WorkflowGen pour Azure
7.22
DocumentationForumSupport
Search
K
Links

Synchronisation Azure Active Directory

Aperçu

Cette section contient les instructions sur la configuration du connecteur de synchronisation Azure Active Directory (AD) de WorkflowGen, qui s'appuie sur les fonctionnalités d'approvisionnement des utilisateurs d'Azure AD. Les utilisateurs et les groupes seront automatiquement mis à jour (envoyés vers WorkflowGen) par Azure (toutes les 20 à 40 minutes) en utilisant le protocole SCIM v2.
Comme mentionné, c'est Azure AD qui pousse les données vers WorkflowGen. La nature du protocole ne permet pas à WorkflowGen de mettre à jour le répertoire dans Azure. En d'autres termes, c'est Azure qui interroge WorkflowGen pour obtenir des informations, et non l'inverse. Cela signifie que Active Directory est la seule source de vérité pour les utilisateurs et les groupes du système.
Dans les instructions, remplacez <workflowgen url> par le domaine et le chemin de votre instance de WorkflowGen; par exemple, localhost/wfgen ou www.macompagnie.com/wfgen.
  • Les mots de passe utilisateur Azure AD ne sont pas provisionnés.
  • Un seul répertoire WorkflowGen peut être provisionné par Azure AD.
  • Si vous utilisez l'approvisionnement des utilisateurs Azure AD SCIM, vous devez désactiver le service de synchronisation de répertoires de WorkflowGen si le service a déjà été installé et démarré.

Prérequis

  • Assurez-vous d'avoir une instance de WorkflowGen en fonctionnement dans un réseau accessible par Azure AD avec les ports HTTPS (recommandé) ou HTTP ouverts.
  • Assurez-vous de connaître l'adresse de l'instance.
  • Assurez-vous que l'instance de WorkflowGen est opérationnelle.
  • Assurez-vous que l'application SCIM est correctement installée et configurée. Voir Activation de SCIM dans la section Applications Web basées sur Node.js du Guide technique WorkflowGen pour savoir comment procéder.
  • Un Azure Active Directory avec des utilisateurs et des groupes. Pour plus d'informations sur les limitations de licence et d'approvisionnement Azure AD, consultez la page Tarification Azure Active Directory.
Azure exige que le lien vers le site Web de WorkflowGen soit accessible au public.

Configuration de WorkflowGen

Cette section contient les instructions sur la définition d'un nouveau annuaire qui sera utilisé par Azure AD pour la synchronisation des utilisateurs et des groupes. Si vous avez satisfait les prérequis ci-dessus, vous pouvez procéder à la configuration de WorkflowGen pour recevoir les informations d'Azure AD.
Avant d'aller plus loin dans la configuration, assurez-vous que la clé EngineServiceImpersonificationUsername dans le fichier web.config de WorkflowGen est définie sur un nom d'utilisateur d'un administrateur existant. Sinon, le connecteur de synchronisation n'aura pas les permissions suffisantes pour effectuer toutes les requêtes nécessaires à l'approvisionnement des utilisateurs et des groupes.

Créez et configurez un annuaire Azure AD SCIM v2

  1. 1.
    Dans le module d'administration de WorkflowGen (https://<workflowgen url>/admin), cliquez sur Annuaires, puis cliquez sur Nouvel annuaire dans l'écran Annuaires.
  2. 2.
    Entrez un nom et une description pour l'annuaire.
  3. 3.
    Choisissez Azure AD SCIM v2 dans la liste déroulante Connecteur d'annuaire.
    ✏️ Note : Vous pouvez avoir un seul annuaire SCIM par instance de WorkflowGen.
  4. 4.
    Cliquez sur Enregistrer pour créer l'annuaire.
  5. 5.
    Copiez la valeur du jeton SCIM généré, car vous en aurez besoin pour la prochaine étape de configuration d'Azure AD.

