SCIM

Partager

C’est article est-il utile?

Dernière mise à jour :

Configurer SCIM pour Microsoft Entra ID

Dans cet article, vous apprendrez comment configurer SCIM pour Microsoft Entra ID (anciennement Azure Active Directory). Configurer SCIM pour Microsoft Entra ID vous permettra d’ajouter et de gérer les utilisateurs et les groupes dans votre console KSAT avec Microsoft Entra ID.

Les instructions contenues dans cet article concernent un logiciel tiers. Si vous rencontrez des problèmes avec le provisionnement des utilisateurs dans Microsoft Entra ID, nous vous recommandons de contacter Microsoft Entra ID pour obtenir des instructions spécifiques. Vous pouvez également contacter notre équipe d’assistance équipe d’assistance (le lien s’ouvre dans une nouvelle fenêtre) et nous nous ferons un plaisir de vous aider.

Remarque :pour synchroniser les utilisateurs et les groupes avec SCIM, vous devez disposer d’un abonnement Microsoft Entra. Pour plus d’informations sur la synchronisation des utilisateurs et des groupes via Microsoft Entra, consultez l’article de Microsoft Gérer l’attribution des utilisateurs et des groupes à une application Gérer l’attribution des utilisateurs et des groupes à une application (le lien s’ouvre dans une nouvelle fenêtre).

Configurer SCIM

Dans cette section, vous apprendrez comment configurer vos paramètres SCIM avec Microsoft Entra. Veuillez noter que vous devriez configurer ces étapes après avoir configuré vos paramètres dans votre console KSAT. Pour plus d’informations sur la configuration SCIM dans votre console KSAT, consultez notre Guide de configuration SCIM.

Pour configurer vos paramètres SCIM avec Microsoft Entra, suivez les étapes ci-dessous :

  1. Connectez-vous à votre portail Azure à https://portal.azure.com/ https://portal.azure.com/ (le lien s’ouvre dans une nouvelle fenêtre).

  2. Cliquez sur le bouton Voir sous la tuile Gérer Microsoft Entra ID de la page d’accueil du portail Azure.

  3. Dans le menu déroulant + Ajouter, sélectionnez Application d’entreprise.

  4. Dans la barre de recherche de la Galerie Microsoft Entra, entrez « KnowBe4 » pour filtrer vos résultats.

  5. Cliquez sur la tuile Formation sur la sensibilisation à la sécurité de KnowBe4.

  6. Sélectionnez Créer dans la fenêtre contextuelle qui apparaît sur le côté droit de l’écran.

  7. Après avoir cliqué sur Créer, vous serez redirigé vers la page Aperçu de l’application que vous avez créée.

    1. Si vous n’êtes pas redirigé vers la page Aperçu, vous devrez ouvrir l’application à partir de la liste des Applications d’entreprise. Vous trouverez les applications d’entreprise en cliquant sur Tous les services dans le panneau le plus à gauche, sur Récents dans le menu en accordéon qui apparaît, puis sur Applications d’entreprise.

  8. Sélectionnez le lien Commencer dans la tuile Provisionnement des comptes d’utilisateurs sous l’en-tête Pour commencer.

  9. Sélectionnez + Nouvelle configuration.

  10. Vous devrez ensuite saisir les informations figurant sur la page des paramètres du compte. Pour plus d’informations sur l’endroit où trouver cette information, consultez notre Guide de configuration SCIM. Dans le champ URL du locataire., entrez l’URL du locataire. Dans le champ Jeton secret, entrez le Jeton SCIM.

    Important :Cette fonctionnalité n’est pas activée pour le provisionnement à la demande.

  11. Après avoir entré vos informations, cliquez sur le bouton Tester la connexion. Cliquer sur ce bouton permet de vous assurer que vous avez saisi la bonne information. Si la connexion réussit, une bannière de réussite s’affichera dans le coin supérieur droit de votre écran.

  12. Cliquez sur le bouton Enregistrer situé dans le haut de l’écran.

Définir les utilisateurs et les groupes à synchroniser à partir de Microsoft Entra

Remarque :Les instructions contenues dans cette section permettent de définir comment les utilisateurs et les groupes doivent être synchronisés. Si vous souhaitez synchroniser tous les utilisateurs et groupes dans Microsoft Entra, consultez la section Foire aux questions (FAQ) du présent article.

