Synchronisation Azure Active Directory
Cette section contient les instructions sur la configuration du connecteur de synchronisation Azure Active Directory (AD) de WorkflowGen, qui s'appuie sur les fonctionnalités d'approvisionnement des utilisateurs d'Azure AD. Les utilisateurs et les groupes seront automatiquement mis à jour (envoyés vers WorkflowGen) par Azure (toutes les 20 à 40 minutes) en utilisant le protocole SCIM v2.
Comme mentionné, c'est Azure AD qui pousse les données vers WorkflowGen. La nature du protocole ne permet pas à WorkflowGen de mettre à jour le répertoire dans Azure. En d'autres termes, c'est Azure qui interroge WorkflowGen pour obtenir des informations, et non l'inverse. Cela signifie que Active Directory est la seule source de vérité pour les utilisateurs et les groupes du système.
Dans les instructions, remplacez
<workflowgen url> par le domaine et le chemin de votre instance de WorkflowGen; par exemple, localhost/wfgen ou www.macompagnie.com/wfgen.- Les mots de passe utilisateur Azure AD ne sont pas provisionnés.
- Un seul répertoire WorkflowGen peut être provisionné par Azure AD.
- Si vous utilisez l'approvisionnement des utilisateurs Azure AD SCIM, vous devez désactiver le service de synchronisation de répertoires de WorkflowGen si le service a déjà été installé et démarré.
- Assurez-vous d'avoir une instance de WorkflowGen en fonctionnement dans un réseau accessible par Azure AD avec les ports HTTPS (recommandé) ou HTTP ouverts.
- Assurez-vous de connaître l'adresse de l'instance.
- Assurez-vous que l'instance de WorkflowGen est opérationnelle.
- Assurez-vous que l'application SCIM est correctement installée et configurée. Voir Activation de SCIM dans la section Applications Web basées sur Node.js du Guide technique WorkflowGen pour savoir comment procéder.
- Un Azure Active Directory avec des utilisateurs et des groupes. Pour plus d'informations sur les limitations de licence et d'approvisionnement Azure AD, consultez la page Tarification Azure Active Directory.
Cette section contient les instructions sur la définition d'un nouveau annuaire qui sera utilisé par Azure AD pour la synchronisation des utilisateurs et des groupes. Si vous avez satisfait les prérequis ci-dessus, vous pouvez procéder à la configuration de WorkflowGen pour recevoir les informations d'Azure AD.
Avant d'aller plus loin dans la configuration, assurez-vous que la clé
EngineServiceImpersonificationUsername dans le fichier web.config de WorkflowGen est définie sur un nom d'utilisateur d'un administrateur existant. Sinon, le connecteur de synchronisation n'aura pas les permissions suffisantes pour effectuer toutes les requêtes nécessaires à l'approvisionnement des utilisateurs et des groupes.- 1.Dans le module d'administration de WorkflowGen (
https://<workflowgen url>/admin), cliquez sur Annuaires, puis cliquez sur Nouvel annuaire dans l'écran Annuaires. - 2.Entrez un nom et une description pour l'annuaire.
- 3.Choisissez Azure AD SCIM v2 dans la liste déroulante Connecteur d'annuaire.✏️ Note : Vous pouvez avoir un seul annuaire SCIM par instance de WorkflowGen.
- 4.Cliquez sur Enregistrer pour créer l'annuaire.
- 5.Copiez la valeur du jeton SCIM généré, car vous en aurez besoin pour la prochaine étape de configuration d'Azure AD.
Cette section contient les étapes pour la configuration d'une application d'entreprise typique avec Azure AD pour approvisionner votre instance de WorkflowGen avec des utilisateurs et des groupes.
Note sur les instances de WorkflowGen existantes
Si vous avez déjà synchronisé une instance de WorkflowGen avec une application d'entreprise dans Azure AD, ne réutilisez pas cette application d'entreprise avec une autre instance de WorkflowGen. Au lieu, créez une nouvelle application d'entreprise pour chaque instance vous voulez synchroniser.
Pour approvisionner WorkflowGen, vous devez l'inscrire dans le portail Azure AD en ajoutant une nouvelle application d'entreprise. Pour ce faire :
- 1.Dans le panneau Azure Active Directory dans votre portail Microsoft Azure, cliquez sur Applications d'entreprise, puis cliquez sur Nouvelle application.
- 2.Dans le panneau Ajouter une application, cliquez sur Application ne figurant pas dans la galerie.
- 3.Entrez le nom de l'application. Généralement, il vous faudra un nom comme
WorkflowGen SCIM v2afin de l'identifier facilement. - 4.Cliquez sur Ajouter.
Vous pouvez maintenant passer à la configuration de l'application pour approvisionner WorkflowGen.
Cliquez sur Approvisionnement sur la page de l'application. Toute la configuration restante sera faite ici.
Pour configurer la connexion entre WorkflowGen et Azure AD :
- 1.Choisissez le mode d'approvisionnement Automatique.
