SCIM

Partager

Cet article est-il utile ?

Dernière mise à jour :

Configurer SCIM pour Microsoft Entra ID

Dans cet article, vous apprendrez à configurer SCIM avec Microsoft Entra ID (anciennement Azure Active Directory). La configuration de SCIM pour Microsoft Entra ID vous permettra d’ajouter et de gérer des utilisateurs et des groupes à votre console KSAT à l’aide de Microsoft Entra ID.

Les instructions fournies dans cet article s’appliquent à un logiciel tiers. Si vous rencontrez des problèmes avec l’approvisionnement d’utilisateurs dans Microsoft Entra ID, nous vous recommandons de contacter Microsoft Entra pour obtenir des instructions spécifiques. Vous pouvez également contacter notre équipe d’assistance (le lien s’ouvre dans une nouvelle fenêtre), et nous serons ravis de vous aider.

Remarque : pour synchroniser des utilisateurs et des groupes avec SCIM, vous devez avoir un abonnement Microsoft Entra. Pour en savoir plus sur la synchronisation des utilisateurs et des groupes via Microsoft Entra, consultez l’article de Microsoft Gérer l’attribution d’utilisateurs et de groupes à une application Gérer l’attribution d’utilisateurs et de groupes à une application (le lien s’ouvre dans une nouvelle fenêtre).

Configuration de SCIM

Dans cette section, vous allez apprendre à configurer vos paramètres SCIM avec Microsoft Entra. Notez que vous devez d’abord définir vos paramètres dans votre console KSAT avant de configurer ces étapes. Pour en savoir plus sur la configuration de SCIM dans votre console KSAT, consultez notre Guide de configuration SCIM.

Pour configurer vos paramètres SCIM avec Microsoft Entra, procédez comme suit :

  1. Connectez-vous à votre portail Azure sur https://portal.azure.com/ https://portal.azure.com/ (le lien s’ouvre dans une nouvelle fenêtre).

  2. Sélectionnez le bouton Afficher de la vignette Gérer Microsoft Entra ID sur la page d’accueil du portail Azure.

  3. Dans le menu déroulant + Ajouter, sélectionnez Application d’entreprise.

  4. Dans la barre de recherche de la Galerie Microsoft Entra, saisissez « KnowBe4 » pour filtrer vos résultats.

  5. Sélectionnez la vignette Formation sur la sensibilisation à la sécurité KnowBe4.

  6. Sélectionnez Créer dans la fenêtre contextuelle qui s’affiche sur le côté droit de l’écran.

  7. Après avoir cliqué sur Créer, vous serez redirigé vers la page Aperçu de l’application que vous avez créée.

    1. Si vous n’êtes pas redirigé vers la page Aperçu, vous devez ouvrir l’application à partir de la liste des applications d’entreprise. Pour accéder aux applications d’entreprise, cliquez sur Tous les services dans le panneau le plus à gauche, puis sur Récents dans le menu en accordéon qui s’affiche, et choisissez Applications d’entreprise.

  8. Sélectionnez le lien Commencer dans la vignette Approvisionnement de comptes utilisateurs au-dessous de l’en-tête Commencer.

  9. Sélectionnez + Nouvelle configuration.

  10. Vous devez ensuite saisir les informations issues de votre page Paramètres du compte. Pour plus de précisions sur l’endroit où trouver ces informations, consultez notre Guide de configuration SCIM. Dans le champ URL de locataire, saisissez l’URL correspondante. Dans le champ Jeton secret, saisissez le Jeton SCIM.

    Important : cette fonctionnalité ne peut actuellement pas être utilisée avec l’approvisionnement à la demande.

  11. Une fois que vous avez saisi ces informations, sélectionnez le bouton Connexion test. Cliquer sur ce bouton vous permet de vérifier que vous avez saisi les bonnes informations. Si la connexion est établie correctement, une bannière de connexion réussie s’affiche dans le coin supérieur droit de l’écran.

  12. Sélectionnez le bouton Enregistrer en haut de l’écran.

Définition des utilisateurs et des groupes à synchroniser depuis Microsoft Entra

Remarque : les instructions fournies dans cette section précisent comment synchroniser certains utilisateurs et groupes spécifiques. Si vous souhaitez synchroniser tous vos utilisateurs et groupes depuis Microsoft Entra ID, consultez la section Foire aux questions (FAQ) de cet article.

