Qu’est ce que le provisionnement automatique des utilisateurs dans les applications SaaS dans Azure AD ?What is automated SaaS app user provisioning in Azure AD?

Dans Azure Active Directory (Azure AD), le terme approvisionnement de l’application désigne la création automatique des identités et rôles des utilisateurs dans les applications cloud (SaaS) auxquelles les utilisateurs ont besoin d’accéder.In Azure Active Directory (Azure AD), the term app provisioning refers to automatically creating user identities and roles in the cloud (SaaS) applications that users need access to. En plus de créer des identités utilisateur, l’approvisionnement automatique comprend la maintenance et la suppression d’identités utilisateur en cas de modification de l’état ou des rôles.In addition to creating user identities, automatic provisioning includes the maintenance and removal of user identities as status or roles change. Les scénarios courants incluent la configuration d’un utilisateur Azure AD dans des applications telles que Dropbox, Salesforce, ServiceNow, et bien plus encore.Common scenarios include provisioning an Azure AD user into applications like Dropbox, Salesforce, ServiceNow, and more.

Schéma de présentation de l’approvisionnement

Cette fonctionnalité vous permet de :This feature lets you:

  • Automatiser l’approvisionnement : Créez automatiquement des comptes dans les systèmes adéquats pour les nouvelles personnes rejoignant votre équipe ou votre organisation.Automate provisioning: Automatically create new accounts in the right systems for new people when they join your team or organization.
  • Automatiser le déprovisionnement : Désactivez automatiquement les comptes dans les systèmes adéquats lorsque des personnes quittent votre équipe ou votre organisation.Automate deprovisioning: Automatically deactivate accounts in the right systems when people leave the team or organization.
  • Synchroniser les données entre les systèmes : Vérifiez que les identités dans vos applications et systèmes sont tenues à jour selon les modifications apportées au répertoire ou à votre système de gestion des ressources humaines.Synchronize data between systems: Ensure that the identities in your apps and systems are kept up to date based on changes in the directory or your human resources system.
  • Approvisionner des groupes : Approvisionnez des groupes pour les applications qui les prennent en charge.Provision groups: Provision groups to applications that support them.
  • Régir l’accès : Surveillez et auditez les personnes qui ont été approvisionnées dans vos applications.Govern access: Monitor and audit who has been provisioned into your applications.
  • Déployer en toute transparence dans les scénarios « brown field » : Faites correspondre les identités existantes entre les systèmes et facilitez l’intégration, même lorsque les utilisateurs existent déjà dans le système cible.Seamlessly deploy in brown field scenarios: Match existing identities between systems and allow for easy integration, even when users already exist in the target system.
  • Utiliser une personnalisation riche : Tirez parti des mappages d’attributs personnalisables qui définissent les données utilisateurs qui doivent circuler entre le système source et le système cible.Use rich customization: Take advantage of customizable attribute mappings that define what user data should flow from the source system to the target system.
  • Obtenir des alertes pour les événements critiques : Le service d’approvisionnement fournit des alertes pour les événements critiques et permet une intégration de Log Analytics dans laquelle vous pouvez définir des alertes personnalisées pour répondre aux besoins de votre entreprise.Get alerts for critical events: The provisioning service provides alerts for critical events, and allows for Log Analytics integration where you can define custom alerts to suite your business needs.

Avantages de l’approvisionnement automatiqueBenefits of automatic provisioning

À mesure que le nombre d’applications utilisées dans les organisations modernes continue de croître, les administrateurs informatiques sont chargés de la gestion des accès à l’échelle.As the number of applications used in modern organizations continues to grow, IT admins are tasked with access management at scale. Des normes telles que SAML (Security Assertions Markup Language) ou OIDC (Open ID Connect) permettent aux administrateurs de configurer rapidement l’authentification unique (SSO), mais l’accès requiert également que les utilisateurs soient approvisionnés dans l’application.Standards such as Security Assertions Markup Language (SAML) or Open ID Connect (OIDC) allow admins to quickly set up single sign-on (SSO), but access also requires users to be provisioned into the app. Pour de nombreux administrateurs, l’approvisionnement consiste à créer manuellement chaque compte d’utilisateur ou à télécharger des fichiers CSV chaque semaine, mais ces processus prennent du temps, sont coûteux et peuvent engendrer des erreurs.To many admins, provisioning means manually creating every user account or uploading CSV files each week, but these processes are time-consuming, expensive, and error-prone. Des solutions telles que SAML juste-à-temps (JIT) ont été adoptées pour automatiser l’approvisionnement, mais les entreprises ont également besoin d’une solution pour déprovisionner des utilisateurs lorsqu’ils quittent l’organisation ou n’ont plus besoin d’accéder à certaines applications en fonction du changement de rôle.Solutions such as SAML just-in-time (JIT) have been adopted to automate provisioning, but enterprises also need a solution to deprovision users when they leave the organization or no longer require access to certain apps based on role change.

