7.15

Synchronisation Azure Active Directory

Aperçu

Cette section contient les instructions sur la configuration du connecteur de synchronisation Azure Active Directory (AD) de WorkflowGen, qui s'appuie sur les fonctionnalités d'approvisionnement des utilisateurs d'Azure AD. Les utilisateurs et les groupes seront automatiquement mis à jour (envoyés vers WorkflowGen) par Azure (toutes les 20 à 40 minutes) en utilisant le protocole SCIM v2.

Comme mentionné, c'est Azure AD qui pousse les données vers WorkflowGen. La nature du protocole ne permet pas à WorkflowGen de mettre à jour le répertoire dans Azure. En d'autres termes, c'est Azure qui interroge WorkflowGen pour obtenir des informations, et non l'inverse. Cela signifie que Active Directory est la seule source de vérité pour les utilisateurs et les groupes du système.

Dans les instructions, remplacez <workflowgen url> par le domaine et le chemin de votre instance de WorkflowGen; par exemple, localhost/wfgen ou www.macompagnie.com/wfgen.

  • Les mots de passe utilisateur Azure AD ne sont pas provisionnés.

  • Un seul répertoire WorkflowGen peut être provisionné par Azure AD.

  • Si vous utilisez l'approvisionnement des utilisateurs Azure AD SCIM, vous devez désactiver le service de synchronisation de répertoires de WorkflowGen si le service a déjà été installé et démarré.

Prérequis

  • Assurez-vous d'avoir une instance de WorkflowGen en fonctionnement dans un réseau accessible par Azure AD avec les ports HTTPS ou HTTP ouverts.

  • Assurez-vous de connaître l'adresse de l'instance.

  • Assurez-vous que l'instance de WorkflowGen est opérationnelle.

  • Assurez-vous que l'application SCIM est correctement installée et configurée. Voir Activation de SCIM dans la section Applications Web basées sur Node.js du Guide technique WorkflowGen pour savoir comment procéder.

  • Une licence Azure Premium P2 doit être activée dans le client Azure Active Directory.

Azure exige que le lien vers le site Web de WorkflowGen soit accessible au public.

Configuration de WorkflowGen

Cette section contient les instructions sur la définition d'un nouvel annuaire qui sera utilisé par Azure AD pour la synchronisation des utilisateurs et des groupes. Si vous avez satisfait les prérequis ci-dessus, vous pouvez procéder à la configuration de WorkflowGen pour recevoir les informations d'Azure AD.

Créez et configurez un annuaire Azure AD SCIM v2

  1. Dans le module d'administration de WorkflowGen (https://<workflowgen url>/admin), cliquez sur Annuaires, puis cliquez sur Nouvel annuaire dans l'écran Annuaires.

  2. Entrez un nom et une description pour l'annuaire.

    ⚠️ Important : Ne cochez pas l'option Mot de passe des utilisateurs, car l'authentification sera gérée par Azure AD.

  3. Choisissez Azure AD SCIM v2 dans la liste déroulante Connecteur d'annuaire.

    ✏️ Note : Vous pouvez avoir un seul annuaire SCIM par instance de WorkflowGen.

  4. Copiez le jeton généré, car vous en aurez besoin pour la configuration d'Azure AD.

  5. Cliquez sur Enregistrer pour créer l'annuaire.

Configuration d'Azure Active Directory

Cette section contient les étapes pour la configuration d'une application d'entreprise typique avec Azure AD pour approvisionner votre instance de WorkflowGen avec des utilisateurs et des groupes.

Note sur les instances de WorkflowGen existantes

Si vous avez déjà synchronisé une instance de WorkflowGen avec une application d'entreprise dans Azure AD, ne réutilisez pas cette application d'entreprise avec une autre instance de WorkflowGen. Au lieu, créez une nouvelle application d'entreprise pour chaque instance vous voulez synchroniser.

Étape 1 : Créez une nouvelle application d'entreprise

Pour approvisionner WorkflowGen, vous devez l'inscrire dans le portail Azure AD en ajoutant une nouvelle application d'entreprise. Pour ce faire :

  1. Dans le panneau Azure Active Directory dans votre portail Microsoft Azure, cliquez sur Applications d'entreprise, puis cliquez sur Nouvelle application.

  2. Dans le panneau Ajouter une application, cliquez sur Application ne figurant pas dans la galerie.

  3. Entrez le nom de l'application. Généralement, il vous faudra un nom comme WorkflowGen SCIM v2 afin de l'identifier facilement.

  4. Cliquez sur Ajouter.

Vous pouvez maintenant passer à la configuration de l'application pour approvisionner WorkflowGen.

Étape 2 : Configurez l'application Azure AD

Cliquez sur Approvisionnement sur la page de l'application. Toute la configuration restante sera faite ici.