Une fois que vous avez effectué les étapes de la section Configuration de SCIM ci-dessus, vous pouvez choisir les utilisateurs et les groupes à synchroniser. Cette configuration est requise pour synchroniser les utilisateurs et les groupes depuis votre fournisseur d’identité (Identity Provider, IdP).

Important : les groupes imbriqués ne sont actuellement pas pris en charge par l’approvisionnement SCIM et Microsoft Entra ID. Pour en savoir plus, consultez la section Portée de l’article Microsoft Comment fonctionne le provisionnement d’applications dans Microsoft Entra ID Comment fonctionne le provisionnement d’applications dans Microsoft Entra ID (le lien s’ouvre dans une nouvelle fenêtre).

Pour définir les utilisateurs et les groupes à synchroniser depuis Microsoft Entra ID, procédez comme suit :

  1. Dans Microsoft Entra ID, rendez-vous dans Applications d’entreprise.
  2. Sélectionnez l’application que vous avez créée pour votre connexion KnowBe4.

  3. Sélectionnez Assigner des utilisateurs et des groupes dans la vignette du même nom.

  4. Cliquez sur + Ajouter utilisateur/groupe pour sélectionner les utilisateurs ou les groupes à synchroniser.

  5. Sélectionnez Aucune sélection pour rechercher les utilisateurs ou les groupes à inclure dans votre synchronisation. Pour ajouter un utilisateur ou un groupe, cliquez sur le nom de l’utilisateur ou du groupe. Ceux-ci s’afficheront alors dans le panneau Sélectionné.

    Remarque : nous vous recommandons d’inclure uniquement un petit nombre d’utilisateurs lorsque vous configurez vos paramètres pour la première fois. En commençant avec peu d’utilisateurs, vous pouvez vous assurer que la connexion fonctionne correctement avant d’ajouter tous les utilisateurs et les groupes que vous souhaitez inclure.

  6. Une fois que vous avez ajouté les utilisateurs et les groupes à inclure dans la catégorie Sélectionné, cliquez sur Sélectionner.
  7. Sélectionnez Assigner.

Les utilisateurs et les groupes que vous avez sélectionnés figurent désormais dans le tableau.

Déclenchement de la synchronisation

Après avoir configuré SCIM et ajouté les utilisateurs et les groupes à synchroniser, vous devez commencer la synchronisation. Une fois que vous avez démarré la synchronisation, le système vérifie automatiquement, toutes les 40 minutes, si des modifications ont été apportées à vos utilisateurs et à vos groupes dans Microsoft Entra ID et déclenche une synchronisation s’il détecte des changements.

Remarque : si vous avez plusieurs milliers d’utilisateurs dans votre application d’approvisionnement de SCIM, il est peu probable que votre synchronisation initiale inclut la totalité de vos utilisateurs. Au lieu de cela, les utilisateurs sont synchronisés vers votre compte par étape. Nous vous recommandons de maintenir l’approvisionnement pour les utilisateurs en mode test jusqu’à ce que quelques changements seulement apparaissent entre vos rapports de synchronisation. Cela permet d’éviter que des utilisateurs soient archivés dans votre console KSAT. Par ailleurs, la synchronisation des affiliations aux groupes peut prendre plus de temps que celle des utilisateurs. Si vous avez un compte de taille importante, il est probable que des synchronisations périodiques soient effectuées dans votre console KSAT.

Pour commencer la synchronisation, procédez comme suit :

  1. Dans Microsoft Entra ID, rendez-vous dans Applications d’entreprise.
  2. Sélectionnez l’application que vous avez créée pour votre connexion KnowBe4.
  3. Dans le menu situé sur la gauche de la page, sélectionnez Approvisionnement.

  4. Cliquez sur Démarrer l’approvisionnement.

La synchronisation débute alors instantanément. Après votre synchronisation initiale, le système vérifie toutes les 40 minutes si des modifications ont été apportées à votre Microsoft Entra ID et déclenche une synchronisation s’il détecte des changements.

Important : une fois que vous êtes satisfait de la synchronisation de vos utilisateurs, vous devez désactiver le mode test dans vos paramètres du compte KSAT. Désactiver le mode test rend possibles l’ajout et l’archivage des utilisateurs durant la synchronisation suivante. Pour en savoir plus sur le mode test, consultez notre Guide de configuration SCIM.

