Collaboration interentreprises (B2B) Azure AD avec Microsoft Identity Manager (MIM) 2016 SP1 et le proxy d’application Azure

Le scénario initial concerne la gestion du cycle de vie des comptes Active Directory des utilisateurs externes. Dans ce scénario, une organisation a proposé à des invités de figurer dans son annuaire Azure AD et souhaite leur octroyer l’accès à des applications locales basées sur l’authentification Kerberos ou sur l’authentification Windows intégrée, par le biais du proxy d’application Azure AD ou d’autres mécanismes de passerelle. Le proxy d’application Azure AD exige que chaque utilisateur dispose de son propre compte AD DS, à des fins d’identification et de délégation.

Conseils pour ce scénario

Pour la configuration du B2B avec MIM et du proxy d’application Azure AD, il est supposé que :

  • Vous avez déjà déployé une instance locale d’AD, que Microsoft Identity Manager est installé, et que vous avez effectué une configuration de base du service MIM, du portail MIM, de l’agent de gestion Active Directory (AD MA) et de l’agent de gestion FIM (FIM MA). https://docs.microsoft.com/microsoft-identity-manager/microsoft-identity-manager-deploy

  • Vous avez déjà suivi les instructions fournies dans l’article expliquant comment télécharger et installer le connecteur Graph.

  • Vous avez configuré Azure AD Connect de manière à synchroniser les utilisateurs et les groupes avec Azure AD.

  • Vous avez déjà configuré des connecteurs et des groupes de connecteurs de Proxy d’application. Dans le cas contraire, accédez ici pour en installer et en configurer.

  • Vous avez déjà publié une ou plusieurs applications qui reposent sur l’authentification Windows intégrée ou sur des comptes Active Directory, par le biais du proxy d’application Azure AD.

  • Vous avez invité une ou plusieurs personnes, ce qui a entraîné la création d’utilisateurs dans Azure AD https://docs.microsoft.com/azure/active-directory/active-directory-b2b-self-service-portal

Scénario : exemple de déploiement de bout en bout B2B

Ce guide s’appuie sur le scénario suivant :

Contoso Pharmaceuticals travaille avec Trey Research Inc. dans le cadre de son & département R D. Les employés de Trey Research ont besoin d’accéder à l’application de création de rapports de recherche fournie par Contoso Pharmaceuticals.

  • Contoso Pharmaceuticals a son propre locataire, ayant configuré un domaine personnalisé.

  • Une personne a invité un utilisateur externe dans le locataire Contoso Pharmaceuticals. Celui-ci a accepté l’invitation et peut accéder aux ressources partagées.

  • Contoso Pharmaceuticals a publié une application via le proxy d’application. Dans ce scénario, l’exemple d’application est le portail MIM. Celui-ci permet à un utilisateur invité de participer aux processus MIM, par exemple, dans les scénarios de support technique ou pour demander l’accès à des groupes MIM.

Configurer Active Directory et Azure AD Connect pour exclure des utilisateurs ayant été ajoutés à partir d’Azure AD

Par défaut, Azure AD Connect suppose que les utilisateurs non administrateurs dans Active Directory doivent être synchronisés avec Azure AD. Si Azure AD Connect détecte un utilisateur dans Azure AD qui correspond à celui de l’instance locale d’AD, Azure AD Connect établit une correspondance entre les deux comptes, suppose qu’il s’agit d’une synchronisation antérieure de l’utilisateur et considère que l’instance locale d’AD fait autorité. Toutefois, ce comportement par défaut ne convient pas dans un contexte B2B, où le compte d’utilisateur provient d’Azure AD.

Par conséquent, les utilisateurs importés dans AD DS par MIM à partir d’Azure AD doivent être stockés de sorte qu’Azure AD ne puisse pas les synchroniser avec Azure AD. Pour cela, vous pouvez créer une unité d’organisation dans AD DS et configurer Azure AD Connect pour exclure cette unité d’organisation.

Pour plus d’informations à ce sujet, consultez Synchronisation Azure AD Connect : Configurer le filtrage.

Créer l’application Azure AD

Remarque : Avant de créer l’agent de gestion pour le connecteur Graph dans MIM Sync, lisez le guide de déploiement du connecteur Graph, puis créez une application avec un ID client et un secret. Vérifiez que l’application dispose au moins de l’une des autorisations suivantes : User.Read.All, User.ReadWrite.All, Directory.Read.All ou Directory.ReadWrite.All.

Créer un agent de gestion

Dans l’interface utilisateur Synchronization Service Manager, sélectionnez Connecteurs et Créer. Sélectionnez Graph (Microsoft) , puis attribuez-lui un nom explicite.

Connectivité

Dans la page Connectivité, vous devez spécifier la version de l’API Graph. Pour la version de production, il s’agit de v 1.0, pour la version de préproduction, il s’agit de Bêta.

Paramètres globaux

Configurer la hiérarchie de provisionnement

Cette page sert à mapper le composant du nom unique, par exemple l’unité d’organisation, sur le type d’objet à provisionner, par exemple organizationalUnit. Cependant, nous n’en avons pas besoin pour ce scénario, vous pouvez donc garder la valeur par défaut et cliquer sur Suivant.

