Qu’est-ce que le provisionnement d’applications dans Microsoft Entra ID ?

Dans Microsoft Entra ID, le terme provisionnement de l’application désigne la création automatique des identités et rôles des utilisateurs pour les applications.

Diagramme illustrant les scénarios de provisionnement.

L’approvisionnement d’applications Microsoft Entra désigne la création automatique d’identités et de rôles utilisateur dans les applications auxquelles les utilisateurs ont besoin d’accéder. En plus de créer des identités utilisateur, l’approvisionnement automatique comprend la maintenance et la suppression d’identités utilisateur en cas de modification de l’état ou des rôles. Les scénarios courants incluent l'approvisionnement d'un utilisateur Microsoft Entra dans des applications telles que Dropbox, Salesforce, ServiceNow, etc.

Microsoft Entra ID prend également en charge l’attribution d’utilisateurs dans des applications hébergées localement ou sur une machine virtuelle, sans avoir à ouvrir de pare-feu. Le tableau ci-dessous fournit un mappage des protocoles aux connecteurs pris en charge.

Protocol Connector
SCIM SCIM - SaaS
SCIM - Réseau local / privé
LDAP LDAP
SQL SQL
REST Services web
SOAP Services web
Fichier plat PowerShell
Personnalisée Connecteurs ECMA personnalisés
Connecteurs et passerelles créés par les partenaires
  • Automatiser l’approvisionnement : Créez automatiquement des comptes dans les systèmes adéquats pour les nouvelles personnes rejoignant votre équipe ou votre organisation.
  • Automatiser le déprovisionnement : désactivez automatiquement les comptes dans les systèmes appropriés lorsque des personnes quittent l’équipe ou l’organisation.
  • Synchroniser les données entre les systèmes : veillez à ce que les identités dans les applications et systèmes soient à jour suite aux modifications apportées au répertoire ou au système de gestion des ressources humaines.
  • Approvisionner des groupes : Approvisionnez des groupes pour les applications qui les prennent en charge.
  • Régir l’accès : surveillez, puis auditez les utilisateurs approvisionnés dans les applications.
  • Déployer en toute transparence dans les scénarios « brown field » : Faites correspondre les identités existantes entre les systèmes et facilitez l’intégration, même lorsque les utilisateurs existent déjà dans le système cible.
  • Utiliser une personnalisation riche : Tirez parti des mappages d’attributs personnalisables qui définissent les données utilisateurs qui doivent circuler entre le système source et le système cible.
  • Obtenir des alertes pour les événements critiques : Le service d’approvisionnement fournit des alertes pour les événements critiques et permet une intégration de Log Analytics dans laquelle vous pouvez définir des alertes personnalisées pour répondre aux besoins de votre entreprise.

Qu’est-ce que SCIM ?

Pour aider à automatiser l’approvisionnement et le déprovisionnement, les applications exposent les API propriétaires d’utilisateurs et de groupes. La gestion des utilisateurs dans plusieurs applications est un défi, car chaque application tente d’effectuer les mêmes actions. Par exemple, la création ou la mise à jour d’utilisateurs, l’ajout d’utilisateurs à des groupes ou l’annulation de l’approvisionnement d’utilisateurs. Souvent, les développeurs implémentent ces actions légèrement différentes. Par exemple, avec des chemins de point de terminaison différents, des méthodes différentes pour spécifier les informations utilisateur et un schéma différent pour représenter chaque élément d’information.

Pour relever ces défis, la spécification SCIM (System for Cross-domain Identity Management) fournit un schéma utilisateur commun pour aider les utilisateurs à se déplacer dans, hors et autour des applications. SCIM devient la norme de provisionnement de facto et, lorsqu’elle est utilisée avec des normes de fédération comme SAML (Security Assertions Markup Language) ou OIDC (OpenID Connect), elle fournit aux administrateurs une solution de bout en bout basée sur des normes pour la gestion de l’accès.

Pour obtenir des instructions détaillées sur le développement d’un point de terminaison SCIM afin d’automatiser le provisionnement et le déprovisionnement d’utilisateurs et de groupes dans une application, consultez Créer un point de terminaison SCIM et configurer l’attribution des utilisateurs. De nombreuses applications s’intègrent directement avec Microsoft Entra ID. Certains exemples incluent Slack, Azure Databricks et Snowflake. Pour ces applications, ignorez la documentation du développeur, puis utilisez les didacticiels fournis dans la rubrique Didacticiels pour l’intégration d’applications SaaS avec Microsoft Entra ID.

