Configurer le provisionnement externe d’utilisateurs
L’activation du provisionnement externe d’utilisateurs permet la gestion des utilisateurs à partir d’une seule et même source de données émanant du fournisseur d’identité en s’appuyant sur le protocole SCIM (System for Cross-domain Identity Management).
Autorisations
Le provisionnement externe d'utilisateurs doit être activé dans Diligent One et configuré auprès d'un fournisseur d'identité. Pour configurer le provisionnement externe d'utilisateurs pour une organisation, il est nécessaire qu'un utilisateur dispose d'autorisations d'admin système dans Diligent One et qu'un utilisateur dispose de droits d'administration auprès du fournisseur d'identité. Ces autorisations peuvent être détenues par une ou plusieurs personnes, qui devront coordonner la configuration du provisionnement externe d'utilisateurs. Une seule configuration suffit en général à ce que le système fonctionne ensuite de manière autonome.
Conditions requises
Diligent One prend en charge le provisionnement d'utilisateurs via SCIM 2.0 afin de permettre la gestion automatique des utilisateurs à partir d'une seule source de données.
Opérations prises en charge
Une fois le provisionnement externe d'utilisateurs activé, l'ajout ou la suppression d'utilisateurs dans une organisation ainsi que la mise à jour de leur profil sont automatiquement transférés à Diligent One par un fournisseur d'identité.
La prise en charge des opérations suivantes est prévue à l'avenir : l'affectation de groupe et la gestion de groupe (ajout et suppression).
Lorsque le provisionnement externe d'utilisateurs est activé, il est toujours possible d'ajouter et de gérer manuellement les utilisateurs directement dans Diligent One. En activant le provisionnement externe d'utilisateurs, vous élargissez vos possibilités en matière de gestion des utilisateurs et pouvez utiliser ces deux fonctions dans une solution hybride.
Concrètement, les utilisateurs ajoutés exclusivement dans Diligent One, qui ne sont pas synchronisés avec le fournisseur d'identité, ne peuvent être gérés que dans Diligent One. Les utilisateurs synchronisés à partir d'un fournisseur d'identité peuvent uniquement être gérés auprès de celui-ci. Si des modifications sont apportées aux utilisateurs synchronisés dans Diligent One, celles-ci seront écrasées lors de la synchronisation suivante. Consultez la rubrique Prise en charge du provisionnement hybride d'utilisateurs.
Prise en charge du provisionnement hybride d'utilisateurs
Dans l'idéal, le fournisseur d'identité doit être une source unique pour l'ensemble des utilisateurs, afin de simplifier et d'automatiser leur gestion. Cependant, il peut arriver qu'une solution hybride soit le meilleur moyen de gérer les utilisateurs dans votre système. Par exemple, il n'est peut-être pas nécessaire d'ajouter des utilisateurs à un fournisseur d'identité si ces derniers n'ont besoin que d'un accès temporaire à des fins de dépannage ou de conseil.
Dans le cadre d'une solution hybride, les utilisateurs ajoutés exclusivement dans Diligent One, qui ne sont pas synchronisés avec le fournisseur d'identité, ne peuvent être gérés que dans Diligent One. Les utilisateurs synchronisés à partir d'un fournisseur d'identité peuvent uniquement être gérés auprès de celui-ci.
Important
Les informations suivantes sont destinées à attirer votre attention sur les problèmes potentiels liés à l'utilisation d'une solution hybride, afin que vous puissiez choisir l'option la plus adaptée à votre organisation et éviter les problèmes suivants :
- Sur la plateforme, il n'existe à l'heure actuelle aucune distinction apparente entre les utilisateurs gérés via le fournisseur d'identité et ceux ajoutés manuellement dans Diligent One.
- Les utilisateurs ajoutés manuellement dans Diligent One et qui ne sont pas synchronisés avec le fournisseur d'identité existent uniquement dans Diligent One et ne peuvent être gérés que depuis la plateforme.
- Les modifications d'un utilisateur ne doivent pas être gérées dans Diligent One si celui-ci est déjà synchronisé à partir du fournisseur d'identité. Si vous apportez des modifications à un utilisateur synchronisé avec le fournisseur d'identité dans Diligent One, ces modifications seront écrasées par une synchronisation ultérieure du fournisseur d'identité. Si un utilisateur est synchronisé, le fournisseur d'identité est la seule source fiable par défaut pour le profil. Dans une telle situation, toute modification doit être effectuée auprès du fournisseur d'identité, afin que celle-ci soit transmise à Diligent One.