Configuration d'Azure Active Directory

Cette section contient les étapes pour la configuration d'une application d'entreprise typique avec Azure AD pour approvisionner votre instance de WorkflowGen avec des utilisateurs et des groupes.
Note sur les instances de WorkflowGen existantes
Si vous avez déjà synchronisé une instance de WorkflowGen avec une application d'entreprise dans Azure AD, ne réutilisez pas cette application d'entreprise avec une autre instance de WorkflowGen. Au lieu, créez une nouvelle application d'entreprise pour chaque instance vous voulez synchroniser.

Étape 1 : Créez une nouvelle application d'entreprise

Pour approvisionner WorkflowGen, vous devez l'inscrire dans le portail Azure AD en ajoutant une nouvelle application d'entreprise. Pour ce faire :
  1. 1.
    Dans le panneau Azure Active Directory dans votre portail Microsoft Azure, cliquez sur Applications d'entreprise, puis cliquez sur Nouvelle application.
  2. 2.
    Dans le panneau Ajouter une application, cliquez sur Application ne figurant pas dans la galerie.
  3. 3.
    Entrez le nom de l'application. Généralement, il vous faudra un nom comme WorkflowGen SCIM v2 afin de l'identifier facilement.
  4. 4.
    Cliquez sur Ajouter.
Vous pouvez maintenant passer à la configuration de l'application pour approvisionner WorkflowGen.

Étape 2 : Configurez l'application Azure AD

Établissez une connexion entre WorkflowGen et Azure AD

Cliquez sur Approvisionnement sur la page de l'application. Toute la configuration restante sera faite ici.
Pour configurer la connexion entre WorkflowGen et Azure AD :
  1. 1.
    Choisissez le mode d'approvisionnement Automatique.
  2. 2.
    Pour l'URL de locataire, ajoutez votre URL SCIM WorkflowGen https://<workflowgen url>/wfgen/scim (p.ex. : https://macompagnie.com/wfgen/scim).
    ✏️ Note : Si votre domaine WorkflowGen de base pointe déjà vers l'instance de WorkflowGen, n'incluez pas wfgen dans l'adresse.
  3. 3.
    Dans le champ Jeton secret, collez le jeton SCIM que vous avez généré antérieurement lorsque vous avez créé le nouvel annuaire SCIM.
  4. 4.
    Cliquez sur Tester la connexion et attendez les résultats. Si tout est bien, vous recevrez une notification ainsi que des options supplémentaires.
  5. 5.
    Cliquez sur Enregistrer en haut de la page.