Configurer les partitions et les hiérarchies

Dans la page des partitions et hiérarchies, sélectionnez tous les espaces de noms contenant des objets que vous envisagez d’importer et d’exporter.

Sélectionner les types d’objets

Dans la page Types d’objets, sélectionnez les types d’objets à importer. Vous devez sélectionner au moins l’objet Utilisateur.

Sélectionner les attributs

Dans l’écran Sélectionner des attributs, sélectionnez les attributs à partir d’Azure AD qui sont nécessaires à la gestion des utilisateurs B2B dans AD. L’attribut « ID » est obligatoire. Les attributs userPrincipalName et userType seront utilisés plus tard dans cette configuration. Les autres attributs sont facultatifs, notamment :

  • displayName

  • mail

  • givenName

  • surname

  • userPrincipalName

  • userType

Configurer les ancres

Dans l’écran Configurer l’ancre, la configuration de l’attribut d’ancre constitue une étape obligatoire. Par défaut, utilisez l’attribut ID pour le mappage d’utilisateur.

Configurer le filtre de connecteur

Dans la page Configurer le filtre du connecteur, MIM vous permet d’exclure des objets en fonction d’un filtre d’attribut. Dans ce scénario pour B2B, l’objectif est d’amener uniquement les utilisateurs ayant la valeur de l' userType attribut égal à Guest , et non les utilisateurs avec le usertype égal à member .

Configurer les règles de jointure et de projection

Ce guide suppose que vous allez créer une règle de synchronisation. La configuration des règles de jointure et de projection est gérée par la règle de synchronisation. Il n’est donc pas nécessaire d’identifier une jointure et une projection dans le connecteur. Laissez la valeur par défaut et cliquez sur OK.

Configurer le flux de valeur d’attribut

Ce guide suppose que vous allez créer une règle de synchronisation. Pour la projection, il n’est pas nécessaire de définir le flux de valeur d’attribut dans MIM Sync, puisqu’il est géré par la règle de synchronisation que vous allez créer plus tard. Laissez la valeur par défaut et cliquez sur OK.

Configurer le déprovisionnement

Le paramètre de configuration du déprovisionnement permet de configurer la synchronisation MIM en vue de supprimer l’objet, si l’objet métaverse est supprimé. Dans ce scénario, nous en faisons des déconnecteurs, car l’objectif est de les garder dans Azure AD. Dans ce scénario, nous n’exportons rien vers Azure AD, et le connecteur est configuré uniquement pour l’importation.

Configurer les extensions

La configuration des extensions de cet agent de gestion est facultative puisque nous utilisons une règle de synchronisation. Si nous avions décidé d’utiliser une règle avancée dans le flux de valeur d’attribut, nous aurions dû définir l’extension des règles.

Extension du schéma de métaverse

Avant de créer la règle de synchronisation, nous avons besoin de créer un attribut appelé userPrincipalName lié à l’objet de la personne à l’aide du concepteur de métaverse.

Dans le client de synchronisation, sélectionnez le concepteur de métaverse.

Ensuite, sélectionnez le type d’objet Personne.

Ensuite, sous Actions, cliquez sur Ajouter un attribut.

Enfin, renseignez les informations suivantes :

Nom d’attribut : userPrincipalName

Type d’attribut : Chaîne (indexable)

Indexé = Vrai

Création de règles de synchronisation du service MIM

Dans les étapes ci-dessous, nous commençons le mappage du compte invité B2B et du flux de valeur d’attribut. Nous partons du principe que vous avez déjà configuré l’agent de gestion Active Directory, et que l’agent de gestion FIM est configuré pour importer les utilisateurs dans le service et le portail MIM.

Les étapes suivantes nécessitent l’ajout d’une configuration minimale à l’agent de fusion FIM et à l’agent de configuration AD.

Vous trouverez plus d’informations ici pour la configuration https://technet.microsoft.com/library/ff686263(v=ws.10).aspx - Guide pratique pour provisionner des utilisateurs dans AD DS

Règle de synchronisation : Importer un utilisateur invité dans le service de synchronisation de métaverse depuis Azure Active Directory

Accédez au portail MIM, sélectionnez Règles de synchronisation, puis cliquez sur Nouveau. Créer une règle de synchronisation de trafic entrant pour le flux B2B via le connecteur Graph.

Dans l’étape relative aux critères de relation, veillez à sélectionner « Créer une ressource dans FIM ».

