Le protocole SCIM (System for Cross-domain Identity Management) permet d'automatiser la gestion des utilisateurs réduisant ainsi les tâches manuelles et les erreurs. Il facilite également la synchronisation des accès en temps réel, améliorant la sécurité et l'efficacité des processus d'identité.
Découvrez les différentes étapes permettant de le configurer avec Azure AD/ Entra ID.
Pré-requis
SSO privé obligatoire
Monoconsole d'équipe
Une session de configuration sera planifiée avec les équipes techniques Klaxoon
Configuration
1. Ajouter Klaxoon dans Microsoft Entra ID
Connectez-vous au portail Microsoft Azure avec un compte administrateur.
Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application
Cliquez sur "New application"
Dans la barre de recherche, renseignez "Klaxoon" et choisissez Klaxoon SAML
Renommez l'application en Klaxoon SCIM (ou tout autre nom de votre choix), puis cliquez sur Create (Créer) pour créer l'application
2. Configurer le provisionnement
Une session de configuration devra être planifiée avec les équipes techniques Klaxoon. Des tests de synchronisation seront alors réalisés (en phase de pré-production et en phase de production). À l'issue de ces tests le protocole SCIM sera alors fonctionnel.
Allez sur Provisionning
Puis cliquez sur "Get started"
Puis sélectionnez le mode "Automatic"
Renseignez le tenant URL et le secret Token fournis par Klaxoon
Effectuez un test de connexion et cliquez sur "Save" en haut à gauche.
Accédez ensuite au menu "Mapping"
Cliquez sur "Provision Microsoft Entra ID Groups" pour associer le champ licence
Ajoutez un nouveau Mapping.
Éditez l'attribut, sélectionnez "Expression" dans "Mapping type".
En fonction de l'Object ID du groupe, je saisis la valeur TRUE ou FALSE sur le champ licence :
si la valeur est FALSE, il s'agira d'un compte sans licence
si la valeur est TRUE, il s'agira d'un compte avec licence
Constituez les groupes :
un groupe rassemblant les utilisateurs Free (tous les utilisateurs)
un groupe spécifique regroupant uniquement les utilisateurs disposant d’une licence Pro
Récupérez l'Object ID de ces groupes et constituez l'expression sur ce modèle :
Switch([objectId], "false", "Object_ID_groupe_des_PROs", "true", "Object_ID_groupe_des_FREEs", "false")
Sélectionnez la Target attibute suivante :
urn:ietf:params:scim:schemas:extension:klaxoon:2.0:Group:license
Enfin, cliquez sur "Ok"
Puis enregistrez en cliquant sur "Save" en haut à gauche
Depuis la vue d'ensemble, allez dans "Users and groups".
Là, rattachez les groupes.
Choisissez le groupe des utilisateurs Free et des utilisateurs Pro, puis assignez les.
Enfin, débutez le provisionnement.
Le provisionnement des comptes nécessitera un délai variable en fonction du nombre et de la vélocité d'Entre ID.
3. Fonctionnement
Cycle de synchronisation :
Microsoft Entra effectue une synchronisation toutes les 40 minutes
Lorsqu’une licence est retirée (downgrade), l’utilisateur est automatiquement supprimé du groupe "Pro" sous 24 heures
Gestion des licences :
L’attribution des licences se fait exclusivement via Microsoft Entra
La console est désormais en lecture seule, les administrateurs pourront continuer à y consulter les statistiques et à transférer la propriété d'une activité d'un utilisateur à un autre
Points spécifiques :
Tenir compte des délais liés à la vélocité de synchronisation de Microsoft Entra
Éviter la synchronisation de noms de domaine externes ou non autorisés
Si vous souhaitez en savoir plus sur les intégrations disponibles, consultez les ressources sur ce lien.