Voici quelques-unes des motivations courantes de l’utilisation de l’approvisionnement automatique :Some common motivations for using automatic provisioning include:

  • Optimisation de l’efficacité et de la précision des processus d’approvisionnement.Maximizing the efficiency and accuracy of provisioning processes.
  • Économies sur les coûts liés à l’hébergement et à la gestion de scripts et de solutions d’approvisionnement personnalisés.Saving on costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • Sécurisation de votre organisation en supprimant instantanément les identités des utilisateurs des applications SaaS lorsqu’ils quittent l’organisation.Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • Importation facile de nombreux utilisateurs dans un système ou une application SaaS spécifique.Easily importing a large number of users into a particular SaaS application or system.
  • Disposer d’un ensemble unique de stratégies pour déterminer qui est approvisionné et qui peut se connecter à une application.Having a single set of policies to determine who is provisioned and who can sign in to an app.

L’approvisionnement d’utilisateurs d’Azure AD peut vous aider à relever ces défis.Azure AD user provisioning can help address these challenges. Pour en savoir plus sur la façon dont les clients utilisent l’approvisionnement d’utilisateurs Azure AD, vous pouvez lire l’étude de cas ASOS.To learn more about how customers have been using Azure AD user provisioning, you can read the ASOS case study. La vidéo ci-dessous offre une vue d’ensemble de l’approvisionnement d’utilisateurs dans Azure AD :The video below provides an overview of user provisioning in Azure AD:

Quels applications et systèmes puis-je utiliser avec l’approvisionnement d’utilisateurs automatique d’Azure AD ?What applications and systems can I use with Azure AD automatic user provisioning?

Azure AD offre une prise en charge préintégrée de plusieurs applications SaaS et systèmes de gestion des ressources humaines connus, ainsi qu’une prise en charge générique des applications qui implémentent des parties spécifiques du standard SCIM 2.0.Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

  • Applications préintégrées (applications SaaS de la galerie) .Pre-integrated applications (gallery SaaS apps). Vous trouverez toutes les applications pour lesquelles Azure AD prend en charge un connecteur d’approvisionnement préintégré dans la liste des tutoriels d’applications pour l’approvisionnement d’utilisateurs.You can find all applications for which Azure AD supports a pre-integrated provisioning connector in the list of application tutorials for user provisioning. Les applications préintégrées répertoriées dans la galerie utilisent généralement des API de gestion des utilisateurs SCIM 2.0 pour l’approvisionnement.The pre-integrated applications listed in the gallery generally use SCIM 2.0-based user management APIs for provisioning.

    Logo Salesforce

    Si vous souhaitez demander une nouvelle application pour l’approvisionnement, vous pouvez demander que votre application soit intégrée à notre galerie d’applications.If you want to request a new application for provisioning, you can request that your application be integrated with our app gallery. Pour une demande d’approvisionnement d’utilisateurs, nous avons besoin que l’application dispose d’un point de terminaison compatible SCIM.For a user provisioning request, we require the application to have a SCIM-compliant endpoint. Veuillez demander au fournisseur de l’application de suivre la norme SCIM afin que nous puissions intégrer rapidement l’application à notre plateforme.Please request that the application vendor follow the SCIM standard so we can onboard the app to our platform quickly.

  • Applications prenant en charge SCIM 2.0.Applications that support SCIM 2.0. Pour plus d’informations sur la connexion générique d’applications qui implémentent des API de gestion des utilisateurs SCIM 2.0, consultez Créer un point de terminaison SCIM et configurer l’attribution des utilisateurs.For information on how to generically connect applications that implement SCIM 2.0-based user management APIs, see Build a SCIM endpoint and configure user provisioning.

Qu’est-ce que SCIM (System for Cross-Domain Identity Management) ?What is System for Cross-domain Identity Management (SCIM)?

Pour aider à automatiser l’approvisionnement et le déprovisionnement, les applications exposent les API propriétaires d’utilisateurs et de groupes.To help automate provisioning and deprovisioning, apps expose proprietary user and group APIs. Cependant, quiconque a essayé de gérer des utilisateurs dans plus d’une application vous dira que chaque application essaie d’effectuer les mêmes actions simples, telles que créer ou mettre à jour des utilisateurs, ajouter des utilisateurs à des groupes ou déprovisionner des utilisateurs.However, anyone who’s tried to manage users in more than one app will tell you that every app tries to perform the same simple actions, such as creating or updating users, adding users to groups, or deprovisioning users. Pourtant, toutes ces actions simples sont implémentées un peu différemment, en utilisant des chemins d’accès de point de terminaison différents, des méthodes différentes pour spécifier les informations utilisateur et un schéma différent pour représenter chaque élément d’information.Yet, all these simple actions are implemented just a little bit differently, using different endpoint paths, different methods to specify user information, and a different schema to represent each element of information.