Configurez les règles de flux de valeur d’attribut entrant ci-dessous. Veillez à remplir les accountNameuserPrincipalName attributs, et, uid car ils seront utilisés ultérieurement dans ce scénario :

Flux initial uniquement Utilisation en tant que test d’existence Flux (valeur source ⇒ attribut FIM)
[displayName⇒displayName](javascript:void(0);)
[Left(id,20)⇒accountName](javascript:void(0);)
[id⇒uid](javascript:void(0);)
[userType⇒employeeType](javascript:void(0);)
[givenName⇒givenName](javascript:void(0);)
[surname⇒sn](javascript:void(0);)
[userPrincipalName⇒userPrincipalName](javascript:void(0);)
[id⇒cn](javascript:void(0);)
[mail⇒mail](javascript:void(0);)
[mobilePhone⇒mobilePhone](javascript:void(0);)

Règle de synchronisation : Créer le compte d’utilisateur invité dans Active Directory

Cette règle de synchronisation crée l’utilisateur dans Active Directory. Le flux pour dn doit placer l’utilisateur dans l’unité d’organisation qui a été exclue d’Azure AD Connect. Mettez à jour le flux pour unicodePwd de manière à respecter votre stratégie de mot de passe AD. L’utilisateur n’aura pas besoin de connaître le mot de passe. Notez que la valeur de 262656 pour userAccountControl encode les indicateurs SMARTCARD_REQUIRED et NORMAL_ACCOUNT.

Règles de flux :

Flux initial uniquement Utilisation en tant que test d’existence Flux (valeur FIM ⇒ attribut de destination)
accountName ⇒ sAMAccountName
givenName ⇒ givenName
courrier électronique ⇒
sn ⇒ sn
userPrincipalName ⇒ userPrincipalName
O "CN =" + UID + ", OU = B2BGuest, DC = contoso, DC = com" ⇒ DN
O RandomNum (0999) + userPrincipalName ⇒ unicodePwd
O 262656 ⇒ userAccountControl

Règle de synchronisation facultative : Importer le SID des objets de l’utilisateur invité B2B pour autoriser la connexion à MIM

Cette règle de synchronisation du trafic entrant importe l’attribut SID de l’utilisateur Active Directory dans MIM, afin que l’utilisateur puisse accéder au portail MIM. Le portail MIM exige que l’utilisateur ait renseigné les attributs samAccountName, domain et objectSid dans la base de données du service MIM.

Configurez le système externe source en tant que ADMA, car l’attribut objectSid est défini automatiquement par AD lorsque MIM crée l’utilisateur.

Notez que si vous configurez des utilisateurs à créer dans le service MIM, vous devez vérifier qu’ils ne font pas partie d’un ensemble destiné aux règles de stratégie de gestion SSPR des employés. Vous devrez peut-être modifier vos définitions d’ensemble d’utilisateurs pour exclure les utilisateurs qui ont été créés par le flux B2B.

Flux initial uniquement Utilisation en tant que test d’existence Flux (valeur source ⇒ attribut FIM)
sAMAccountName ⇒ accountName
Domaine ⇒ « CONTOSO »
objectSid ⇒ objectSid

Exécuter les règles de synchronisation

Enfin, nous invitons l’utilisateur, puis nous exécutons les règles de synchronisation de l’agent de gestion dans l’ordre suivant :

  • Importation et synchronisation complètes sur l’agent de gestion MIMMA. Ainsi, vous êtes sûr que les règles de synchronisation les plus récentes sont configurées dans MIM Sync.

  • Importation et synchronisation complètes sur l’agent de gestion ADMA. Cela garantit la cohérence entre MIM et Active Directory. À ce stade, il n’y a pas encore d’exportations d’invités en attente.

  • Importation et synchronisation complètes dans l’agent de gestion Graph B2B. Cela importe les utilisateurs invités dans le métaverse. À ce stade, un ou plusieurs comptes sont en attente d’exportation pour ADMA. Si aucune exportation n’est en attente, vérifiez que les utilisateurs invités ont été importés dans l’espace connecteur, et que les règles ont été configurées de manière à être appliquées aux comptes Active Directory.

  • Exportation, importation différentielle et synchronisation dans l’agent de gestion ADMA. Si l’exportation échoue, vérifiez la configuration des règles, puis vérifiez si des spécifications de schéma sont manquantes.

  • Exportation, importation différentielle et synchronisation dans l’agent de gestion MIMMA. Lorsque cette opération est terminée, il ne doit plus y avoir d’exportations en attente.

Facultatif : Proxy d’application pour les invités B2B se connectant au portail MIM

À présent, nous avons créé les règles de synchronisation dans MIM. Dans la configuration du proxy d’application, définissez l’utilisation du principal de cloud pour autoriser KCD sur le proxy d’application. De plus, ajoutez l’utilisateur manuellement aux utilisateurs et groupes gérés. Les options permettant de ne pas montrer l’utilisateur tant que sa création ne s’est pas produite dans MIM pour ajouter l’invité à un groupe Office une fois qu’il est provisionné exigent une configuration plus avancée qui n’est pas décrite dans ce document.

Une fois tout ceci configuré, demandez à l’utilisateur B2B de se connecter pour voir l’application.

Étapes suivantes

How Do I Provision Users to AD DS

Functions Reference for FIM 2010

Guide pratique pour fournir un accès à distance sécurisé aux applications locales

Télécharger le connecteur Microsoft Identity Manager pour Microsoft Graph