante fournit une vue d’ensemble de l’approvisionnement d’utilisateurs dans Microsoft Entra ID.
Quelles applications et systèmes puis-je utiliser avec Microsoft Entra approvisionnement automatique d’utilisateurs ?
Microsoft Entra dispose de fonctionnalités préintégrées pour de nombreuses applications SaaS populaires et des systèmes de ressources humaines, ainsi que d'un support générique pour les applications qui implémentent des parties spécifiques de la norme SCIM 2.0.
Applications préintégrées (applications SaaS de la galerie) : vous trouverez toutes les applications pour lesquelles Microsoft Entra ID prend en charge un connecteur d'approvisionnement préintégré dans Tutoriels pour l'intégration d'applications SaaS avec Microsoft Entra ID. Les applications préintégrées répertoriées dans la galerie utilisent généralement des API de gestion des utilisateurs SCIM 2.0 pour l’approvisionnement.
Pour demander une nouvelle application pour l’approvisionnement, consultez Submitez une demande de publication de votre application dans Microsoft Entra galerie d’applications. Pour une demande d’approvisionnement d’utilisateurs, nous avons besoin que l’application dispose d’un point de terminaison compatible SCIM. Demandez au fournisseur de l’application de suivre la norme SCIM pour que nous puissions intégrer rapidement l’application à notre plateforme.
Applications qui prennent en charge SCIM 2.0 : pour plus d’informations sur la connexion générique d’applications qui implémentent des API de gestion des utilisateurs SCIM 2.0, consultez Créer un point de terminaison SCIM et configurer le provisionnement d’utilisateurs.
Applications qui utilisent un répertoire ou une base de données existant, ou fournissent une interface de provisionnement : consultez les tutoriels pour savoir comment provisionner vers un annuaire LDAP, une base de données SQL, disposer d'une interface REST ou SOAP, ou être accessible via PowerShell, un connecteur ECMA personnalisé ou des connecteurs et passerelles créés par des partenaires.
Applications qui prennent en charge le provisionnement juste-à-temps via SAML.
Comment configurer l’approvisionnement automatique pour une application ?
Pour les applications préintégrées répertoriées dans la galerie, utilisez des instructions pas à pas existantes pour configurer l’approvisionnement automatique, consultez Tutorials pour intégrer des applications SaaS avec Microsoft Entra ID. La vidéo suivante vous montre comment configurer l’approvisionnement automatique d’utilisateurs pour SalesForce.
Pour les autres applications qui prennent en charge SCIM 2.0, suivez les étapes décrites dans Créer un point de terminaison SCIM et configurer le provisionnement d’utilisateurs.