L’intégration SCIM avec Microsoft Entra vous permet de gérer les utilisateurs, lecteurs et groupes de Document360 directement depuis Entra, de manière automatisée et centralisée.
Lorsqu’un nouvel utilisateur est ajouté dans Entra, son compte Document360 est automatiquement provisionné. Toute mise à jour de son rôle ou de son appartenance au groupe est synchronisée en temps réel, et lorsqu’un utilisateur est désactivé ou supprimé dans Entra, cela se reflète dans Document360 sans intervention manuelle. Cela élimine le besoin de gestion de compte séparée dans Document360 et garantit que les données utilisateur restent exactes et à jour sur les deux plateformes.
Pourquoi gérer les utilisateurs et les lecteurs via SCIM
Gérer manuellement les utilisateurs sur plusieurs plateformes prend du temps et crée des risques. Sans SCIM, les administrateurs doivent penser à ajouter séparément de nouveaux employés à Document360 et révoquer manuellement l’accès lorsqu’un départ est parti. Des erreurs peuvent entraîner un accès non autorisé ou un retard d’intégration.
Avec SCIM activé entre Microsoft Entra et Document360 :
- Les nouveaux employés sont automatiquement provisionnés sur Document360 lorsqu’ils sont ajoutés dans Entra — aucune configuration séparée n’est nécessaire.
- Les attributions de rôles sont cohérentes et contrôlées par une seule source de vérité dans votre IDP.
- Lorsqu’un utilisateur est supprimé dans Entra, son accès à Document360 est automatiquement révoqué.
- Les changements d’appartenance au groupe sur Entra sont pris en compte dans Document360.
- L’accès au contenu reste gérable depuis Document360 même lorsque l’identité est contrôlée par Entra.
Avant que tu commences
Le provisionnement SCIM dans Document360 est configuré dans votre configuration SSO. Assurez-vous que les éléments suivants sont remplis avant de procéder :
- Votre application Microsoft Entra doit être créée en tant qu’application non-galerie en utilisant : Nouvelle application > Créez votre propre application > Intégrez toute autre application que vous ne trouvez pas dans la galerie. Si vous utilisez une application Gallery, le provisionnement SCIM ne sera pas disponible.
- Le SSO SAML doit être entièrement configuré et fonctionner entre Microsoft Entra et Document360.
- Le provisionnement SCIM doit être activé dans Document360. Naviguez dans Paramètres () > Utilisateurs & permissions > Configuration SSO, ouvrez votre configuration SSO et confirmez que le bouton Activer le provisionnement SCIM est activé.
Configurez le SAML avec Entra →
Le provisionnement SCIM avec Microsoft Entra n’est pris en charge que via SAML. OpenID Connect avec Entra ne prend pas en charge le provisionnement SCIM dans Document360.
Commencez à provisionner
Pour commencer à provisionner dans Entra, assurez-vous d’avoir déjà créé et intégré SCIM avec Entra. Une fois terminé :
- Accédez à votre application SCIM sur Entra et cliquez sur Démarrer le provisionnement.
- Dans la boîte de confirmation, cliquez sur Oui.
Avec SCIM, vous pouvez gérer les lecteurs, utilisateurs et groupes, et toute modification effectuée sera automatiquement synchronisée avec Document360.
Assignation de correspondance
Pour créer un nouveau mappage d’attributs pour la condition de rôle utilisateur :
- Ouvrez l’onglet de l’application Enterprise et sélectionnez votre application SCIM SSO.
- Naviguez jusqu’à l’onglet Provisionnement , puis sélectionnez Correspondance (Aperçu) dans le menu de gauche et cliquez sur Provisionner Microsoft Entra ID Utilisateurs.
- Faites défiler jusqu’à la section Correspondance des attributs, sélectionnez la case Afficher les options avancées puis cliquez sur Modifier la liste des attributs pour personnaliser les applications afin de continuer.
- Sur la page de liste d’attributs Modifier , faites défiler vers le bas, entrez le paramètre URL dans le champ Nom , et définissez le Type sur Booléen à partir du menu déroulant, comme indiqué ci-dessous.
| Nom | Type |
|---|---|
| urn :ietf :params :scim :schemas :extension :document360:2.0 :User :isTeamAccount | Booléen |
Assurez-vous qu’il n’y a pas d’espaces blancs lors de la saisie du paramètre URL dans le champ Nom .