Pour configurer la connexion entre WorkflowGen et Azure AD:

  1. Choisissez le mode d'approvisionnement Automatique.

  2. Pour l'URL de locataire, ajoutez votre adresse WorkflowGen (p.ex. : https://<workflowgen url>/wfgen/scim).

    ✏️ Note : Si votre domaine de base pointe déjà vers l'instance de WorkflowGen, n'incluez pas wfgen dans l'adresse.

  3. Dans le champ Jeton secret, collez le jeton SCIM que vous avez généré antérieurement lorsque vous avez créé le nouvel annuaire SCIM.

  4. Cliquez sur Tester la connexion et attendez les résultats. Si tout est bien, vous recevrez une notification ainsi que des options supplémentaires.

  5. Cliquez sur Enregistrer en haut de la page.

Configurez l'approvisionnement

Deux nouvelles sections devraient maintenant être disponibles : Mappages et Paramètres. Vous devez changer quelques correspondances (mappages) pour égaler les données correspondantes dans WorkflowGen, et pour réduire la possibilité d'erreurs.

Groupes

Cliquez sur l'option qui contient Groupes pour changer la correspondance des groupes. Ensuite, dans la nouvelle page, naviguez à la section Mappages d'attributs et conservez seulement les correspondances externalId, displayName et member réglées sur customappsso. Vous devez aussi changer la correspondance de externalId en objectID d'Azure AD. Ceci empêchera deux groupes différents d'être approvisionnés avec la même correspondance externalId. Cet attribut doit être unique.

Vous avez également la possibilité de personnaliser les opérations à exécuter dans le répertoire WorkflowGen. Si vous partez de zéro, vous devez laisser Créer, Mettre à jour et Supprimer activés pour vous assurer qu'Azure peut effectuer toutes les opérations dont il a besoin pour garder WorkflowGen synchronisé avec Active Directory.

Les correspondances finales doivent ressembler au tableau suivant. Si vous avez des correspondances supplémentaires qui ne sont pas listées ici, vous devez les supprimer, car elles ne seront pas mappées dans WorkflowGen.

Groupe Azure AD

urn:ietf:params:scim:schemas: core:2.0:Group

Groupe WorkflowGen

objectId

externalId

systemIdentifier

mailNickname

displayName

name

members

members

users

Lorsque toutes les correspondances des groupes sont réglées, cliquez sur Enregistrer.

Utilisateurs

Vous devez aussi modifier les correspondances des utilisateurs. Pour ce faire, retournez aux options d'approvisionnement pour l'application de l'entreprise, puis cliquez sur le bouton pour les correspondances des utilisateurs dans la section Mappages.

Dans la section Mappages d'attributs dans la nouvelle page, vous devez changer seulement la correspondance de externalId en objectId d'Azure.

Vous avez également la possibilité de personnaliser les opérations à exécuter dans le répertoire WorkflowGen. Si vous partez de zéro, vous devez laisser Créer, Mettre à jour et Supprimer activés pour vous assurer qu'Azure peut effectuer toutes les opérations dont il a besoin pour garder WorkflowGen synchronisé avec Active Directory.

Les correspondances finales doivent ressembler au tableau suivant. Si vous avez des correspondances supplémentaires qui ne sont pas listées ici, vous devez les supprimer, car elles ne seront pas mappées dans WorkflowGen.

Utilisateur Azure AD

urn:ietf:params:scim:schemas: extension:enterprise:2.0:User

Utilisateur WorkflowGen

IsSoftDeleted

active

isActive

displayName

displayName

commonName

FacsimileTelephoneNumber

phoneNumbers[type eq "fax"].value

fax

givenName

name.givenName

firstName

jobTitle

title

jobTitle

mail

emails[type eq "work"].value

email

objectId

externalId

systemIdentifier

manager

manager

manager

mobile

phoneNumbers[type eq "mobile"].value

mobile

postalCode

addresses[type eq "work"].postalCode

postalCode

physicalDeliveryOfficeName

addresses[type eq "other"].Formatted

office

streetAddress

addresses[type eq "work"].streetAddress

postalAddress

surname

name.familyName

lastName

telephoneNumber

phoneNumbers[type eq "work"].value

phone

userPrincipalName

userName

userName

Lorsque toutes les correspondances des utilisateurs sont réglées, cliquez sur Enregistrer.

Étape 3 : Lancez la synchronisation

Vous êtes maintenant prêt à lancer la synchronisation des utilisateurs et des groupes avec votre instance de WorkflowGen. Pour ce faire, naviguez à la section Paramètres dans la page d'approvisionnement de votre application d'entreprise.

Si vous voulez synchroniser seulement un sous-ensemble de vos utilisateurs et vos groupes Azure AD, sélectionnez l'option pour synchroniser les utilisateurs et les groupes affectés, ensuite affectez-les manuellement à cette application dans l'annuaire. Pour ce faire, naviguez à la section Utilisateurs et groupes de l'application et ajoutez vos utilisateurs manuellement.

