SCIM entrant pour les nouvelles connexions Microsoft Entra ID

Before you start

Assurez-vous que votre locataire Auth0 est connecté à Azure AD à l’aide d’une connexion de type Microsoft Azure AD.

Cette intégration nécessitera l’enregistrement de deux applications dans Azure AD : l’intégration OpenID Connect et l’intégration SCIM. Pour simplifier ce processus de configuration pour vos clients, envisagez de publier votre application dans la galerie d’applications Azure Active Directory.

Auth0 peut être intégré à Microsoft Entra ID avec le type de connexion Microsoft Entra ID, qui utilise le protocole OpenID Connect (OIDC) pour l’authentification des utilisateurs. Ces instructions concernent les nouvelles connexions Microsoft Entra ID; pour les anciennes connexions utilisant des identifiants d’utilisateur par paire (sub), voir Anciennes connexions.

Configurer les paramètres SCIM dans Auth0

  1. Lancez Auth0 Dashboard, allez à Authentification > Entreprise > Microsoft Entra ID > [votre-connexion] > Paramètres.

  2. Assurez-vous que Type d’attribut d’identifiant utilisateur est défini sur Identifiant d’objet utilisateur (oid) et que Utiliser un point de terminaison communest Désactivé.

  3. Sélectionnez l’onglet Provisioning (Fourniture) et désactivez Synchroniser les attributs du profil utilisateur à chaque connexion à moins que vous ne souhaitiez synchroniser des attributs supplémentaires à la connexion.

  4. Dans la même section, activez Synchroniser les profils utilisateurs à l’aide du SCIM.

  5. Sous l’onglet Mappage, assurez-vous que l’attributSCIM contenant le paramètre ID utilisateur est défini sur externalId.

  6. Examinez les Mappages supplémentaires pour vous assurer que les attributs SCIM étendus sont mis en correspondance avec vos attributs Auth0 préférés. Voir Mise en correspondance des attributs pour plus de détails.

Récupérer l’URL du point de terminaison SCIM et le jeton

Cette section utilise Auth0 Dashboard, mais ces étapes peuvent également être gérées avec Management API. Consultez la section Conseils de déploiement pour connaître les meilleures pratiques.

  1. Dans Auth0 Dashboard, naviguez jusqu’à l’onglet SCIM Configuration, puis copiez l'URL du point de terminaison SCIMet collez-la dans un endroit sûr.

  2. Générez le jeton SCIM en cliquant sur Générer un nouveau jeton et définissez une date d’expiration pour le jeton si vous le souhaitez.

  3. Sélectionnez les permissions que vous souhaitez autoriser. Les permissions par défaut requises par Microsoft Entra ID sont get:users, post:users, patch:users et delete:users.

Configurer le SCIM dans Microsoft Entra ID pour les applications OIDC

  1. Confirmez qu’une application OpenID Connect a déjà été enregistrée pour gérer l’authentification des utilisateurs dans la section Microsoft Entra ID > Inscriptions à l’applicationdu portail Azure.

  2. Confirmez que votre application OpenID Connect a Attribution requise définie sur Oui dans la section Microsoft Entra ID > Applications d’entreprise > [your-oidc-app] > Gestion > Propriétés et que des utilisateurs ont été attribués dans l’onglet Utilisateurs et groupes.

  3. Ensuite, enregistrez une nouvelle application Sans galerie dans le portail Azure en naviguant vers Microsoft Entra ID > Applications d’entreprise > New Nouvelle application > Créer votre propre application , en saisissant un nom d’application, et en sélectionnant Créer.

  4. Rendez-vous dans l’onglet Utilisateurs et groupes et attribuez les mêmes utilisateurs et groupes Microsoft Entra ID que ceux attribués à l’application OpenID Connect enregistrée.

  5. Sélectionnez l’onglet Fourniture, sélectionnez Démarrer, et choisissez Automatique comme Mode de fourniture.

  6. Sélectionnez Identifiants de l’administrateur, puis saisissez la valeur URL du point de terminaison SCIM que vous avez enregistrée précédemment en tant que URL du locataire. À la fin de l’URL, ajoutez le paramètre de requête ?aadOptscim062020 pour résoudre les problèmes Microsoft Entra ID connus décrits ici.

  7. Collez la valeur du jeton dans le champ Secret du jeton et sélectionnez Enregistrer.

  8. Allez sur Mappageset sélectionnez Fourniture des utilisateurs Microsoft Entra ID, puis allez sur Mappage des attributs et modifiez les attributs de la ligne contenant externalId et mailNickname.

  9. Dans l’écran Modifier l’attribut, changez Source de l’attribut en objectId puis cliquez sur OK.

  10. Retournez à Mappages d’attributs et sélectionnez la ligne contenant emails[type eq "work"].value et mail.

  11. Dans l’écran Modifier l’attribut, définissez Correspondance des objets utilisant cet attribut à Oui, puis définissez Priorité de correspondance sur 2et choisissez OK. L’écran de mappage d’attributs se présente comme suit lorsque vous continuez à utiliser la section Mappages d’attributspour configurer d’autres attributs SCIM :

SAML Azure Attribute Mapping

Enregistrez les mappages d’attributs, puis sélectionnez X dans le coin supérieur droit pour revenir à l’écran Fourniture.

Test

  1. Sur l’écran de présentation de l’application Enterprise, sélectionnez Gestion > Fourniture puis Provisionnement à la demande pour tester la connexion SCIM.

  2. Rendez-vous sur Sélectionner un utilisateur ou un groupe et saisissez le nom d’un utilisateur que vous avez attribué à l’application, puis sélectionnez l’utilisateur et choisissez Fourniture. Cela crée l’utilisateur dans le locataire Auth0.

  3. Fournissez tous les utilisateurs attribués en suivant les instructions pour définir le État de fourniture sur Activé.