- Cliquez sur Enregistrer, puis sur Oui dans la boîte de confirmation.
Utilisez Expression Builder pour mapper les rôles
Vous pouvez configurer une expression de correspondance d’attributs dans Entra qui évalue l’attribut de profil existant de chaque utilisateur, comme le titre du poste, et détermine automatiquement s’il doit être provisionné en tant qu’utilisateur ou lecteur dans Document360.
L’expression correspond directement à l’attribut isTeamAccount :
isTeamAccount = True→ provisionné en tant qu’utilisateurisTeamAccount = False→ fourni en tant que lecteur
Étapes à configurer :
- Ouvrez votre application SCIM SSO dans Entra et naviguez dans Provisionnement > Correspondance d’attributs.
- Localisez l’attribut
isTeamAccountet cliquez sur l’icône Modifier à côté. Cela mènera à la page Modifier l’attribut . - Réglez le type de mappage sur Expression.
- Entrez votre expression dans le champ d’expression. L’expression évalue l’attribut du profil de chaque utilisateur et détermine s’il doit être provisionné en tant qu’Utilisateur ou Lecteur. Consultez le lien Utilisez le constructeur d’expressions sous le champ d’expression pour construire visuellement et tester votre expression contre un utilisateur réel dans votre répertoire avant de l’appliquer.
Pour plus d’informations sur la création et le test d’expressions dans Entra, consultez la documentation Expression Builder de Microsoft.
- Réglez la valeur par défaut si nulle (optionnelle) sur Faux. Cela garantit que tout utilisateur sans valeur d’attribut correspondante est provisionné comme Lecteur par défaut.
- Cliquez sur Ok pour enregistrer l’attribut.
Exemple
Si vos utilisateurs ont un attribut Titre de poste dans leur profil Entra, vous pouvez attribuer des rôles en fonction de leur titre :
Switch([jobTitle], "False", "Manager", "True", "Senior Manager", "True", "Team Lead", "True")
Les utilisateurs portant les titres Manager, Senior Manager ou Team Lead sont désignés comme Utilisateurs. Tout autre titre de poste retourne False et l’utilisateur est provisionné en tant que lecteur.
Créez des utilisateurs, des lecteurs et des groupes
Créer un utilisateur
- Dépliez le menu déroulant Entra ID dans la barre de navigation de gauche et cliquez sur Utilisateurs.
- Cliquez sur Nouvel utilisateur > Créer un nouvel utilisateur et remplissez les informations requises.
- Cliquez sur Créer + révision, puis sur Créer pour finaliser et créer l’utilisateur.
Une fois l’utilisateur créé et provisionné, Document360 détermine automatiquement son rôle en fonction de l’expression configurée dans le Constructeur d’Expressions et le fournit en conséquence en tant qu’Utilisateur.
Assigner l’utilisateur à l’application
- Cliquez sur applications Enterprise dans la barre de navigation de gauche et localisez votre application SCIM SSO.
- Sélectionnez l’application et allez dans l’onglet Utilisateurs et groupes , puis cliquez sur Ajouter utilisateur/groupe.
- Sur la page Ajouter des attributions , cliquez sur Utilisateurs et groupes, recherchez l’utilisateur dans la barre de recherche, puis cliquez sur Sélectionner > Assigner. L’utilisateur a été affecté avec succès à l’application.
- Pour pousser l’utilisateur vers Document360, allez dans l’onglet Provisionnement dans le menu de gauche et cliquez sur Provisionnement à la commande.
- Dans la barre de recherche Utilisateur sélectionné , recherchez et sélectionnez l’utilisateur, puis cliquez sur Provision.
L’utilisateur sera automatiquement ajouté à Document360. Pour vérifier, allez sur Document360 et allez dans Paramètres () > Utilisateurs et permissions > Lecteurs & groupes.
Créez un lecteur
- Dépliez le menu déroulant Entra ID dans la barre de navigation de gauche et cliquez sur Utilisateurs.
- Cliquez sur Nouvel utilisateur > Créer un nouvel utilisateur et remplissez les informations utilisateur requises.
