Configurer le provisionnement externe d’utilisateurs
L’activation du provisionnement externe d’utilisateurs permet la gestion des utilisateurs à partir d’une seule et même source de données émanant du fournisseur d’identité en s’appuyant sur le protocole SCIM (System for Cross-domain Identity Management).
Autorisations
Le provisionnement externe d'utilisateurs doit être activé dans Diligent One et configuré auprès d'un fournisseur d'identité. Pour configurer le provisionnement externe d'utilisateurs pour une organisation, il est nécessaire qu'un utilisateur dispose d'autorisations d'admin système dans Diligent One et qu'un utilisateur dispose de droits d'administration auprès du fournisseur d'identité. Ces autorisations peuvent être détenues par une ou plusieurs personnes, qui devront coordonner la configuration du provisionnement externe d'utilisateurs. Une seule configuration suffit en général à ce que le système fonctionne ensuite de manière autonome.
Conditions requises
Diligent One prend en charge le provisionnement d'utilisateurs via SCIM 2.0 afin de permettre la gestion automatique des utilisateurs à partir d'une seule source de données.
Opérations prises en charge
Une fois le provisionnement externe d'utilisateurs activé, l'ajout ou la suppression d'utilisateurs dans une organisation ainsi que la mise à jour de leur profil sont automatiquement transférés à Diligent One par un fournisseur d'identité.
La prise en charge des opérations suivantes est prévue à l'avenir : l'affectation de groupe et la gestion de groupe (ajout et suppression).
Lorsque le provisionnement externe d'utilisateurs est activé, il est toujours possible d'ajouter et de gérer manuellement les utilisateurs directement dans Diligent One. En activant le provisionnement externe d'utilisateurs, vous élargissez vos possibilités en matière de gestion des utilisateurs et pouvez utiliser ces deux fonctions dans une solution hybride.
Concrètement, les utilisateurs ajoutés exclusivement dans Diligent One, qui ne sont pas synchronisés avec le fournisseur d'identité, ne peuvent être gérés que dans Diligent One. Les utilisateurs synchronisés à partir d'un fournisseur d'identité peuvent uniquement être gérés auprès de celui-ci. Si des modifications sont apportées aux utilisateurs synchronisés dans Diligent One, celles-ci seront écrasées lors de la synchronisation suivante. Consultez la rubrique Prise en charge du provisionnement hybride d'utilisateurs.
Prise en charge du provisionnement hybride d'utilisateurs
Dans l'idéal, le fournisseur d'identité doit être une source unique pour l'ensemble des utilisateurs, afin de simplifier et d'automatiser leur gestion. Cependant, il peut arriver qu'une solution hybride soit le meilleur moyen de gérer les utilisateurs dans votre système. Par exemple, il n'est peut-être pas nécessaire d'ajouter des utilisateurs à un fournisseur d'identité si ces derniers n'ont besoin que d'un accès temporaire à des fins de dépannage ou de conseil.
Dans le cadre d'une solution hybride, les utilisateurs ajoutés exclusivement dans Diligent One, qui ne sont pas synchronisés avec le fournisseur d'identité, ne peuvent être gérés que dans Diligent One. Les utilisateurs synchronisés à partir d'un fournisseur d'identité peuvent uniquement être gérés auprès de celui-ci.
Important
Les informations suivantes sont destinées à attirer votre attention sur les problèmes potentiels liés à l'utilisation d'une solution hybride, afin que vous puissiez choisir l'option la plus adaptée à votre organisation et éviter les problèmes suivants :
- Sur la plateforme, il n'existe à l'heure actuelle aucune distinction apparente entre les utilisateurs gérés via le fournisseur d'identité et ceux ajoutés manuellement dans Diligent One.
- Les utilisateurs ajoutés manuellement dans Diligent One et qui ne sont pas synchronisés avec le fournisseur d'identité existent uniquement dans Diligent One et ne peuvent être gérés que depuis la plateforme.
- Les modifications d'un utilisateur ne doivent pas être gérées dans Diligent One si celui-ci est déjà synchronisé à partir du fournisseur d'identité. Si vous apportez des modifications à un utilisateur synchronisé avec le fournisseur d'identité dans Diligent One, ces modifications seront écrasées par une synchronisation ultérieure du fournisseur d'identité. Si un utilisateur est synchronisé, le fournisseur d'identité est la seule source fiable par défaut pour le profil. Dans une telle situation, toute modification doit être effectuée auprès du fournisseur d'identité, afin que celle-ci soit transmise à Diligent One.
- Bien que le risque soit faible, la suppression d'un utilisateur synchronisé de Diligent One avant sa suppression du fournisseur d'identité est susceptible d'entraîner des échecs d'automatisation au niveau de la source externe. Le cas échéant, une action manuelle peut être requise dans la source externe afin de resynchroniser Diligent One et le fournisseur d'identité. Le cas échéant, veuillez contacter l'assistance pour obtenir de l'aide.