- Bien que le risque soit faible, la suppression d'un utilisateur synchronisé de Diligent One avant sa suppression du fournisseur d'identité est susceptible d'entraîner des échecs d'automatisation au niveau de la source externe. Le cas échéant, une action manuelle peut être requise dans la source externe afin de resynchroniser Diligent One et le fournisseur d'identité. Le cas échéant, veuillez contacter l'assistance pour obtenir de l'aide.
Limites
Le provisionnement externe d'utilisateurs se limite à une intégration par organisation.
Activer le provisionnement externe d'utilisateurs dans Diligent One
Le provisionnement externe d'utilisateurs comporte deux étapes principales : l'activation du provisionnement externe d'utilisateurs dans Diligent One et la configuration de votre fournisseur d'identité.
Activer le provisionnement externe d'utilisateurs dans Diligent One
Lors de l'activation du provisionnement externe d'utilisateurs dans Diligent One, une clé d'API à ajouter à votre fournisseur d'identité est générée afin d'effectuer le processus de configuration.
- Ouvrez la Barre de lancement.
Si votre entreprise utilise plus d’une instance dans Diligent One, assurez-vous que la bonne instance est active.
- Sélectionnez Paramètres de la plateforme > Organisation.
Si vous ne voyez pas l’option Organisation, le compte que vous avez utilisé pour vous connecter ne dispose pas de privilèges d’admin.
- Sélectionnez Gérer le provisionnement d'utilisateurs. La page Provisionnement d'utilisateurs s'ouvre.
- Sélectionnez Activer le provisionnement d'utilisateurs. Cette opération permet de générer une clé d'API et d'obtenir l'URL de base que vous pouvez copier à partir de la boîte de dialogue Informations sur la configuration du provisionnement.
- Copiez la clé d'API et l'URL de base, et enregistrez les valeurs à un endroit sécurisé avant de fermer la boîte de dialogue Informations sur la configuration du provisionnement.
- Après avoir enregistré la clé d'API ainsi que l'URL de base, sélectionnez Fermer. Cette opération permet d'ignorer la boîte de dialogue Informations sur la configuration du provisionnement. La page de provisionnement d'utilisateurs réapparaît, ce qui confirme que le provisionnement externe d'utilisateurs SCIM est activé.
- La dernière étape de la configuration du provisionnement externe d'utilisateurs se déroule en dehors de Diligent One, auprès de votre fournisseur d'identité. Consultez la rubrique Configurer les informations de votre fournisseur d'identité.
Attention
Par souci de sécurité, il s'agit de votre unique occasion d'accéder à la clé d'API. Si vous n'enregistrez pas la clé d'API et que vous l'égarez ou la perdez, vous devrez en créer une en désactivant brièvement le provisionnement externe d'utilisateurs à partir du fournisseur d'identité et de Diligent One. Cette opération entraînera la création d'un jeton et réactivera le provisionnement externe d'utilisateurs dans Diligent One ainsi qu'auprès du fournisseur d'identité avec le nouveau jeton. Consultez la rubrique Actualiser les jetons pour le provisionnement externe d'utilisateurs.
Une fois que vous avez activé le provisionnement externe d'utilisateurs, vous avez toujours la possibilité d'ajouter et de supprimer des utilisateurs manuellement afin de leur accorder un accès temporaire dans le cadre de dépannages ou de conseil. Le cas échéant, cette opération doit toutefois être effectuée avec précaution, car elle peut entraîner des problèmes de synchronisation. Consultez la rubrique Prise en charge du provisionnement hybride d'utilisateurs.
Configurer les informations de votre fournisseur d'identité
Une fois le provisionnement externe d'utilisateurs activé dans Diligent One et configuré auprès de votre fournisseur d'identité, la configuration prend fin. Pour les étapes relatives à la configuration du provisionnement externe d'utilisateurs, consultez la documentation du fournisseur d'identité concerné, dans la mesure où celle-ci est susceptible de varier selon les fournisseurs. D'autres fournisseurs d'identité prenant en charge SCIM 2.0 peuvent être compatibles avec cette solution. Toutefois, les fournisseurs d'identité suivants sont ceux avec lesquels nous effectuons des tests et que nous prenons en charge :
- Microsoft Entra (anciennement Azure Active Directory) : configurer le provisionnement externe d'utilisateurs pour Microsoft Entra
- Okta :
Mappage d'attributs SCIM
Le tableau suivant présente le mappage des attributs Diligent One aux attributs SCIM standard.