Après avoir suivi les instructions de la section Configurer SCIM ci-dessus, vous pouvez décider quels utilisateurs et groupes vous souhaitez synchroniser. Cette configuration est nécessaire pour synchroniser les utilisateurs et les groupes de votre fournisseur d’identité (IdP).

Important : Les groupes imbriqués ne sont actuellement pas pris en charge par le provisionnement SCIM et Microsoft Entra ID. Pour plus d’informations, consultez la section « Étendue » de l’article de Microsoft Comment fonctionne le provisionnement d’applications dans Microsoft Entra ID Comment fonctionne le provisionnement d’applications dans Microsoft Entra ID (le lien s’ouvre dans une nouvelle fenêtre).

Pour définir quels utilisateurs et groupes vous souhaitez synchroniser à partir de Microsoft Entra ID, suivez les étapes ci-dessous :

  1. Depuis votre Microsoft Entra ID, accédez à Applications d’entreprise.
  2. Sélectionnez l’application que vous avez créée pour votre connexion KnowBe4.

  3. Sélectionnez Attribuer des utilisateurs et des groupes dans la tuile Attribuer des utilisateurs et des groupes.

  4. Cliquez sur + Ajouter un utilisateur ou un groupe pour sélectionner les utilisateurs et les groupes que vous souhaitez synchroniser.

  5. Cliquez sur Aucune sélection pour rechercher des utilisateurs ou des groupes que vous souhaitez inclure dans votre synchronisation. Pour ajouter un utilisateur ou un groupe, cliquez sur son nom. Les utilisateurs et groupes ajoutés apparaîtront dans le panneau latéral intitulé Sélectionné(s).

    Remarque :Nous vous recommandons d’inclure seulement quelques utilisateurs lors de la configuration initiale de vos paramètres. Commencer avec quelques utilisateurs seulement vous permet de vous assurer que la connexion fonctionne correctement avant d’ajouter tous les utilisateurs et groupes que vous souhaitez inclure.

  6. Après avoir ajouté les utilisateurs et les groupes que vous souhaitez inclure dans la catégorie Sélectionné(s), cliquez sur Sélectionner.
  7. Cliquez sur Attribuer.

Les utilisateurs et les groupes que vous avez sélectionnés s’afficheront maintenant dans le tableau.

Démarrer la synchronisation

Après avoir configuré SCIM et ajouté les utilisateurs et les groupes que vous souhaitez synchroniser, vous devrez démarrer la synchronisation. Une fois la synchronisation lancée, le système vérifie automatiquement toutes les 40 minutes si des changements ont été apportés à vos utilisateurs et à vos groupes dans Microsoft Entra. Si des changements sont détectés, il déclenche une synchronisation.

Remarque :Si vous avez plus de plusieurs milliers d’utilisateurs dans votre application de provisionnement SCIM, il est probable que tous vos utilisateurs ne soient pas inclus dans la synchronisation initiale. Les utilisateurs seront plutôt synchronisés vers votre compte, par étapes. Nous vous recommandons de garder le provisionnement de vos utilisateurs en Mode test jusqu’à ce que vous ne voyiez plus que quelques changements entre vos rapports de synchronisation. Le fait d’attendre qu’il n’y ait plus que quelques changements permet d’éviter que des utilisateurs soient archivés dans votre console KSAT. De plus, synchroniser les membres des groupes peut prendre plus de temps que de synchroniser les utilisateurs. Si l’un des comptes est plus important, vous pouvez vous attendre à voir des synchronisations périodiques dans votre console KSAT.

Pour démarrer la synchronisation, suivez les étapes ci-dessous :

  1. Depuis votre Microsoft Entra ID, naviguez jusqu’à l’option Applications d’entreprise.
  2. Sélectionnez l’application que vous avez créée pour votre connexion KnowBe4.
  3. À partir du menu situé à gauche de la page, sélectionnez Provisionnement.

  4. Cliquez sur Démarrer le provisionnement.

La synchronisation sera lancée immédiatement. Après la synchronisation initiale, le système vérifie automatiquement toutes les 40 minutes si des changements ont été apportés à votre Microsoft Entra. Si des changements sont détectés, il déclenche une synchronisation.