Limites
Le provisionnement externe d'utilisateurs se limite à une intégration par organisation.
Activer le provisionnement externe d'utilisateurs dans Diligent One
La configuration du provisionnement des utilisateurs externes nécessite les éléments suivants :
-
Activation du provisionnement externe d’utilisateurs sur la plateforme Diligent One.
-
Configuration de votre fournisseur d’identité.
Activation du provisionnement externe d’utilisateurs sur la plateforme Diligent One.
Lors de l'activation du provisionnement externe d'utilisateurs dans Diligent One, une clé d'API à ajouter à votre fournisseur d'identité est générée afin d'effectuer le processus de configuration.
-
Ouvrez la page d'accueil de la Barre de lancement (www.highbond.com).
Si votre entreprise utilise plusieurs instances dans la barre de lancement, assurez-vous que la bonne instance est active.
-
Dans le menu de gauche, sélectionnez Paramètres de la plateforme, puis Organisation sous Gestion de l’organisation.
-
Sélectionnez Gérer le provisionnement d’utilisateurs sur la page qui apparaît.
La page Provisionnement d’utilisateurs s’affiche.
- Sur la page Provisionnement d’utilisateurs, sélectionnez Créer.
- Dans le panneau latéral Informations sur la configuration du provisionnement qui apparaît, copiez la clé d’API générée et l’URL de base.
- Enregistrez les valeurs à un endroit sécurisé avant de fermer le panneau latéral Informations sur la configuration du provisionnement.
Attention
Pour des raisons de sécurité, il s’agit de votre unique occasion d’accéder à la clé d’API. Si vous n’enregistrez pas la clé d’API, la perdez ou l’oubliez, vous devrez en générer une autre. Pour plus d’informations, consultez la rubrique Actualiser les jetons pour le provisionnement externe d’utilisateurs.
- Fermez le panneau.
La page Provisionnement d’utilisateurs affiche des informations et le nombre de jours avant l’expiration de la clé d’API.
RemarqueAprès avoir activé le provisionnement externe d’utilisateurs, vous pouvez toujours ajouter et supprimer des utilisateurs manuellement afin de leur accorder un accès temporaire dans le cadre de dépannages ou de conseil. Cette opération doit toutefois être effectuée avec précaution, car elle peut entraîner des problèmes de synchronisation. Pour plus d’informations, consultez la rubrique Prise en charge du provisionnement hybride d’utilisateurs.
Configurer les informations de votre fournisseur d'identité
Après avoir activé le provisionnement externe d’utilisateurs dans Diligent One, vous devez le configurer dans votre fournisseur d’identité pour terminer la configuration. Reportez-vous à la documentation de votre fournisseur d’identité pour obtenir des instructions de configuration spécifiques, car le processus peut varier selon le fournisseur.
Si d’autres fournisseurs d’identité prenant en charge SCIM 2.0 peuvent être compatibles avec cette solution, nous effectuons activement des tests et prenons en charge les fournisseurs d’identité suivants :
- Microsoft Entra (anciennement Azure Active Directory) : configurer le provisionnement externe d'utilisateurs pour Microsoft Entra
- Okta :
- Ping One : Créer une connexion SCIM
- One Login : Créer une application SCIM (schéma recommandé : SCIM V2.0 - schéma de base)
Mappage d'attributs SCIM
Le tableau suivant présente le mappage des attributs Diligent One aux attributs SCIM standard.
Schéma de base de l'utilisateur
| Nom d'attribut SCIM | Nom d'attribut Diligent One | Obligatoire lors de la création de l'utilisateur |
|---|---|---|
| userName | Oui | |
| name.givenName | Prénom | Oui |
| name.familyName | Nom | Oui |
| title | Titre | Non |
| name.initials | Initiales | Non |
| phoneNumbers(type work).value | Numéro de téléphone | Non |
| phoneNumbers(type extension).value | Poste téléphonique | Non |
| name.middleName | Deuxième prénom | Non |
| addresses[type eq "work"].streetAddress | Adresse du bureau ligne 1 | Non |
| addresses[type eq "work"].streetAddress2 | Adresse du bureau ligne 2 | Non |
| addresses[type eq "work"].locality | Adresse du bureau, ville | Non |
| addresses[type eq "work"].region | Adresse du bureau, État | Non |
| addresses[type eq "work"].country | Adresse du bureau, pays | Non |
| addresses[type eq "work"].postalCode | Adresse du bureau, code postal | Non |
| addresses[type eq "work"].location | Emplacement du bureau | Non |
| phoneNumbers[type eq "home"].value | Téléphone du domicile | Non |
| phoneNumbers(type mobile).value | Téléphone portable | Non |
| phoneNumbers[type eq "mobile"].value | Adresse e-mail secondaire | Non |
Extension de Policy Manager
Il existe jusqu’à 13 champs facultatifs pouvant être complétés via SCIM en mappant l’attribut d’un utilisateur dans le fournisseur d’identité à l’attribut SCIM suivant :
urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value
Gérer les jetons arrivant à expiration
Lorsqu’un jeton est sur le point d’expirer, les administrateurs reçoivent des e-mails 30 jours, cinq jours et un jour à l’avance. Un dernier e-mail est envoyé à la date d’expiration. Les e-mails continuent d’être envoyés jusqu’à la suppression ou l’expiration du jeton. Lorsqu’il expire, tous les processus dépendants échouent, à moins d’être remplacés.
