Voici les différentes étapes à suivre dans Paradigm afin de configurer le provisionnement automatique des utilisateurs dans Paradigm à partir de Microsoft Entra ID (anciennement Azure Active Directory).
Côté Paradigm
- Activez la fonctionnalité SCIM par instance : Mettre la clé de configuration
SCIM_INSTANCE_ACTIVATIONàTrue - Avoir un utilisateur ayant les permissions de gérer les utilisateurs dans l'entreprise souhaitée
- Créer une clé API liée à cet utilisateur
Côté Microsoft
- Depuis l'interface Microsoft Admin, allez dans la zone d'administration des identités (Entra ID).
- Créez une nouvelle application dans le site d'administration des identités
- Sélectionnez
Créer votre propre application, donnez le nom que vous voulez et sélectionnez la troisième optionIntégrer toute autre application que vous ne trouvez pas dans la galerie (Non-gallery)et cliquez surCréer.
- Une fois l'application créée, cliquez sur
Provisioning
- Cliquez sur
+ Nouvelle configuration
- Configurer le provisionnement pour utiliser l'instance Paradigm souhaitée :
- URL du Tenant :
Elle doit suivre le modèlehttps://<paradigm_domain_name>/scim/v2/?aadOptscim062020.
La partie<paradigm_domain_name>doit être remplacée parparadigm.lighton.aipour utiliser la solution SaaS de LightOn ou par le nom de domaine du client pour les solutions sur site.
- URL du Tenant :
⚠️ Le flag ?aadOptscim062020 est actuellement nécessaire pour corriger des bogues du côté de Microsoft. Microsoft travaille activement à la mise en œuvre des modifications de comportement correspondantes dans le comportement par défaut.
-
Jeton secret: Mettez la clé API Paradigm créée dans ce champ.- Cliquez sur
Tester la connexionpour vérifier que l'instance Paradigm est accessible et que la fonction SCIM est disponible/activée. - Cliquez sur
Créerune fois que le test est réussi
- Accédez à la zone
Utilisateurs et groupesafin d'affecter des utilisateurs ou un groupe d'utilisateurs à l'application.
- Allez dans la zone de
Mappage des attributset réglez l'optionProvision des Groupes Microsoft Entra IDsurNon(désactivé).
💡 Le mapping des groupes n'est actuellement pas pris en charge dans Paradigm. Le provisionnement ne peut être utilisé que pour gérer les utilisateurs et non les groupes dont ils font partie, donc dans notre cas le groupe d'utilisateurs autorisés LightOn Paradigm ne sera pas créé dans Paradigm. La requête sera refusée si Microsoft Entra ID essaie.
- Dans la zone
Attribute mapping, vérifiez ce qui est utilisé pour l'attributemails[type eq « work »].value, nous conseillons d'utiliseruserPrincipalNamepour éviter d'oublier de remplir le champ mail microsoft lors de la création d'un utilisateur (utilisé par défaut pour le SCIM dans Entra ID).
Vous pouvez trouver la configuration suggérée des attributs pour les utilisateurs dans l'image ci-dessous
- Retournez à la vue d'ensemble et cliquez sur
Démarrer le provisionnement.
Comportement attendu avec cette configuration
Voici un tableau résumant les comportements attendus dans Paradigm suite à une action dans Microsoft Entra ID :
| Action Microsoft Entra ID | Comportement Paradigm |
| créer un nouvel utilisateur et l'assigner au groupe assigné à Paradigm | créer le compte associé dans Paradigm |
| modifier une information sur l'utilisateur dans Microsoft Entra ID | le changement sera transmis à Paradigm s'il touche à un attribut utilisé par Paradigm |
| supprimer un utilisateur du panneau d'administration Entra ID | cela désactivera l'utilisateur dans Paradigm ainsi que la modification du nom d'utilisateur et de l'email à restaurer si nécessaire |
| supprimer définitivement un utilisateur du panneau d'administration Entra ID | l'utilisateur sera désactivé et rendu anonyme dans Paradigm. |