Important : Lorsque vous aurez vérifié que vos utilisateurs sont correctement synchronisés, vous devrez désactiver le Mode test dans vos Paramètres de compte KSAT. Éteindre le mode test permettra d’ajouter et d’archiver des utilisateurs pendant la synchronisation suivante. Pour plus d’informations au sujet du mode test, consultez notre Guide de configuration SCIM.

Pour afficher l’état des synchronisations, les erreurs qui ont pu se produire, ainsi que les informations supplémentaires au sujet de vos synchronisations, accédez à Provisionnement des utilisateurs dans votre console KSAT.

Options de configuration avancées

Lors de l’activation de la synchronisation SCIM avec Entra ID, les données utilisateurs existantes de la console KnowBe4 seront remplacées par le fournisseur d’identité SCIM. Avant de procéder, vérifiez les informations en prévisualisant une campagne en mode test. Vous vous assurerez ainsi que les statuts des groupes et des utilisateurs sont correctement configurés dans Entra ID. Cette mesure empêchera la perte non intentionnelle de données. Les utilisateurs qui ne sont pas inclus dans la synchronisation seront automatiquement archivés, de manière à préserver leurs données et à conserver un historique complet.

Important : Les alias de courriel ne sont pas actuellement pris en charge par le provisionnement SCIM.

Pour en savoir plus sur les options de configuration avancées pour Microsoft Entra, consultez les sous-sections ci-dessous.

Mappages par défaut

Les mappages par défaut sont affichés ci-dessous :

Attribut par défaut Azure Active Directory Attribut KSAT Champ KSAT
userPrincipalName userName Courriel
givenName name.givenName Prénom
surname name.familyName Nom
employeeId urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber Numéro d’employé
jobTitle title Titre du poste
department urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department Service
manager

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value

Remarque :Pour synchroniser les informations sur les gestionnaires, ceux-ci doivent être inclus dans la synchronisation. Pour ajouter ces gestionnaires à la synchronisation, consultez la section Définir les utilisateurs et les groupes à synchroniser à partir de Microsoft Entra ci-dessus.
 Courriel du gestionnaire
displayName du profil de gestionnaire Entra ID

displayName

Remarque :le displayName d’un utilisateur provient de son profil de gestionnaire Entra ID. De ce fait, le displayName d’un utilisateur ne s’affichera pas dans son profil d’utilisateur dans KSAT étant donné que son nom est synchronisé à l’aide d’autres attributs. En revanche, il s’affichera dans les profils de ses collaborateurs directs.
 Nom du gestionnaire
Remarque :Les champs Division et Organisation sont par défaut non mappés. Si vous comptez utiliser ces champs, vous devrez les ajouter au mappage. Vous pouvez ajouter ces attributs en suivant les instructions de la section Ajouter un mappage d’attribut pour les champs utilisateurs personnalisés ci-dessous.
Attribut par défaut Azure Active Directory Attribut KSAT Champ KSAT
S. O. S. O. Fuseau horaire
S. O. S. O. Poste
S. O. S. O. Commentaire
S. O. S. O. Date de début de l’employé

Modifier les mappages par défaut

Vous pouvez modifier les mappages par défaut pour personnaliser les informations sur les utilisateurs qui sont synchronisées entre Microsoft Entra et votre console KSAT.

Pour modifier les mappages par défaut, suivez les étapes ci-dessous :

  1. Depuis votre Microsoft Entra ID, naviguez jusqu’à l’option Applications d’entreprise.
  2. Sélectionnez l’application que vous avez créée pour votre connexion KnowBe4.

  3. À partir du menu situé à gauche de la page, sélectionnez Provisionnement.

  4. Dans la section Gérer le provisionnement de la fenêtre Provisionnement, cliquez sur Modifier les mappages d’attributs.

  5. Cliquez sur la flèche de déroulement Mappages pour développer l’onglet Mappages.

  6. Cliquez sur Provisionner les utilisateurs Azure Active Directory.

  7. Faites défiler jusqu’à la section Mappages d’attributs. Dans cette section, vous verrez s’afficher une liste de tous les attributs qui ont été mappés. La colonne Attribut Azure Active Directory affiche le nom de l’attribut dans Microsoft Entra. La colonne Attribut KnowBe4 affiche le nom standard SCIM de cet attribut.