- 2.Pour l'URL de locataire, ajoutez votre URL SCIM WorkflowGen
https://<workflowgen url>/wfgen/scim(p.ex. :https://macompagnie.com/wfgen/scim).✏️ Note : Si votre domaine WorkflowGen de base pointe déjà vers l'instance de WorkflowGen, n'incluez paswfgendans l'adresse. - 3.Dans le champ Jeton secret, collez le jeton SCIM que vous avez généré antérieurement lorsque vous avez créé le nouvel annuaire SCIM.
- 4.Cliquez sur Tester la connexion et attendez les résultats. Si tout est bien, vous recevrez une notification ainsi que des options supplémentaires.
- 5.Cliquez sur Enregistrer en haut de la page.
Deux nouvelles sections devraient maintenant être disponibles : Mappages et Paramètres. Vous devez changer quelques correspondances (mappages) pour égaler les données correspondantes dans WorkflowGen, et pour réduire la possibilité d'erreurs.
Groupes
Cliquez sur l'option qui contient Groupes pour changer la correspondance des groupes. Ensuite, dans la nouvelle page, naviguez à la section Mappages d'attributs et conservez seulement les correspondances
externalId, displayName et member réglées sur customappsso. Vous devez aussi changer la correspondance de externalId en objectID d'Azure AD. Ceci empêchera deux groupes différents d'être approvisionnés avec la même correspondance externalId. Cet attribut doit être unique.Vous avez également la possibilité de personnaliser les opérations à exécuter dans le répertoire WorkflowGen. Si vous partez de zéro, vous devez laisser Créer, Mettre à jour et Supprimer activés pour vous assurer qu'Azure peut effectuer toutes les opérations dont il a besoin pour garder WorkflowGen synchronisé avec Active Directory.
Les correspondances finales doivent ressembler au tableau suivant. Si vous avez des correspondances supplémentaires qui ne sont pas listées ici, vous devez les supprimer, car elles ne seront pas mappées dans WorkflowGen.
Attribut Azure Active Directory | Attribut customappsso | Groupe WorkflowGen |
objectId | externalId | systemIdentifier |
mailNickname | displayName | name |
members | members | users |
- La colonne Attribut Azure Active Directory correspond aux attributs du groupe définis dans Azure AD.
- La colonne Attribut customappsso correspond aux attributs du groupe définis dans la spécification SCIM (p.ex. :
urn:ietf:params:scim:schemas:core:2.0:Group). - La colonne Groupe WorkflowGen correspond aux champs et propriétés du groupe qui seront mis à jour dans WorkflowGen.
Lorsque toutes les correspondances des groupes sont réglées, cliquez sur Enregistrer.
Utilisateurs
Vous devez aussi modifier les correspondances des utilisateurs. Pour ce faire, retournez aux options d'approvisionnement pour l'application de l'entreprise, puis cliquez sur le bouton pour les correspondances des utilisateurs dans la section Mappages.
Dans la section Mappages d'attributs dans la nouvelle page, vous devez changer seulement la correspondance de
externalId en objectId d'Azure.Vous avez également la possibilité de personnaliser les opérations à exécuter dans le répertoire WorkflowGen. Si vous partez de zéro, vous devez laisser Créer, Mettre à jour et Supprimer activés pour vous assurer qu'Azure peut effectuer toutes les opérations dont il a besoin pour garder WorkflowGen synchronisé avec Active Directory.
Les correspondances finales doivent ressembler au tableau suivant. Si vous avez des correspondances supplémentaires qui ne sont pas listées ici, vous devez les supprimer, car elles ne seront pas mappées dans WorkflowGen.
Attribut Azure Active Directory | Attribut customappsso | Utilisateur WorkflowGen |
Switch([IsSoftDeleted], , "False", "True", "True", "False") | active | isActive |
displayName | displayName | commonName |
FacsimileTelephoneNumber | phoneNumbers[type eq "fax"].value | fax |
givenName | name.givenName | firstName |
jobTitle | title | jobTitle |
mail | emails[type eq "work"].value | email |
objectId | externalId | systemIdentifier |
manager | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager | manager |
mobile | phoneNumbers[type eq "mobile"].value | mobile |
postalCode | addresses[type eq "work"].postalCode | postalCode |
physicalDeliveryOfficeName | addresses[type eq "other"].Formatted | office |
streetAddress | addresses[type eq "work"].streetAddress | postalAddress |
surname | name.familyName | lastName |
telephoneNumber | phoneNumbers[type eq "work"].value | phone |
userPrincipalName | userName | |
- La colonne Attribut Azure Active Directory correspond aux attributs du groupe définis dans Azure AD.
- La colonne Attribut customappsso correspond aux attributs du groupe définis dans la spécification SCIM (p.ex. :
urn:ietf:params:scim:schemas:core:2.0:Group). - La colonne Utilisateur WorkflowGen correspond aux champs utilisateur qui seront mis à jour dans WorkflowGen.
Une fois que vous avez défini toutes les correspondances utilisateur, cliquez sur Enregistrer.