- Cliquez sur Créer + révision, puis cliquez sur Créer pour finaliser et créer le lecteur.
Une fois l’utilisateur créé et provisionné, Document360 détermine automatiquement son rôle en fonction de l’expression configurée dans le Constructeur d’Expressions et le fournit en conséquence en tant que Lecteur.
Assigner lecteur à l’application
- Cliquez sur applications Enterprise dans la barre de navigation de gauche et localisez votre application SCIM SSO.
- Sélectionnez l’application et allez dans l’onglet Utilisateurs et groupes , puis cliquez sur Ajouter utilisateur/groupe.
- Sur la page Ajouter des attributions , cliquez sur Utilisateurs et groupes, recherchez l’utilisateur dans la barre de recherche, puis cliquez sur Sélectionner > Assigner. L’utilisateur a été affecté avec succès à l’application.
- Pour pousser le lecteur vers Document360, allez dans l’onglet Provisionnement dans le menu de gauche et cliquez sur Provisionnement à la demande.
- Dans la barre de recherche Utilisateur sélectionné , recherchez et sélectionnez l’utilisateur, puis cliquez sur Provision.
- Le lecteur sera automatiquement ajouté à Document360. Pour vérifier, allez sur Document360 et allez dans Paramètres () > Utilisateurs et permissions > Lecteurs & groupes.
Créer un groupe
- Ouvrez l’onglet Groupes dans le menu de gauche et cliquez sur Nouveau groupe.
- Remplissez les informations requises et cliquez sur Créer.
Assigner le groupe à l’application
- Naviguez dans les applications Enterprise et sélectionnez votre application SCIM SSO.
- Ouvrez l’onglet Utilisateurs et groupes , cliquez sur Ajouter utilisateur/groupe, puis cliquez sur Aucun sélectionné sous Utilisateurs et groupes et recherchez le nom du groupe.
- Sélectionnez le groupe et cliquez sur Assigner.
Pour fournir le groupe à Document360 :
- Naviguez dans l’onglet Provisionnement à la demande , recherchez le nom du groupe, puis cliquez sur Provision.
- Vous pouvez sélectionner le nombre d’utilisateurs ou de membres du groupe en sélectionnant les boutons radio.
- Le groupe sera ajouté avec succès à Document360. Pour vérifier, allez sur Document360 et allez dans Paramètres () > Utilisateurs et permissions > Lecteurs & groupes >onglet Groupe de lecteurs .
Gérer l’accès au contenu pour les utilisateurs, lecteurs et groupes
Dans Document360, les noms d’utilisateurs et de groupes ne peuvent pas être modifiés ou supprimés directement — ces actions doivent être gérées depuis Entra. Cependant, vous pouvez toujours gérer les rôles, les permissions et l’accès au contenu dans Document360.
- Sélectionnez l’utilisateur désiré et cliquez sur Gérer l’accès au contenu.
- Dans la boîte de dialogue, utilisez les menus déroulants pour sélectionner l’accès au contenu souhaité.
- Si besoin, vous pouvez aussi gérer les affectations de groupe et ajouter l’utilisateur à un groupe souhaité.
- Cliquez sur Mettre à jour pour confirmer et enregistrer les modifications.
Mettre à jour un utilisateur, un lecteur ou un groupe
Pour modifier un nom d’utilisateur ou de groupe :
- Dans la barre de navigation de gauche, cliquez sur Utilisateurs et recherchez l’utilisateur dans la barre de recherche, puis cliquez sur Sélectionner.
- Sur la page d’aperçu de l’utilisateur, ouvrez l’onglet Propriétés et cliquez sur l’icône Modifier pour effectuer les modifications nécessaires.
- Une fois les modifications effectuées, cliquez sur Enregistrer.
- Pour refléter ces changements dans Document360, naviguez vers les applications Enterprise > SCIM SSO > Provisioning > Provisioning on Demand.
- Sélectionnez l’utilisateur mis à jour dans la page Provisionnement à la demande , puis cliquez sur Provision.
Les informations utilisateur mises à jour seront désormais reflétées dans Document360.