  8. Sélectionnez l’attribut que vous souhaitez modifier.
  9. Dans le panneau latéral Modifier l’attribut, personnalisez l’attribut. Pour plus d’informations à propos des options de personnalisation, consultez la liste ci-dessous :
    1. Type de mappage : Sélectionnez Direct dans le menu déroulant.

    2. Attribut source : Sélectionnez le champ Azure que vous souhaitez mapper avec ce champ personnalisé.

      Remarque :Si vous utilisez SSO pour Microsoft Entra ID, cet attribut devrait être identique à l’attribut source SSO. Par défaut, l’attribut source SSO est user.userprincipalname. Pour plus d’informations, consultez la section Ajouter l’application KnowBe4 à Azure AD de notre article Comment configurer SSO/SAML avec Azure Active Directory (AD).
    3. Valeur par défaut si nul : Ce champ est optionnel et nous vous recommandons de le laisser vide.
    4. Attribut cible : Sélectionnez le champ personnalisé que vous souhaitez mapper avec le champ Azure que vous avez choisi.
    5. Faire correspondre les objets selon cet attribut : Nous vous recommandons de sélectionner Non.

    6. Appliquer ce mappage : Nous vous recommandons de sélectionner Toujours.

      Remarque :S’il y a un attribut que vous ne souhaitez pas synchroniser, vous pouvez cliquer sur le bouton Supprimer situé à côté de cet attribut pour désactiver la synchronisation. Cette action supprimera uniquement la connexion entre cet attribut et le champ correspondant de votre console KSAT. Aucune donnée ne sera supprimée dans Azure.

  10. Lorsque vous aurez fait les changements que vous souhaitez faire, cliquez sur OK.

    Remarque :Nous vous recommandons de modifier le champ Attribut source seulement. La modification des autres paramètres de l’attribut peut interrompre la connexion entre Microsoft Entra et votre console KSAT.

Ajouter un mappage d’attribut pour les champs utilisateurs

Vous avez aussi la possibilité d’ajouter six champs personnalisés. Ces champs ne sont pas mappés par défaut, mais vous pouvez les ajouter dans Microsoft Entra en suivant les étapes ci-dessous :

  1. Depuis votre Microsoft Entra ID, naviguez jusqu’à l’option Applications d’entreprise.
  2. Sélectionnez l’application que vous avez créée pour votre connexion KnowBe4.

  3. À partir du menu situé à gauche de la page, sélectionnez Provisionnement.

  4. Dans la fenêtre Provisionnement, dans la section Gérer le provisionnement cliquez sur Modifier les mappages d’attributs.

  5. Cliquez sur la flèche de déroulement Mappages pour développer l’onglet Mappages.

  6. Cliquez sur Provisionner les utilisateurs Azure Active Directory.
  7. Cliquez sur Ajouter un nouveau mappage dans le bas du tableau.
  8. Dans la fenêtre Modifier l’attribut, sélectionnez l’attribut source que vous souhaitez utiliser.

  9. Puis, sélectionnez l’attribut cible que vous souhaitez utiliser. Nous vous proposons les champs personnalisés suivants :

    Remarque :Il est important de respecter le format des langues prises en charge et de prêter attention aux lettres majuscules et minuscules.
    Champ KSAT Attribut cible
    Custom Field 1 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1
    Custom Field 2 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2
    Custom Field 3 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3
    Custom Field 4 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4
    Custom Date 1

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1

    Important :Les dates dans ce champ doivent être au format ISO 8601. Le format est le suivant : AAAA-MM-JJ « T » hh:mm:ssZ. Par exemple, 2022-04-04T04:23:30Z.
    Custom Date 2