Configurez l'approvisionnement

Deux nouvelles sections devraient maintenant être disponibles : Mappages et Paramètres. Vous devez changer quelques correspondances (mappages) pour égaler les données correspondantes dans WorkflowGen, et pour réduire la possibilité d'erreurs.
Groupes
Cliquez sur l'option qui contient Groupes pour changer la correspondance des groupes. Ensuite, dans la nouvelle page, naviguez à la section Mappages d'attributs et conservez seulement les correspondances externalId, displayName et member réglées sur customappsso. Vous devez aussi changer la correspondance de externalId en objectID d'Azure AD. Ceci empêchera deux groupes différents d'être approvisionnés avec la même correspondance externalId. Cet attribut doit être unique.
Vous avez également la possibilité de personnaliser les opérations à exécuter dans le répertoire WorkflowGen. Si vous partez de zéro, vous devez laisser Créer, Mettre à jour et Supprimer activés pour vous assurer qu'Azure peut effectuer toutes les opérations dont il a besoin pour garder WorkflowGen synchronisé avec Active Directory.
Les correspondances finales doivent ressembler au tableau suivant. Si vous avez des correspondances supplémentaires qui ne sont pas listées ici, vous devez les supprimer, car elles ne seront pas mappées dans WorkflowGen.
Attribut Azure Active Directory
Attribut customappsso
Groupe WorkflowGen
objectId
externalId
systemIdentifier
mailNickname
displayName
name
members
members
users
  • La colonne Attribut Azure Active Directory correspond aux attributs du groupe définis dans Azure AD.
  • La colonne Attribut customappsso correspond aux attributs du groupe définis dans la spécification SCIM (p.ex. : urn:ietf:params:scim:schemas:core:2.0:Group).
  • La colonne Groupe WorkflowGen correspond aux champs et propriétés du groupe qui seront mis à jour dans WorkflowGen.
Lorsque toutes les correspondances des groupes sont réglées, cliquez sur Enregistrer.
Utilisateurs
Vous devez aussi modifier les correspondances des utilisateurs. Pour ce faire, retournez aux options d'approvisionnement pour l'application de l'entreprise, puis cliquez sur le bouton pour les correspondances des utilisateurs dans la section Mappages.
Dans la section Mappages d'attributs dans la nouvelle page, vous devez changer seulement la correspondance de externalId en objectId d'Azure.
Vous avez également la possibilité de personnaliser les opérations à exécuter dans le répertoire WorkflowGen. Si vous partez de zéro, vous devez laisser Créer, Mettre à jour et Supprimer activés pour vous assurer qu'Azure peut effectuer toutes les opérations dont il a besoin pour garder WorkflowGen synchronisé avec Active Directory.
Les correspondances finales doivent ressembler au tableau suivant. Si vous avez des correspondances supplémentaires qui ne sont pas listées ici, vous devez les supprimer, car elles ne seront pas mappées dans WorkflowGen.
Attribut Azure Active Directory
Attribut customappsso
Utilisateur WorkflowGen
Switch([IsSoftDeleted], , "False", "True", "True", "False")
active
isActive
displayName
displayName
commonName
FacsimileTelephoneNumber
phoneNumbers[type eq "fax"].value
fax
givenName
name.givenName
firstName
jobTitle
title
jobTitle
mail
emails[type eq "work"].value
email
objectId
externalId
systemIdentifier
manager
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager
manager
mobile
phoneNumbers[type eq "mobile"].value
mobile
postalCode
addresses[type eq "work"].postalCode
postalCode
physicalDeliveryOfficeName
addresses[type eq "other"].Formatted
office
streetAddress
addresses[type eq "work"].streetAddress
postalAddress
surname
name.familyName
lastName
telephoneNumber
phoneNumbers[type eq "work"].value
phone
userPrincipalName
userName
  • La colonne Attribut Azure Active Directory correspond aux attributs du groupe définis dans Azure AD.
  • La colonne Attribut customappsso correspond aux attributs du groupe définis dans la spécification SCIM (p.ex. : urn:ietf:params:scim:schemas:core:2.0:Group).
  • La colonne Utilisateur WorkflowGen correspond aux champs utilisateur qui seront mis à jour dans WorkflowGen.
Une fois que vous avez défini toutes les correspondances utilisateur, cliquez sur Enregistrer.

Étape 3 : Lancez la synchronisation

Vous êtes maintenant prêt à lancer la synchronisation des utilisateurs et des groupes avec votre instance de WorkflowGen. Pour ce faire, naviguez à la section Paramètres dans la page d'approvisionnement de votre application d'entreprise.
Si vous souhaitez synchroniser uniquement un sous-ensemble de vos utilisateurs et groupes Azure AD, sélectionnez l'étendue Synchroniser uniquement les utilisateurs et groupes assignés, puis attribuez-les manuellement à cette application dans l'annuaire. Pour cela, accédez à la section Utilisateurs et groupes de l'application et ajoutez-y manuellement vos utilisateurs.
Vous pouvez également configurer l'application pour synchroniser tous les utilisateurs et groupes de votre annuaire. Dans ce cas, sélectionnez l'étendue Synchroniser tous les utilisateurs et groupes.
Lorsque vous êtes prêt, réglez le status de l'approvisionnement sur Activé, puis cliquez sur Enregistrer.
Vous avez maintenant complété la configuration de l'approvisionnement des utilisateurs et des groups de Azure AD à WorkflowGen en utilisant le protocole SCIM v2. Dans WorkflowGen, vous pouvez consulter l'approvisionnement dans les journaux de synchronisation du module d'administration, ou dans les fichiers journaux créés par l'API SCIM de WorkflowGen, situés dans le répertoire APP_DATA de WorkflowGen.