Supprimer un utilisateur, un lecteur ou un groupe
Pour supprimer un utilisateur, un lecteur ou un groupe :
- Ouvrez l’onglet Utilisateurs dans le menu de gauche, puis recherchez et sélectionnez l’utilisateur désiré.
- Cliquez sur Supprimer.
L’utilisateur est supprimé avec succès. Ce changement sera reflété dans Document360.
Supprimer un utilisateur dans Entra ne supprime pas le profil utilisateur de Document360. À la place, le statut de l’utilisateur passera de Actif à Inactif.
Héritage d’une autre application
Lors de la création d’une nouvelle configuration SSO dans Document360, vous pouvez hériter des paramètres SCIM d’une connexion SSO existante. Cette approche simplifie le processus de configuration, évite la répétition des étapes de configuration et aide les administrateurs à gagner du temps tout en assurant la cohérence entre les intégrations.
Configuration SSO héritée par enfant
Sur la page Configurer le fournisseur d’identité (IdP ), sélectionnez le champ Configurer une connexion existante et sélectionnez l’application parent compatible SCIM SSO dont vous souhaitez hériter. Sélectionner cette option désigne le projet en cours comme projet enfant, héritant de toutes les propriétés pertinentes du parent concerné.
Une fois la configuration SSO créée, les paramètres de provisionnement SCIM seront hérités de l’application mère et ne pourront pas être modifiés dans l’application fille.
Configuration SSO héritée par le parent
L’application mère affichera une liste de tous les projets ayant hérité de sa configuration. Toute modification apportée à l’application mère sera automatiquement reflétée dans l’application enfant.
- Si SCIM est activé dans le projet parent après que les projets enfants l’ont déjà hérité, les utilisateurs et groupes seront automatiquement provisionnés sur tous les projets enfants en arrière-plan.
- Activer l’héritage facilite la gestion de plusieurs configurations SSO avec SCIM activé, car tous les paramètres sont contrôlés depuis une application parente. Cela permet de gagner du temps et réduit l’effort nécessaire pour gérer chaque configuration individuellement.
Meilleures pratiques
- Utilisez toujours une application hors galerie dans Entra. Les applications de galerie ne prennent pas en charge le provisionnement SCIM personnalisé. Sélectionnez toujours Créer votre propre application et choisissez Intégrer toute autre application que vous ne trouvez pas dans la galerie lors de la création de votre application Entra.
- Toujours au
isTeamAccountniveau utilisateur, pas au niveau du groupe. Les utilisateurs appartenant à plusieurs groupes avec des valeurs conflictuelles peuvent recevoir des rôles incorrects dans Document360. Le définir au niveau utilisateur garantit que chaque utilisateur dispose d’une valeur claire et cohérente. - Réglez la valeur par défaut sur
isTeamAccountFaux. Cela garantit que tout utilisateur sans valeur d’attribut correspondante est provisionné comme Lecteur par défaut, plutôt que d’échouer ou de recevoir un rôle non désiré. - Terminez et enregistrez la configuration SSO de Document360 avant de tester la connexion SCIM. Les tests avant que la configuration Document360 ne soit sauvegardée échoueront toujours. Terminez toujours d’abord la configuration de Document360, puis retournez sur Entra pour tester la connexion.
- Stockez vos jetons secrets principaux et secondaires en toute sécurité. Les jetons ne sont affichés qu’une seule fois au moment de la création. Conservez-les dans un gestionnaire de secrets ou un coffre-fort de mots de passe. Si un jeton est compromis, régénérez-le immédiatement et mettez à jour votre configuration Entra sans délai.
- Utilisez le jeton secondaire pour une rotation sécurisée. Si le jeton principal doit être remplacé, il faut d’abord passer Entra au jeton secondaire, puis régénérer le jeton principal. Cela garantit que le provisionnement utilisateur se poursuit sans interruption pendant la transition.
- Utilisez toujours Provision à la demande pour promouvoir les utilisateurs et groupes individuels. Cela vous donne un contrôle précis sur les utilisateurs qui sont provisionnés et vous permet de vérifier chacun avant une synchronisation complète.
- Supprimer un utilisateur dans Entra ne le retire pas de Document360. Leur statut passe à Inactif dans Document360. Réactivez le compte sur Entra si l’accès doit être rétabli.