Schéma de base de l'utilisateur
| Nom d'attribut SCIM | Nom d'attribut Diligent One | Obligatoire lors de la création de l'utilisateur |
|---|---|---|
| userName | Oui | |
| name.givenName | Prénom | Oui |
| name.familyName | Nom | Oui |
| title | Titre | Non |
| name.initials | Initiales | Non |
| phoneNumbers(type work).value | Numéro de téléphone | Non |
| phoneNumbers(type extension).value | Poste téléphonique | Non |
| name.middleName | Deuxième prénom | Non |
| addresses[type eq "work"].streetAddress | Adresse du bureau ligne 1 | Non |
| addresses[type eq "work"].streetAddress2 | Adresse du bureau ligne 2 | Non |
| addresses[type eq "work"].locality | Adresse du bureau, ville | Non |
| addresses[type eq "work"].region | Adresse du bureau, État | Non |
| addresses[type eq "work"].country | Adresse du bureau, pays | Non |
| addresses[type eq "work"].postalCode | Adresse du bureau, code postal | Non |
| addresses[type eq "work"].location | Emplacement du bureau | Non |
| phoneNumbers[type eq "home"].value | Téléphone du domicile | Non |
| phoneNumbers(type mobile).value | Téléphone portable | Non |
| phoneNumbers[type eq "mobile"].value | Adresse e-mail secondaire | Non |
Extension de Policy Manager
Il existe jusqu’à 13 champs facultatifs pouvant être complétés via SCIM en mappant l’attribut d’un utilisateur dans le fournisseur d’identité à l’attribut SCIM suivant :
urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value
Actualiser les jetons pour le provisionnement externe d'utilisateurs
Il est possible qu'un jeton ait besoin d'être actualisé en cas de perte, d'oubli ou d'expiration. Le cas échéant, le provisionnement externe d'utilisateurs devra être brièvement désactivé puis réactivé à partir de Diligent One et de votre fournisseur d'identité. Ces opérations doivent être effectuées simultanément afin d'éviter les problèmes de synchronisation.
Pour ce faire, assurez-vous de pouvoir réaliser les opérations dans leur intégralité avant de vous lancer dans ce processus. La réalisation de ces étapes peut nécessiter un travail de coordination avec votre service informatique ou un administrateur, dans la mesure où vous générez un nouveau jeton dans Diligent One, qui devra par la suite être implémenté dans votre fournisseur d'identité. Il est recommandé d'effectuer le processus en une seule fois.
-
Il ne s'agit pas d'une obligation, mais cela est vivement recommandé. Dans votre fournisseur d'identité, désactivez le provisionnement d'utilisateurs pour implémenter un nouveau jeton. Une fois que le provisionnement externe d'utilisateurs est désactivé dans Diligent One, le système ne reçoit plus de données utilisateur de votre fournisseur d'identité. Ce dernier continue néanmoins à envoyer des données utilisateur normalement, ce qui entraîne un échec. Afin d'éviter une telle situation, désactivez le provisionnement externe d'utilisateurs à partir du fournisseur d'identité. Les modalités de désactivation dépendent de votre fournisseur d'identité. Consultez la rubrique Configurer les informations de votre fournisseur d'identité.
- Dans Diligent One, désactivez le provisionnement d'utilisateurs pour implémenter un nouveau jeton. Ouvrez la Barre de lancement.
- Sélectionnez Paramètres de la plateforme > Organisation.
-
Sélectionnez Gérer le provisionnement d'utilisateurs. La page Provisionnement d'utilisateurs s'ouvre.
-
Sélectionnez Désactiver le provisionnement d'utilisateurs. Cette opération entraîne l'ouverture d'une boîte de dialogue Désactiver le provisionnement d'utilisateurs ? .
-
Sélectionnez Désactiver. La clé d'API existante expire immédiatement, toutes les synchronisations d'utilisateurs sont arrêtées, et la gestion des utilisateurs peut uniquement avoir lieu au niveau local dans Diligent One. Cette opération vous redirige vers la page Provisionnement d'utilisateurs, où un message confirmant la désactivation du provisionnement d'utilisateurs apparaît.
- Sélectionnez Activer le provisionnement d'utilisateurs. Cette opération permet de générer une clé d'API et une URL de base que vous pouvez copier à partir de la boîte de dialogue Informations sur la configuration du provisionnement.
- Copiez la clé d'API et l'URL de base, et enregistrez les valeurs à un endroit sécurisé avant de fermer la boîte de dialogue Informations sur la configuration du provisionnement.