Migration d'Active Directory classique vers Azure Active Directory

Si vous avez déjà une synchronisation avec un Active Directory classique, cette section contient les instructions sur comment migrer vos utilisateurs WorkflowGen vers votre nouvel Azure AD sans devoir les supprimer et récréer.

À propos de l'approvisionnement Azure Active Directory

Tout d'abord, il est important de comprendre comment Azure AD synchronise votre annuaire via le connecteur SCIM avant de procéder à une migration. Dans ce guide, nous avons changé les correspondances par défaut entre les propriétés d'objet Azure AD et les propriétés SCIM. Une de ces propriétés est externalId, qui représente un identifiant unique depuis un système externe, donc elle doit être opaque pour WorkflowGen. Vous avez changé cette correspondance de displayName dans Azure AD en objectId. Dans WorkflowGen, externalId correspond à la propriété systemIdentifier d'un utilisateur, donc la valeur objectId de Azure AD est approvisionnée dans la valeur systemIdentifier dans WorkflowGen.
Deuxièmement, Azure AD commence la synchronisation en interrogeant le connecteur SCIM pour trouver les utilisateurs existants. D'abord, il envoie des requêtes GET avec ses valeurs objectId. Puisque WorkflowGen n'a pas de Id qui correspond à objectId d'Azure, il retournera toujours une erreur 404 NOT FOUND. Ensuite, il envoie des requêtes GET mais avec un filtre sur externalId; cette fois, il trouve les utilisateurs dans WorkflowGen si leurs systemIdentifier correspondent à un objectId d'un utilisateur dans Azure AD.

Comment migrer les utilisateurs et les groupes à Azure Active Directory

  1. 1.
    Désactivez le connecteur d'Active Directory classique.
  2. 2.
    Créez un nouveau connecteur d'annuaire Azure SCIM v2.
  3. 3.
    Déplacez les utilisateurs et les groupes déjà dans Azure AD d'autres répertoires WorkflowGen existants vers le répertoire SCIM.
  4. 4.
    Créez un script qui mettra à jour les utilisateurs et les groupes dans l'annuaire SCIM avec leurs propriétés systemIdentifier définies sur leurs propriétés Azure AD objectId correspondantes.
L'exemple ci-dessous inclut un algorithme qui associe les utilisateurs et les groupes à Azure AD :
groups = fetch_groups_from_azure()
for group in groups:
for user in group.users:
wfgUser = fetch_wfg_user_with_key(user.something)
wfgUser.systemIdentifier = user.objectId
update(wfgUser)
wfgGroup = fetch_wfg_group_with_key(group.something)
wfgGroup.systemIdentifier = group.objectId
update(wfgGroup)
L'exemple ci-dessous inclut un algorithme qui associe seulement les utilisateurs à Azure AD :
users = fetch_users_from_azure()
for user in users:
wfgUser = fetch_wfg_user_with_key(user.something)
wfgUser.systemIdentifier = user.objectId
update(wfgUser)

Résolution des problèmes

Les utilisateurs et les groupes sont marqués comme ignorés dans les journaux de synchronisation d'Azure

Si vous rencontrez ce problème, c'est peut-être dû au fait que les utilisateurs et les groupes sont en dehors de l'étendue de la synchronisation. La raison peut être que vous n'avez pas affecté d'utilisateurs à l'application d'entreprise et que vous avez sélectionné une étendue d'utilisateurs affectés uniquement. Pour résoudre ce problème, affectez des utilisateurs à l'application d'entreprise en accédant à sa section Utilisateurs et groupes. Vous pouvez également modifier l'étendue de la synchronisation pour tous les utilisateurs et groupes de l'annuaire en modifiant les paramètres de synchronisation de l'application d'entreprise.
Une autre cause possible peut être liée à d'autres configurations dans votre Azure Active Directory. Pour des instructions sur comment résoudre ce problème, consultez l'article Microsoft Aucun utilisateur n’est en cours d’approvisionnement.
Previous
Présentation
Next
Authentification Azure Active Directory
Last modified 9mo ago