Actualiser les jetons pour le provisionnement externe d'utilisateurs
Un jeton doit être actualisé en cas de perte, d’oubli, d’expiration ou de risque d’expiration. Pour éviter les problèmes de synchronisation, veillez à effectuer le processus en une seule fois. Coordonnez-vous avec votre service informatique ou un administrateur, dans la mesure où le nouveau jeton que vous générez sur la plateforme Diligent One, doit également être implémenté dans votre fournisseur d’identité.
Pour actualiser un jeton, suivez ces étapes :
-
Ouvrez la page d'accueil de la Barre de lancement (www.highbond.com).
Si votre entreprise utilise plusieurs instances dans la barre de lancement, assurez-vous que la bonne instance est active.
-
Dans le menu de gauche, sélectionnez Paramètres de la plateforme, puis Organisation sous Gestion de l’organisation.
-
Sélectionnez Gérer le provisionnement d’utilisateurs sur la page qui apparaît.
La page Provisionnement d’utilisateurs s’affiche.
- Sur la page Provisionnement d’utilisateurs, à côté du champ Clé d’API, sélectionnez Générer une nouvelle clé.
- Dans le panneau latéral Informations sur la configuration du provisionnement qui apparaît, copiez la clé d’API générée.
- Enregistrez la valeur à un endroit sécurisé avant de fermer le panneau latéral Informations sur la configuration du provisionnement.
Attention
Pour des raisons de sécurité, il s’agit de votre unique occasion d’accéder à la clé d’API.
- Fermez le panneau.
La page Provisionnement d’utilisateurs affiche des informations et le nombre de jours avant l’expiration de la clé d’API.
-
Accédez à votre fournisseur d’identité et procédez comme suit :
-
Vérifiez que votre fournisseur d’identité utilise le nouveau jeton.
-
Suivez ses instructions afin de synchroniser vos utilisateurs.
-
-
Sur la plateforme Diligent One, sur la page Provisionnement d’utilisateurs, supprimez le jeton qui arrive à expiration.
Activer le provisionnement externe d’utilisateurs sur la plateforme Diligent One
La suppression du provisionnement d’utilisateurs a les conséquences suivantes :
-
Les clés d'API existantes sont immédiatement révoquées.
-
Synchronisations d'utilisateurs arrêtées.
-
La gestion des utilisateurs est uniquement disponible localement sur la plateforme Diligent One.
Si vous souhaitez désactiver la gestion externe des utilisateurs afin de les gérer manuellement via Diligent One exclusivement, vous devez d’abord désactiver la gestion externe des utilisateurs dans votre fournisseur d’identité. Les modalités de désactivation dépendent de votre fournisseur d’identité. Pour plus d’informations, consultez la rubrique Configurer les informations de votre fournisseur d’identité.
Lorsque le provisionnement externe d’utilisateurs est désactivé dans Diligent One, le système ne reçoit plus de données utilisateur de votre fournisseur d’identité. Ce dernier continue néanmoins à envoyer des données utilisateur normalement, ce qui entraîne un échec. Afin d'éviter une telle situation, le provisionnement externe d'utilisateurs doit être désactivé à partir du fournisseur d'identité. Cette opération peut nécessiter un travail de coordination avec votre service informatique ou avec toute personne disposant des autorisations adéquates auprès de votre fournisseur d'identité.
Après avoir désactivé le provisionnement externe d’utilisateurs dans votre fournisseur d’identité, procédez comme suit :
-
Ouvrez la page d'accueil de la Barre de lancement (www.highbond.com).
Si votre entreprise utilise plusieurs instances dans la barre de lancement, assurez-vous que la bonne instance est active.
-
Dans le menu de gauche, sélectionnez Paramètres de la plateforme, puis Organisation sous Gestion de l’organisation.
-
Sélectionnez Gérer le provisionnement d’utilisateurs sur la page qui apparaît.
La page Provisionnement d’utilisateurs s’affiche.
-
Sur la page Provisionnement d’utilisateurs, sélectionnez Supprimer.
-
Dans la boîte de dialogue Supprimer le provisionnement d’utilisateurs qui apparaît, examinez les effets de la suppression du provisionnement d’utilisateurs et sélectionnez Supprimer.