Pour consulter le statut de ces synchronisations, les erreurs éventuelles et d’autres informations associées, accédez à Approvisionnement d'utilisateurs dans votre console KSAT.

Options de configuration avancée

Lors de l’activation de la synchronisation SCIM avec Entra ID, les données utilisateur existantes dans la console KnowBe4 seront remplacées par le fournisseur d’identité SCIM. Avant de continuer, vérifiez les informations en prévisualisant une campagne en mode test afin de vous assurer que les groupes et les statuts des utilisateurs sont correctement configurés dans Entra ID. Cette étape permettra d’éviter toute perte de données involontaire. Les utilisateurs non inclus dans la synchronisation seront automatiquement archivés. Cela permettra de préserver leurs données et de conserver les enregistrements historiques.

Important : les alias de messagerie ne sont actuellement pas pris en charge par l’approvisionnement de SCIM.

Pour en savoir plus sur les options de configuration avancée applicables à Microsoft Entra, consultez les sous-sections suivantes :

Mappages par défaut

Les mappages de champs par défaut sont présentés ci-dessous :

Attribut Azure Active Directory par défaut Attribut de KSAT Champ KSAT
userPrincipalName userName E-mail
givenName name.givenName Prénom
surname name.familyName Nom
employeeId urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber Numéro d’employé
jobTitle title Titre du poste
department urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department Département
manager

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value

Remarque : pour que les informations concernant les responsables se synchronisent, les responsables en question doivent être inclus dans la synchronisation. Pour que ces responsables soient ajoutés à la synchronisation, voir la section Définition des utilisateurs et des groupes à synchroniser depuis Microsoft Entra ci-dessus.
 Adresse e-mail du manager
displayName du profil Entra ID du manager

displayName

Remarque : le displayName d'un utilisateur provient du profil Entra ID de son manager. Par conséquent, le displayName d’un utilisateur ne s’affichera pas sur son profil d’utilisateur dans KSAT puisque son nom est synchronisé au moyen d’autres attributs. Il s'affichera cependant sur les profils d'utilisateur de leurs subordonnés directs.
 Nom du responsable
Remarque : les champs Division et Organisation ne sont pas mappés par défaut. Si vous prévoyez d’utiliser ces champs, vous devez ajouter le mappage. Vous pouvez ajouter ces attributs en suivant les instructions fournies dans la section Ajout d’un mappage d’attribut pour les champs Utilisateur personnalisés ci-dessous.
Attribut Azure Active Directory par défaut Attribut de KSAT Champ KSAT
S/O S/O Fuseau horaire
S/O S/O Poste
S/O S/O Commentaire
S/O S/O Date d’entrée de l’employé

Modification des mappages par défaut

Vous pouvez modifier les mappages par défaut pour personnaliser les informations de l’utilisateur qui sont synchronisées entre Microsoft Entra et votre console KSAT.

Pour modifier les mappages par défaut, procédez comme suit :

  1. Dans Microsoft Entra ID, rendez-vous dans Applications d’entreprise.
  2. Sélectionnez l’application que vous avez créée pour votre connexion KnowBe4.

  3. Dans le menu situé sur la gauche de la page, sélectionnez Approvisionnement.

  4. Dans la fenêtre Approvisionnement, cliquez sur Modifier le mappage d’attribut sous Gérer l’approvisionnement.

  5. Cliquez sur la flèche déroulante Mappages pour développer l’onglet Mappages.

  6. Cliquez sur Approvisionnement des utilisateurs Azure Active Directory.

  7. Faites défiler vers le bas jusqu’à la section Mappages d’attributs. Vous y trouverez une liste de tous les attributs qui ont été mappés. La colonne Attribut Azure Active Directory présente le nom de l’attribut dans Microsoft Entra. La colonne Attribut KnowBe4 indique le nom SCIM standard de cet attribut.

  8. Sélectionnez l’attribut à modifier.
  9. Dans le volet latéral Modifier l’attribut, personnalisez l’attribut. Pour en savoir plus sur les options de personnalisation, consultez la liste ci-dessous :
    1. Type de mappage : sélectionnez Direct dans le menu déroulant.