Vous êtes maintenant prêt à lancer la synchronisation des utilisateurs et des groupes avec votre instance de WorkflowGen. Pour ce faire, naviguez à la section Paramètres dans la page d'approvisionnement de votre application d'entreprise.
Si vous souhaitez synchroniser uniquement un sous-ensemble de vos utilisateurs et groupes Azure AD, sélectionnez l'étendue
Synchroniser uniquement les utilisateurs et groupes assignés, puis attribuez-les manuellement à cette application dans l'annuaire. Pour cela, accédez à la section Utilisateurs et groupes de l'application et ajoutez-y manuellement vos utilisateurs.Vous pouvez également configurer l'application pour synchroniser tous les utilisateurs et groupes de votre annuaire. Dans ce cas, sélectionnez l'étendue
Synchroniser tous les utilisateurs et groupes.Lorsque vous êtes prêt, réglez le status de l'approvisionnement sur Activé, puis cliquez sur Enregistrer.
Vous avez maintenant complété la configuration de l'approvisionnement des utilisateurs et des groups de Azure AD à WorkflowGen en utilisant le protocole SCIM v2. Dans WorkflowGen, vous pouvez consulter l'approvisionnement dans les journaux de synchronisation du module d'administration, ou dans les fichiers journaux créés par l'API SCIM de WorkflowGen, situés dans le répertoire
APP_DATA de WorkflowGen.Si vous avez déjà une synchronisation avec un Active Directory classique, cette section contient les instructions sur comment migrer vos utilisateurs WorkflowGen vers votre nouvel Azure AD sans devoir les supprimer et récréer.
Tout d'abord, il est important de comprendre comment Azure AD synchronise votre annuaire via le connecteur SCIM avant de procéder à une migration. Dans ce guide, nous avons changé les correspondances par défaut entre les propriétés d'objet Azure AD et les propriétés SCIM. Une de ces propriétés est
externalId, qui représente un identifiant unique depuis un système externe, donc elle doit être opaque pour WorkflowGen. Vous avez changé cette correspondance de displayName dans Azure AD en objectId. Dans WorkflowGen, externalId correspond à la propriété systemIdentifier d'un utilisateur, donc la valeur objectId de Azure AD est approvisionnée dans la valeur systemIdentifier dans WorkflowGen.Deuxièmement, Azure AD commence la synchronisation en interrogeant le connecteur SCIM pour trouver les utilisateurs existants. D'abord, il envoie des requêtes GET avec ses valeurs
objectId. Puisque WorkflowGen n'a pas de Id qui correspond à objectId d'Azure, il retournera toujours une erreur 404 NOT FOUND. Ensuite, il envoie des requêtes GET mais avec un filtre sur externalId; cette fois, il trouve les utilisateurs dans WorkflowGen si leurs systemIdentifier correspondent à un objectId d'un utilisateur dans Azure AD.- 1.Désactivez le connecteur d'Active Directory classique.
- 2.Créez un nouveau connecteur d'annuaire Azure SCIM v2.
- 3.Déplacez les utilisateurs et les groupes déjà dans Azure AD d'autres répertoires WorkflowGen existants vers le répertoire SCIM.
- 4.Créez un script qui mettra à jour les utilisateurs et les groupes dans l'annuaire SCIM avec leurs propriétés
systemIdentifierdéfinies sur leurs propriétés Azure ADobjectIdcorrespondantes.
L'exemple ci-dessous inclut un algorithme qui associe les utilisateurs et les groupes à Azure AD :
groups = fetch_groups_from_azure()
for group in groups:
for user in group.users:
wfgUser = fetch_wfg_user_with_key(user.something)
wfgUser.systemIdentifier = user.objectId
update(wfgUser)
wfgGroup = fetch_wfg_group_with_key(group.something)
wfgGroup.systemIdentifier = group.objectId
update(wfgGroup)
L'exemple ci-dessous inclut un algorithme qui associe seulement les utilisateurs à Azure AD :
users = fetch_users_from_azure()
for user in users:
wfgUser = fetch_wfg_user_with_key(user.something)
wfgUser.systemIdentifier = user.objectId
update(wfgUser)
Si vous rencontrez ce problème, c'est peut-être dû au fait que les utilisateurs et les groupes sont en dehors de l'étendue de la synchronisation. La raison peut être que vous n'avez pas affecté d'utilisateurs à l'application d'entreprise et que vous avez sélectionné une étendue d'utilisateurs affectés uniquement. Pour résoudre ce problème, affectez des utilisateurs à l'application d'entreprise en accédant à sa section Utilisateurs et groupes. Vous pouvez également modifier l'étendue de la synchronisation pour tous les utilisateurs et groupes de l'annuaire en modifiant les paramètres de synchronisation de l'application d'entreprise.
Une autre cause possible peut être liée à d'autres configurations dans votre Azure Active Directory. Pour des instructions sur comment résoudre ce problème, consultez l'article Microsoft Aucun utilisateur n’est en cours d’approvisionnement.
Last modified 1yr ago