Pour relever ces défis, la spécification SCIM fournit un schéma utilisateur commun pour aider les utilisateurs à se déplacer dans, hors et autour des applications.To address these challenges, the SCIM specification provides a common user schema to help users move into, out of, and around apps. SCIM devient de facto la norme pour l’approvisionnement et, lorsqu’elle est utilisée conjointement avec des normes de fédération comme SAML ou OpenID Connect, fournit aux administrateurs une solution de bout en bout basée sur des normes pour la gestion des accès.SCIM is becoming the de facto standard for provisioning and, when used in conjunction with federation standards like SAML or OpenID Connect, provides administrators an end-to-end standards-based solution for access management.

Pour obtenir des instructions détaillées sur le développement d’un point de terminaison SCIM afin d’automatiser le provisionnement et le déprovisionnement d’utilisateurs et de groupes dans une application, consultez Créer un point de terminaison SCIM et configurer l’attribution des utilisateurs.For detailed guidance on developing a SCIM endpoint to automate the provisioning and deprovisioning of users and groups to an application, see Build a SCIM endpoint and configure user provisioning. Pour les applications pré-intégrées dans la galerie (Slack, Azure Databricks, Snowflake, etc.), vous pouvez ignorer la documentation du développeur et utiliser les tutoriels fournis ici.For pre-integrated applications in the gallery (Slack, Azure Databricks, Snowflake, etc.), you can skip the developer documentation and use the tutorials provided here.

Provisionnement manuel ou automatiqueManual vs. automatic provisioning

Les applications de la galerie Azure AD prennent en charge l’un de ces deux modes de provisionnement :Applications in the Azure AD gallery support one of two provisioning modes:

  • Provisionnement manuel : utilisé lorsqu’il n’existe pas de connecteur de provisionnement Azure AD automatique pour l’application.Manual provisioning means there is no automatic Azure AD provisioning connector for the app yet. Les comptes d’utilisateur doivent être créés manuellement, par exemple, directement dans le portail d’administration de l’application, ou en chargeant une feuille de calcul contenant les informations du compte d’utilisateur.User accounts must be created manually, for example by adding users directly into the app's administrative portal, or uploading a spreadsheet with user account detail. Consultez la documentation fournie par l’application ou contactez le développeur de l’application pour déterminer les mécanismes disponibles.Consult the documentation provided by the app, or contact the app developer to determine what mechanisms are available.

  • Automatique : dans le cadre d’un approvisionnement automatique, un connecteur d’approvisionnement Azure AD a été développé pour cette application.Automatic means that an Azure AD provisioning connector has been developed for this application. Vous devez suivre le tutoriel de configuration pour configurer le provisionnement de votre application.You should follow the setup tutorial specific to setting up provisioning for the application. Vous trouverez les didacticiels spécifiques aux applications à la page Liste de didacticiels sur l’intégration d’applications SaaS avec Azure Active Directory.App tutorials can be found at List of Tutorials on How to Integrate SaaS Apps with Azure Active Directory.

Dans la galerie Azure AD, les applications qui prennent en charge le provisionnement automatique sont désignées par une icône de provisionnement.In the Azure AD gallery, applications that support automatic provisioning are designated by a Provisioning icon. Passez à la nouvelle expérience de préversion de la galerie pour voir ces icônes (dans la bannière située en haut de la page Ajouter une application, sélectionnez le lien Cliquez ici pour essayer la Galerie d’applications nouvelle et améliorée).Switch to the new gallery preview experience to see these icons (in the banner at the top of the Add an application page, select the link that says Click here to try out the new and improved app gallery).

Icône de provisionnement dans la galerie d’applications

Le mode de provisionnement pris en charge par une application est également visible sous l’onglet Provisionnement une fois que vous avez ajouté l’application à vos Applications d’entreprise.The provisioning mode supported by an application is also visible on the Provisioning tab once you've added the application to your Enterprise apps.

Comment configurer l’approvisionnement automatique pour une application ?How do I set up automatic provisioning to an application?

Pour les applications préintégrées figurant dans la galerie, des instructions pas à pas sont disponibles pour configurer l’approvisionnement automatique.For pre-integrated applications listed in the gallery, step-by-step guidance is available for setting up automatic provisioning. Consultez la liste des tutoriels pour les applications de galerie intégrées.See the list of tutorials for integrated gallery apps. La vidéo suivante montre comment configurer l’approvisionnement automatique d’utilisateurs pour SalesForce.The following video demonstrates how to set up automatic user provisioning for SalesForce.

Pour les autres applications qui prennent en charge SCIM 2.0, suivez les étapes décrites dans l’article Créer un point de terminaison SCIM et configurer l’attribution des utilisateurs.For other applications that support SCIM 2.0, follow the steps in the article Build a SCIM endpoint and configure user provisioning.

Étapes suivantesNext steps