Provisionning des Comptes Utilisateurs - SCIM x Entra ID

Modifié le Mer, 11 Juin à 10:34 H

❓ Qu'est-ce que SCIM et pourquoi l'utiliser ?

SCIM (System for Cross-domain Identity Management) est une norme ouverte REST (SCIM 2.0, RFC 7642/7643/7644) visant à automatiser le provisioning et le déprovisioning d’utilisateurs et de groupes entre domaines d’identité (ex. HCM → Entra ID → applications).
Il simplifie la gestion du cycle de vie des identités en standardisant les points de terminaison (/Users, /Groups) et les schémas de données, réduisant ainsi les besoins en intégrations spécifiques.

HCM (Human Capital Management) ou autres sources
- Référentiel principal pour les données utilisateurs et groupes.
Service de provisioning Microsoft Entra
- Service cloud chargé d’émettre les requêtes SCIM vers les points de terminaison cibles.
Point de terminaison SCIM 2.0 (votre application ou service)
- Expose les points de terminaison /Users et /Groups via une API REST conforme au schéma SCIM.
- Doit gérer les opérations de création, mise à jour, suppression, ainsi que le filtrage et la pagination.
Agent Entra Connect Cloud Sync (optionnel en environnement hybride)
- Agent on-premises qui intercepte les requêtes de provisioning.
- Interroge Active Directory, applique des filtres/scopes, et transmet les données à Entra via SCIM.
Service Bus (en scénarios hybrides)
- Fait le lien entre le service de provisioning et l’agent Cloud Sync.

Actions côté source
- Création, mise à jour ou suppression d’un utilisateur/groupe dans le HCM ou AD local.
Déclencheur de provisioning
- Le service de provisioning Entra détecte les changements et génère des requêtes SCIM.
Traitement par agent (hybride)
- L’agent Cloud Sync récupère la file d’attente, filtre, construit les payloads SCIM et les envoie à Entra ID.
Opérations SCIM
- Appels POST/PUT/PATCH/DELETE effectués avec le schéma SCIM requis.
Traitement des résultats
- Entra applique les résultats de provisioning au répertoire ou à l’application cible.

Se familiariser avec les exigences d’Entra (endpoints supportés, pagination, formats d’erreur, etc.).

Implémentable dans toute stack technique. Exemples disponibles en .NET Core.
Doit respecter SCIM 2.0 : JSON, verbes HTTP standard, pagination, filtrage, champs de métadonnées.

Depuis le portail Azure → Entra ID → Applications d’entreprise → Sélection de l’app SCIM-compatible.
Onglet Provisioning:
- Activer le mode Automatique
- Fournir l’URL SCIM + token d’authentification.
- Mapper les attributs et activer les actions (créer, mettre à jour, supprimer).

Tester avec des groupes/utilisateurs fictifs.
Surveiller les journaux :
- Logs agent Cloud Sync
- Logs du point SCIM côté app
- Azure Portal → Blade Logs du provisioning

Pagination & Filtrage : gérer startIndex, count, filter.
Schémas personnalisés : inclure les extensions nécessaires au schéma entreprise.
Sécurité des tokens : garder secrets et les renouveler régulièrement.
Scopes : limiter la synchronisation par rôle ou groupe.
Gestion des erreurs : renvoyer des erreurs SCIM lisibles et exploitables.
Traçabilité : utiliser les IDs de requête SCIM dans les logs.

L’agent Cloud Sync fait le pont entre AD local et Entra via Service Bus :
1. Service de provisioning → requête SCIM → Service Bus
2. Agent reçoit la requête, interroge AD, filtre, renvoie la réponse SCIM
3. Entra applique les changements au point de terminaison cible

Standardisation : plus besoin de connecteurs propriétaires.
Automatisation : onboarding/offboarding aligné sur les événements métier.
Scalabilité : adapté aux grandes structures via filtres et agents personnalisés.

Phase	Actions
Conception du schéma	Mapper les attributs SCIM principaux et entreprise
Développement du point SCIM	Implémenter une API REST/JSON conforme
Configuration Entra	Connexion, mapping, tokens et actions
Sync AD local (optionnel)	Configurer agent, filtres intelligents
Tests & Monitoring	Valider les flux, vérifier logs et résultats