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2

    Important :Les dates dans ce champ doivent être au format ISO 8601. Le format est le suivant : AAAA-MM-JJ « T » hh:mm:ssZ. Par exemple, 2022-04-04T04:23:30Z.
    Division urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
    Organisation urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
    Absent(e) du bureau jusqu’au urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:outOfOfficeEnd
    Langue d’hameçonnage urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:phishingLanguage
    Langue de la formation urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:trainingLanguage
    Type d’utilisateur urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userRole
    Attribut Microsoft Entra ID par défaut Attribut KSAT Champ KSAT
    physicalDeliveryOfficeName addresses[type eq "work"].formatted Emplacement
    telephoneNumber phoneNumbers[type eq "work"].value Numéro de téléphone
    mobile phoneNumbers[type eq "mobile"].value Numéro de téléphone cellulaire
    Les attributs visibles sur le schéma par défaut :
    Champ KSAT Attribut cible
    Nom de l’entreprise urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:companyName
    Pays urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:country
    Type d’employé userType
    Nom d’hôte urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:hostname
    Surnom de messagerie urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:mailNickName
    Nom de compte SAM urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSamAccountName
    Identifiant de sécurité urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSecurityIdentifier
    Nom principal de l’utilisateur urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userPrincipalName
    Dernier changement de mot de passe

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:lastPasswordChangeDateTime

    Important :Dans le champDernier changement de mot de passe, l’attribut cible doit être de type DateTime.
    Nous proposons également les champs personnalisés suivants pour le mappage des utilisateurs dans SecurityCoach :
  10. Nous vous recommandons de laisser le reste des paramètres à leur valeur par défaut.
  11. Répétez l’étape 8 pour chaque champ personnalisé que vous avez ajouté à l’étape 7.
  12. Cliquez sur Enregistrer dans le haut de l’écran pour enregistrer vos modifications.

Ces champs personnalisés se synchroniseront maintenant avec votre console KSAT.

Foire aux questions (FAQ)

Vous trouverez ci-dessous une liste des questions fréquemment posées au sujet de l’utilisation de SCIM avec Microsoft Entra ID.

À quelle fréquence la synchronisation a-t-elle lieu?

le système vérifie les mises à jour apportées aux utilisateurs et aux groupes dans votre Microsoft Entra ID toutes les 40 minutes. S’il détecte des changements, une synchronisation démarre automatiquement. Cependant, vous pouvez démarrer une synchronisation à n’importe quel moment en cliquant sur le bouton Forcer la synchronisation maintenant dans la section Paramètres SCIM de vos Paramètres de compte KSAT.

Comment peut-on restaurer les mappages par défaut?

Vous pouvez restaurer les mappages par défaut en tout temps en suivant les instructions ci-dessous :

  1. Accédez à Applications d’entreprise.
  2. Sélectionnez l’application que vous avez créée pour votre connexion KnowBe4.
  3. À partir du menu situé à gauche de la page, sélectionnez Provisionnement.
  4. Dans la section Gérer le provisionnement, cliquez sur Modifier les mappages d’attributs.
  5. Cliquez sur la flèche de déroulement Mappages pour développer le menu déroulant Mappages.
  6. Sélectionnez Rétablir les mappages par défaut.
  7. Cliquez sur Enregistrer dans le haut de l’écran.

Comment puis-je synchroniser tous mes utilisateurs et groupes?

si vous souhaitez synchroniser tous les utilisateurs et groupes de votre Microsoft Entra ID, suivez les étapes ci-dessous :

  1. Accédez à l’application que vous avez paramétrée pour votre connexion SCIM.
  2. Accédez à Provisionnement.
  3. Sélectionnez Modifier le provisionnement dans le haut de l’écran, ou sélectionnez Ajouter des filtres d’étendue dans Gérer le provisionnement.
  4. Cliquez sur le menu déroulant Paramètres.
  5. Dans le menu déroulant Étendue, sélectionnez Synchroniser tous les utilisateurs et groupes.
  6. Cliquez sur Enregistrer dans le haut de la page.

Je n’ai pas la possibilité d’assigner des utilisateurs à une application par groupe. Comment puis-je limiter les utilisateurs qui sont synchronisés avec ma console KSAT?

Pour limiter les utilisateurs qui sont synchronisés avec votre console KSAT, vous pouvez définir un filtre d’étendue. Pour plus d’informations au sujet de la création d’un filtre d’étendue, consulter l’article de Microsoft Étendue des utilisateurs ou des groupes à provisionner avec des filtres d’étendue Étendue des utilisateurs ou des groupes à provisionner avec des filtres d’étendue (le lien s’ouvre dans une nouvelle fenêtre).

C’est article vous a-t-il été utile?

Utilisateurs qui ont trouvé cela utile : 11 sur 13

Vous ne trouvez pas ce que vous cherchez?

Contacter l’assistance