La gestion de l’approvisionnement des comptes d’utilisateur pour les applications d’entreprise dans le Centre d’administration Microsoft Entra
Cet article décrit les étapes générales de la gestion du provisionnement et du non-provisionnement automatique des comptes d’utilisateur pour les applications qui prennent en charge ces fonctions. L’approvisionnement de comptes d’utilisateur consiste à créer, mettre à jour et/ou désactiver des enregistrements de compte d’utilisateur dans le magasin local de profils utilisateur d’une application. La plupart des applications cloud et SaaS, ainsi que de nombreuses applications locales, stockent le rôle et les autorisations dans le magasin de profils utilisateur local de l’application. La présence d’un tel enregistrement d’utilisateur dans le magasin local de l’application est obligatoire pour l’authentification unique et l’accès au travail. Pour en savoir plus sur le provisionnement automatique des comptes d'utilisateur, consultez Automatiser le provisionnement et le déprovisionnement des utilisateurs vers les applications SaaS avec Microsoft Entra ID.
Important
Microsoft Entra ID dispose d'une galerie contenant des milliers d'applications pré-intégrées activées pour le provisionnement automatique avec Microsoft Entra ID. Vous devez commencer par trouver le didacticiel de configuration du provisionnement spécifique à votre application dans la liste des didacticiels sur la façon d'intégrer des applications SaaS avec Microsoft Entra ID. Vous trouverez probablement des conseils étape par étape pour configurer à la fois l'application et Microsoft Entra ID afin de créer la connexion de provisionnement.
Recherche de vos applications dans le portail
Conseil
Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.
Utilisez le Centre d’administration Microsoft Entra pour afficher et gérer toutes les applications configurées pour l’authentification unique dans un répertoire. Les applications d’entreprise sont des applications qui sont déployées et utilisées au sein de votre organisation. Suivez ces étapes pour afficher et gérer vos applications d’entreprise :
Connectez-vous au centre d'administration Microsoft Entra au minimum en tant qu’Administrateur d'application.
Accédez à Identité>Applications>Applications d’entreprise.
Une liste de toutes les applications configurées s’affiche, dont les applications qui ont été ajoutées à partir de la galerie.
Sélectionnez n’importe quelle application pour charger son panneau de ressources, où vous pouvez afficher les rapports et gérer les paramètres de l’application.
Sélectionnez Approvisionnement pour gérer les paramètres d’approvisionnement du compte utilisateur de l’application sélectionnée.
Modes d’approvisionnement
Le volet Approvisionnement commence par un menu Mode, qui indique les modes d’approvisionnement pris en charge pour une application d’entreprise et permet de les configurer. Les options disponibles incluent :
Automatique – Cette option s'affiche si Microsoft Entra ID prend en charge le provisionnement ou le déprovisionnement automatique basé sur l'API des comptes d'utilisateur pour cette application. Sélectionnez ce mode pour afficher une interface qui aide les administrateurs :
- Configurer Microsoft Entra ID pour vous connecter à l'API de gestion des utilisateurs de l'application
- Créez des mappages de comptes et des flux de travail qui définissent la manière dont les données des comptes d'utilisateurs doivent circuler entre Microsoft Entra ID et l'application
- Gérer le service de provisionnement Microsoft Entra
Manuel – cette option s'affiche si Microsoft Entra ID ne prend pas en charge le provisionnement automatique des comptes d'utilisateurs pour cette application. Dans ce cas, les enregistrements de comptes d’utilisateur stockés dans l’application doivent être gérés à l’aide d’un processus externe qui dépend des fonctionnalités de gestion et d’approvisionnement des utilisateurs fournies par cette application (par exemple l’approvisionnement SAML juste-à-temps).
Configuration de l’approvisionnement automatique de comptes d’utilisateur
Sélectionnez l’option Automatique pour spécifier les paramètres des informations d’identification administrateur, des mappages, des arrêts et des démarrages et de la synchronisation.
