Activer le provisionnement automatique des utilisateurs pour votre application multilocataire dans Microsoft Entra ID
Le processus d'approvisionnement automatique d'utilisateurs consiste à automatiser la création, la gestion et la suppression des identités utilisateurs dans des systèmes cibles tels que vos applications SaaS.
Pourquoi activer l'approvisionnement automatique d'utilisateurs ?
Les applications nécessitant la présence d'un enregistrement utilisateur dans l'application avant la première connexion d'un utilisateur requièrent un approvisionnement d'utilisateurs. Celui-ci présente des avantages pour vous, en tant que fournisseur de services, ainsi que pour vos clients.
Avantages pour vous en tant que fournisseur de services
Renforcez la sécurité de votre application en utilisant la Plateforme d'identités Microsoft.
Réduisez les efforts réels et perçus des clients qui adoptent votre application.
Réduisez vos coûts d'intégration à plusieurs fournisseurs d'identité (IdP) pour l'approvisionnement automatique d'utilisateurs en ayant recours à l'approvisionnement SCIM (Cross-Domain Identity Management).
Réduisez les coûts liés au support en fournissant des journaux enrichis pour aider les clients à résoudre les problèmes d'approvisionnement des utilisateurs.
Augmentez la visibilité de votre application dans la galerie d’applications Microsoft Entra.
Bénéficiez d'une liste hiérarchisée sur la page Didacticiels des applications.
Avantages pour vos clients
Renforcez la sécurité en supprimant automatiquement l'accès à votre application pour les utilisateurs qui changent de rôle ou quittent l'organisation.
Simplifiez la gestion des utilisateurs de votre application en évitant les erreurs humaines et les tâches répétitives associées à l'approvisionnement manuel.
Réduisez les coûts d'hébergement et de gestion des solutions d'approvisionnement personnalisées.
Choisir une méthode d'approvisionnement
Microsoft Entra ID fournit plusieurs chemins d’intégration afin d’activer le provisionnement automatique des utilisateurs pour votre application.
Le service de provisionnement Microsoft Entra gère le provisionnement et le déprovisionnement d’utilisateurs, de Microsoft Entra ID vers votre application (provisionnement sortant) et de votre application vers Microsoft Entra ID (provisionnement entrant). Le service se connecte aux points de terminaison de l'API de gestion des utilisateurs SCIM (System for Inter-Domain Identity Management) fournis par votre application.
Quand vous utilisez Microsoft Graph, votre application gère le provisionnement entrant et sortant des utilisateurs et des groupes de Microsoft Entra ID vers votre application en interrogeant l’API Microsoft Graph.
L'approvisionnement d'utilisateurs SAML JIT (Security Assertion Markup Language Just in Time) peut être activé si votre application utilise SAML pour la fédération. Les informations de revendication envoyées dans le jeton SAML sont utilisées pour approvisionner les utilisateurs.
Pour savoir quelle option d'intégration utiliser pour votre application, reportez-vous au tableau comparatif général, puis consultez les informations plus détaillées sur chaque option.
Fonctionnalités activées ou améliorées par l'approvisionnement automatique | Service de provisionnement Microsoft Entra (SCIM 2.0) | API Microsoft Graph (OData v4.0) | SAML JIT |
---|---|---|---|
Gestion des utilisateurs et des groupes dans Microsoft Entra ID | √ | √ | Utilisateur uniquement |
Gérer les utilisateurs et les groupes synchronisés à partir de l'instance locale d'Active Directory | √* | √* | Utilisateur uniquement* |
Accéder à des données autres que celles des utilisateurs et des groupes lors de l'approvisionnement Accéder aux données Microsoft 365 (Teams, SharePoint, Courrier, Calendrier, Documents, etc.) | +X | √ | X |
Créer, lire et mettre à jour les utilisateurs en fonction de règles d'entreprise | √ | √ | √ |
Supprimer les utilisateurs en fonction de règles d'entreprise | √ | √ | X |
Gérer le provisionnement automatique des utilisateurs pour toutes les applications à partir du Centre d’administration Microsoft Entra | √ | X | √ |
Prendre en charge plusieurs fournisseurs d'identité | √ | X | √ |
Prendre en charge des comptes Invité (B2B) | √ | √ | √ |
Prise en charge des comptes qui n'appartiennent pas à l'entreprise (B2C) | X | √ | √ |
* - La configuration de Microsoft Entra Connect est nécessaire pour synchroniser les utilisateurs d’AD à Microsoft Entra ID.
+ - L'utilisation de SCIM pour l'approvisionnement ne vous empêche pas d'intégrer votre application à Microsoft Graph à d'autres fins.
Service de provisionnement Microsoft Entra (SCIM)
Le service de provisionnement Microsoft Entra utilise SCIM, un standard du secteur pour le provisionnement pris en charge par de nombreux fournisseurs d’identité (IdP) ainsi que par de nombreuses applications (par exemple Slack, G Suite, Dropbox). Nous vous recommandons d’utiliser le service de provisionnement Microsoft Entra si vous souhaitez prendre en charge des IdP en plus de Microsoft Entra ID, car tout IdP conforme à SCIM peut se connecter à votre point de terminaison SCIM. En générant un simple point de terminaison /User, vous pouvez activer le provisionnement sans avoir à gérer votre propre moteur de synchronisation.
Pour plus d’informations sur la façon dont le service de provisionnement Microsoft Entra utilise SCIM, consultez :
Microsoft Graph pour l'approvisionnement
Lorsque vous utilisez Microsoft Graph pour l'approvisionnement, vous avez accès à toutes les données utilisateur enrichies disponibles dans Graph. Outre les détails relatifs aux utilisateurs et aux groupes, vous pouvez également récupérer des informations supplémentaires telles que les rôles des utilisateurs, leurs supérieurs et collaborateurs directs, les appareils possédés et enregistrés, et des centaines d'autres données disponibles dans Microsoft Graph.
Plus de 15 millions d’organisations et 90 % des entreprises figurant au classement Fortune 500 utilisent Microsoft Entra ID pour s’abonner aux services de cloud computing Microsoft tels que Microsoft 365, Microsoft Azure ou Enterprise Mobility Suite. Vous pouvez utiliser Microsoft Graph pour intégrer votre application à des flux de travail administratifs, tels que l'intégration (et le licenciement) des employés, la maintenance des profils, etc.
Apprenez-en plus sur l'utilisation de Microsoft Graph pour l'approvisionnement :
Utilisation de SAML JIT pour l'approvisionnement
Si vous ne souhaitez approvisionner les utilisateurs que lors de la première connexion à votre application et que vous n'avez pas besoin de les déprovisionner automatiquement, SAML JIT est une option. Votre application doit prendre en charge SAML 2.0 comme protocole de fédération pour utiliser SAML JIT.
SAML JIT utilise les informations de revendication contenues dans le jeton SAML pour créer et mettre à jour les informations utilisateur dans l'application. Les clients peuvent configurer les revendications nécessaires dans l’application Microsoft Entra, selon les besoins. Parfois, l'approvisionnement JIT doit être activé du côté de l'application pour que le client puisse utiliser cette fonctionnalité. SAML JIT permet de créer et de mettre à jour des utilisateurs, mais pas de supprimer ou de désactiver ceux-ci dans l'application.
Étapes suivantes
Soumettez votre liste d'applications et établissez un partenariat avec Microsoft pour créer de la documentation sur le site de Microsoft.
Rejoignez le Microsoft Partner Network (gratuit) et élaborez votre plan de commercialisation.