Vous pouvez aussi configurer l'application pour synchroniser tous les utilisateurs et les groupes de votre répertoire. Encore, sélectionnez l'étendue correcte.

Lorsque vous êtes prêt, réglez le status de l'approvisionnement sur Activé, puis cliquez sur Enregistrer.

Vous avez maintenant complété la configuration de l'approvisionnement des utilisateurs et des groups de Azure AD à WorkflowGen en utilisant le protocole SCIM v2. Vous pouvez vérifier l'approvisionnement dans les logs de synchronisation dans le module d'administration de WorkflowGen, ou bien dans les fichiers de log créés par l'API SCIM de WorkflowGen, qui sont situés dans le répertoire APP_DATA de WorkflowGen.

Migration d'Active Directory classique vers Azure Active Directory

Si vous avez déjà une synchronisation avec un Active Directory classique, cette section contient les instructions sur comment migrer vos utilisateurs WorkflowGen vers votre nouvel Azure AD sans devoir les supprimer et récréer.

À propos de l'approvisionnement Azure Active Directory

Tout d'abord, il est important de comprendre comment Azure AD synchronise votre annuaire via le connecteur SCIM avant de procéder à une migration. Dans ce guide, nous avons changé les correspondances par défaut entre les propriétés d'objet Azure AD et les propriétés SCIM. Une de ces propriétés est externalId, qui représente un identifiant unique depuis un système externe, donc elle doit être opaque pour WorkflowGen. Vous avez changé cette correspondance de displayName dans Azure AD en objectId. Dans WorkflowGen, externalId correspond à la propriété systemIdentifier d'un utilisateur, donc la valeur objectId de Azure AD est approvisionnée dans la valeur systemIdentifier dans WorkflowGen.

Deuxièmement, Azure AD commence la synchronisation en interrogeant le connecteur SCIM pour trouver les utilisateurs existants. D'abord, il envoie des requêtes GET avec ses valeurs objectId. Puisque WorkflowGen n'a pas de Id qui correspond à objectId d'Azure, il retournera toujours une erreur 404 NOT FOUND. Ensuite, il envoie des requêtes GET mais avec un filtre sur externalId; cette fois, il trouve les utilisateurs dans WorkflowGen si leurs systemIdentifier correspondent à un objectId d'un utilisateur dans Azure AD.

Comment migrer les utilisateurs et les groupes à Azure Active Directory

  1. Désactivez le connecteur d'Active Directory classique.

  2. Créez un nouveau connecteur d'annuaire Azure SCIM v2.

  3. Déplacez les utilisateurs et les groupes déjà dans Azure AD depuis d'autres annuaires WorkflowGen existants à l'annuaire SCIM.

  4. Créez un script qui mettra à jour les utilisateurs et les groupes dans l'annuaire SCIM avec leurs propriétés systemIdentifier configurées pour égaler leurs propriétés objectId Azure AD correspondantes.

L'exemple ci-dessous inclut un algorithme qui associe les utilisateurs et les groupes à Azure AD :

groups = fetch_groups_from_azure()

for group in groups:
    for user in group.users:
        wfgUser = fetch_wfg_user_with_key(user.something)
        wfgUser.systemIdentifier = user.objectId
        update(wfgUser)

    wfgGroup = fetch_wfg_group_with_key(group.something)
    wfgGroup.systemIdentifier = group.objectId
    update(wfgGroup)

L'exemple ci-dessous inclut un algorithme qui associe seulement les utilisateurs à Azure AD :

users = fetch_users_from_azure() 

for user in users:
    wfgUser = fetch_wfg_user_with_key(user.something)
    wfgUser.systemIdentifier = user.objectId
    update(wfgUser)

Résolution des problèmes

Les utilisateurs et les groupes sont marqués comme ignorés dans les journaux de synchronisation d'Azure

Si vous rencontrez ce problème, cela peut être dû au fait que les utilisateurs et les groupes sont hors de portée de la synchronisation. La raison peut être que vous n'avez pas affecté d'utilisateurs à l'application d'entreprise et que vous avez sélectionné une portée d'utilisateurs affectés uniquement. Pour résoudre ce problème, affectez des utilisateurs à l'application d'entreprise en accédant à sa section Utilisateurs et groupes. Vous pouvez également modifier la portée de la synchronisation pour tous les utilisateurs et groupes de l'annuaire en modifiant les paramètres de synchronisation de l'application d'entreprise.

Une autre cause possible peut être liée à d'autres configurations dans votre Azure Active Directory. Pour des instructions sur comment résoudre ce problème, consultez l'article Microsoft Aucun utilisateur n’est en cours d’approvisionnement.

PreviousPrésentationNextAuthentification Azure Active Directory

Last updated