Admin Credentials (Informations d’identification de l’administrateur)
Développez Informations d'identification de l'administrateur pour saisir les informations d'identification requises pour que Microsoft Entra ID se connecte à l'API de gestion des utilisateurs de l'application. Les entrées requises dépendent de l’application. Pour en savoir plus sur les types d’informations d’identification requis pour une application spécifique, consultez le didacticiel de configuration de cette application.
Sélectionnez Tester la connexion pour tester les informations d'identification en demandant à Microsoft Entra ID de tenter de se connecter à l'application de provisionnement de l'application à l'aide des informations d'identification fournies.
Mappages
Développez Mappages pour afficher et modifier les attributs utilisateur qui circulent entre Microsoft Entra ID et l'application cible lorsque les comptes d'utilisateurs sont provisionnés ou mis à jour.
Il existe un ensemble préconfiguré de mappages entre les objets utilisateur Microsoft Entra et les objets utilisateur de chaque application SaaS. Certaines applications gèrent également des objets groupe. Sélectionnez un mappage dans la table pour ouvrir l’éditeur de mappage, où vous pouvez les afficher et les personnaliser.
Les personnalisations prises en charge sont notamment les suivantes :
Activation et désactivation des mappages pour des objets spécifiques, tels que l'objet utilisateur Microsoft Entra vers l'objet utilisateur de l'application SaaS.
Modification des attributs qui passent de l'objet utilisateur Microsoft Entra à l'objet utilisateur de l'application. Pour plus d’informations sur le mappage d’attributs, voir Présentation des types de mappages d’attributs.
Filtrage des actions de provisionnement que Microsoft Entra ID exécute sur l'application ciblée. Au lieu de synchroniser entièrement les objets avec Microsoft Entra ID, vous pouvez limiter les actions exécutées.
Par exemple, sélectionnez uniquement Mettre à jour et Microsoft Entra met uniquement à jour les comptes d'utilisateurs existants dans une application mais n'en crée pas de nouveaux. Si vous sélectionnez uniquement Créer, Azure crée des comptes d’utilisateur, mais ne met pas à jour les comptes existants. Cette fonctionnalité permet aux administrateurs de créer des mappages différents pour les flux de travail de création et de mise à jour de comptes.
Ajout d’un nouveau mappage d’attribut. Sélectionnez Ajouer un nouveau mappage en bas du volet Mappage d’attribut. Remplissez le formulaire Modifier l’attribut et sélectionnez OK pour ajouter le nouveau mappage à la liste.
Paramètres
Développez Paramètres pour définir une adresse e-mail afin de recevoir des notifications, et choisir de recevoir ou non des alertes en cas d’erreur. Sélectionnez également l’étendue des utilisateurs à synchroniser. Choisissez de synchroniser tous les utilisateurs et groupes ou uniquement les utilisateurs attribués.
État de l’approvisionnement
Si c’est la première fois que l’approvisionnement est activé pour une application, activez le service en définissant le paramètre État de la configuration sur Activé. Cette modification entraîne l’exécution d’un cycle initial par le service de provisionnement Microsoft Entra. Il lit les utilisateurs affectés dans la section Utilisateurs et groupes, interroge l'application cible à leur sujet, puis exécute les actions de provisionnement définies dans la section Mappages Microsoft Entra ID. Pendant ce processus, le service d’approvisionnement stocke les données en cache sur les comptes d’utilisateur qu’il gère. Le service stocke des données en cache de sorte que les opérations de non-provisionnement n’ont aucun effet sur les comptes non gérés des applications cibles qui n’ont jamais été concernés par l’affectation. Après le cycle initial, le service de provisionnement synchronise automatiquement les objets utilisateur et groupe toutes les 40 minutes.
Changez État de la configuration en Désactivé pour suspendre le service d’approvisionnement. Dans cet état, Azure ne crée, met à jour ou supprime aucun objet utilisateur ou groupe dans l’application. Changez de nouveau l’état pour Activé et le service reprend où il s’était arrêté.