- Après avoir enregistré la clé d'API ainsi que l'URL de base, sélectionnez Fermer. Cette opération permet d'ignorer la boîte de dialogue Informations sur la configuration du provisionnement. La page de provisionnement d'utilisateurs réapparaît, ce qui confirme que le provisionnement d'utilisateurs SCIM est activé.
- Dans votre fournisseur d'identité, réactivez le provisionnement externe d'utilisateurs grâce à votre nouveau jeton. Les étapes à réaliser dépendent de votre fournisseur d'identité. Consultez la rubrique Configurer les informations de votre fournisseur d'identité.
Les étapes suivantes, à l'exception de la dernière, se déroulent intégralement dans Diligent One.
Si votre entreprise utilise plus d’une instance dans Diligent One, assurez-vous que la bonne instance est active.
Si vous ne voyez pas l’option Organisation, le compte que vous avez utilisé pour vous connecter ne dispose pas de privilèges d’admin.
Attention
Par souci de sécurité, il s'agit de votre unique occasion d'accéder à la clé d'API. Si vous n'enregistrez pas la clé d'API et que vous l'égarez ou la perdez, vous devrez brièvement désactiver le provisionnement d'utilisateurs dans Diligent One et votre fournisseur d'identité, créer un jeton, puis le réactiver à ces deux endroits. Consultez la rubrique Actualiser les jetons pour le provisionnement externe d'utilisateurs.
Cette étape est la dernière à effectuer dans Diligent One afin de générer un nouveau jeton pour le provisionnement externe d'utilisateurs. Les étapes restantes pour reconfigurer le provisionnement externe d'utilisateurs s'effectuent dans votre fournisseur d'identité grâce à votre nouveau jeton.
Cette opération peut nécessiter une coordination avec votre service informatique, à moins que vous ne disposiez de droits d'administration auprès de votre fournisseur d'identité.
La réactivation du provisionnement d'utilisateurs entraînera automatiquement une synchronisation afin d'actualiser les données utilisateur.
Désactiver le provisionnement externe d'utilisateurs dans Diligent One
Si vous avez seulement besoin de désactiver brièvement le provisionnement externe d'utilisateurs pour générer un nouveau jeton en raison de la perte, de l'oubli ou de l'expiration de l'ancien jeton, consultez la rubrique Actualiser les jetons pour le provisionnement externe d'utilisateurs. Les instructions suivantes visent à désactiver le provisionnement externe d'utilisateurs afin de gérer manuellement les utilisateurs via Diligent One uniquement.
- Désactivez le provisionnement externe d'utilisateurs dans votre fournisseur d'identité. Les modalités de désactivation dépendent de votre fournisseur d'identité. Consultez la rubrique Configurer les informations de votre fournisseur d'identité. Remarque
Une fois que le provisionnement externe d'utilisateurs est désactivé dans Diligent One, le système ne récupère plus de données utilisateur de votre fournisseur d'identité. Ce dernier continue néanmoins à envoyer des données utilisateur normalement, ce qui entraîne un échec. Afin d'éviter une telle situation, le provisionnement externe d'utilisateurs doit être désactivé à partir du fournisseur d'identité. Cette opération peut nécessiter un travail de coordination avec votre service informatique ou avec toute personne disposant des autorisations adéquates auprès de votre fournisseur d'identité.
- Ouvrez la Barre de lancement.
- Sélectionnez Paramètres de la plateforme > Organisation.
Si vous ne voyez pas l’option Organisation, le compte que vous avez utilisé pour vous connecter ne dispose pas de privilèges d’admin.
- Sélectionnez Gérer le provisionnement d'utilisateurs. La page Provisionnement d'utilisateurs s'ouvre.
- Sélectionnez Désactiver le provisionnement d'utilisateurs. Cette opération entraîne l'ouverture d'une boîte de dialogue Désactiver le provisionnement d'utilisateurs ? .
- Sélectionnez Désactiver. Cette opération vous redirige vers la page Provisionnement d'utilisateurs, où un message confirmant la désactivation du provisionnement d'utilisateurs apparaît. La clé d'API existante expire immédiatement, toutes les synchronisations d'utilisateurs sont arrêtées, et la gestion des utilisateurs est uniquement disponible au niveau local dans Diligent One.
- Sélectionnez Accéder à la page de l'organisation. Vous avez terminé la désactivation du provisionnement d'utilisateurs.
Si votre entreprise utilise plus d’une instance dans Diligent One, assurez-vous que la bonne instance est active.