Provisionnement manuel ou automatique

Les applications de la galerie Microsoft Entra prennent en charge l’un de ces deux modes de provisionnement :

  • Provisionnement manuel : utilisé lorsqu’il n’existe pas de connecteur de provisionnement Microsoft Entra automatique pour l’application. Vous devez les créer manuellement. Par exemple, directement dans le portail d’administration de l’application, ou en chargeant une feuille de calcul contenant les informations du compte d’utilisateur. Consultez la documentation fournie par l’application ou contactez le développeur de l’application pour déterminer les mécanismes disponibles.
  • Automatique signifie qu’un connecteur d’approvisionnement Microsoft Entra est disponible pour cette application. Suivez le tutoriel de configuration pour configurer le provisionnement de votre application. Vous trouverez les didacticiels dans Didacticiels pour l’intégration d’applications SaaS avec Microsoft Entra ID.

Le mode de provisionnement pris en charge par une application est également visible sous l’onglet Provisionnement une fois que vous avez ajouté l’application à vos applications d’entreprise.

Avantages de l’approvisionnement automatique

Le nombre d’applications utilisées dans les organisations modernes continue d’augmenter. En tant qu’administrateur informatique, vous devez assurer la gestion des accès à grande échelle. Vous utilisez des normes telles que SAML ou OIDC pour l’authentification unique (SSO), mais l’accès exige également que vous approvisionniez les utilisateurs dans une application. Vous pourriez penser que l’approvisionnement consiste à créer manuellement chaque compte d’utilisateur ou à charger des fichiers CSV chaque semaine. Ces processus sont fastidieux, coûteux et sujets aux erreurs. Pour simplifier le processus, utilisez SAML juste-à-temps (JAT) pour automatiser l’approvisionnement. Utilisez le même processus pour déprovisionner des utilisateurs lorsqu’ils quittent l’organisation ou n’ont plus besoin d’accéder à certaines applications suite à un changement de rôle.

Voici quelques-unes des motivations courantes de l’utilisation de l’approvisionnement automatique :

  • Optimisation de l’efficacité et de la précision des processus d’approvisionnement.
  • Économies sur les coûts liés à l’hébergement et à la gestion de scripts et de solutions d’approvisionnement personnalisés.
  • Sécurisation de votre organisation en supprimant instantanément les identités des utilisateurs des applications SaaS lorsqu’ils quittent l’organisation.
  • Importation facile de nombreux utilisateurs dans un système ou une application SaaS spécifique.
  • Un ensemble unique de stratégies pour déterminer les utilisateurs approvisionnés qui peuvent se connecter à une application.

L’approvisionnement d’utilisateurs de Microsoft Entra peut vous aider à relever ces défis. Pour en savoir plus sur la façon dont les clients utilisent le provisionnement d’utilisateurs Microsoft Entra, consultez l’étude de cas ASOS. La vidéo suivante offre une vue d’ensemble du provisionnement d’utilisateurs dans Microsoft Entra ID.

Quels applications et systèmes puis-je utiliser avec l’approvisionnement d’utilisateurs automatique Microsoft Entra ?

Microsoft Entra offre une prise en charge préintégrée de plusieurs applications SaaS et systèmes de gestion des ressources humaines connus, ainsi qu’une prise en charge générique des applications qui implémentent des parties spécifiques de la norme SCIM 2.0.

Comment configurer l’approvisionnement automatique pour une application ?

Pour les applications préintégrées répertoriées dans la galerie, utilisez les instructions détaillées existantes pour configurer l’approvisionnement automatique. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Tutoriels pour l’intégration d’applications SaaS avec Microsoft Entra ID. La vidéo suivante vous montre comment configurer l’approvisionnement automatique d’utilisateurs pour SalesForce.

Pour les autres applications qui prennent en charge SCIM 2.0, suivez les étapes décrites dans Créer un point de terminaison SCIM et configurer le provisionnement d’utilisateurs.

Étapes suivantes