    2. Attribut source : sélectionnez le champ Azure à mapper avec ce champ personnalisé.

      Remarque :Si vous utilisez SSO pour Microsoft Entra ID, cet attribut devrait être le même que l’attribut source SSO. Par défaut, l’attribut source SSO est user.userprincipalname. Pour plus d’informations, consultez la section Ajouter l’application KnowBe4 à Azure AD de notre article Comment configurer SSO/SAML avec Azure Active Directory (AD) ?.
    3. Valeur par défaut si nul : ce champ est facultatif, et nous vous recommandons de le laisser vide.
    4. Attribut cible : choisissez le champ personnalisé à mapper avec le champ Azure que vous avez sélectionné.
    5. Faire correspondre les objets avec cet attribut : nous vous recommandons de sélectionner Non.

    6. Appliquer ce mappage : nous vous recommandons de sélectionner Toujours.

      Remarque : s’il y a un attribut que vous ne souhaitez pas synchroniser, vous pouvez cliquer sur le bouton Supprimer en regard de cet attribut pour désactiver la synchronisation. Cette action supprime uniquement la connexion entre cet attribut et le champ correspondant dans votre console KSAT. Aucune donnée n’est supprimée d’Azure.

  10. Une fois que vous avez effectué les modifications souhaitées, cliquez sur OK.

    Remarque : nous vous recommandons de modifier uniquement le champ Attribut source. Changer les autres paramètres de l’attribut peut rompre la connexion entre Microsoft Entra et votre console KSAT.

Ajout d’un mappage d’attribut pour les champs Utilisateur personnalisés

Vous avez également la possibilité d’ajouter jusqu’à six champs personnalisés. Ces champs ne sont pas mappés par défaut, mais vous pouvez les ajouter à Microsoft Entra en procédant comme suit :

  1. Dans Microsoft Entra ID, rendez-vous dans Applications d’entreprise.
  2. Sélectionnez l’application que vous avez créée pour votre connexion KnowBe4.

  3. Dans le menu situé sur la gauche de la page, sélectionnez Approvisionnement.

  4. Dans la fenêtre Approvisionnement, sélectionnez Modifier les mappages d’attributs sous Gérer l’approvisionnement.

  5. Cliquez sur la flèche déroulante Mappages pour développer l’onglet Mappages.

  6. Cliquez sur Approvisionnement des utilisateurs Azure Active Directory.
  7. Cliquez sur Ajouter un nouveau mappage en bas du tableau.
  8. Dans la fenêtre Modifier l’attribut, sélectionnez l’attribut source à utiliser.

  9. Sélectionnez ensuite l’attribut cible à utiliser. Nous proposons les champs personnalisés suivants :

    Remarque : vous devez respecter le format des langues prises en charge en faisant attention à la distribution des minuscules et des majuscules.
    Champ KSAT Attribut cible
    Custom Field 1 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1
    Custom Field 2 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2
    Custom Field 3 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3
    Custom Field 4 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4
    Custom Date 1

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1

    Important : les dates dans ce champ doivent être au format ISO 8601. Le format est le suivant : AAAA-MM-JJ “T” hh:mm:ssZ. Par exemple, 2022-04-04T04:23:30Z.
    Date personnalisée 2

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2

    Important : les dates dans ce champ doivent être au format ISO 8601. Le format est le suivant : AAAA-MM-JJ “T” hh:mm:ssZ. Par exemple, 2022-04-04T04:23:30Z.
    Division urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
    Organisation urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
    Date de fin de l’absence du bureau urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:outOfOfficeEnd
    Langue d’hameçonnage urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:phishingLanguage
    Langue de formation urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:trainingLanguage
    Type d’utilisateur urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userRole
    Attribut par défaut de Microsoft Entra ID Attribut de KSAT Champ KSAT
    physicalDeliveryOfficeName addresses[type eq "work"].formatted Emplacement
    telephoneNumber phoneNumbers[type eq "work"].value Phone Number
    Mobile phoneNumbers[type eq "work"].value Numéro de téléphone portable
    Attributs qui apparaissent par défaut dans le schéma :
    Champ KSAT Attribut cible
    Nom de l’organisation urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:companyName
    Pays urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:country
    Type d’employé userType
    Nom d’hôte urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:hostname
    Pseudo de messagerie urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:mailNickName
    Nom du compte SAM urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSamAccountName
    Identifiant de sécurité urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSecurityIdentifier
    Nom d’utilisateur principal urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userPrincipalName
    Dernière modification du mot de passe

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:lastPasswordChangeDateTime

    Important : dans le champ Dernière modification du mot de passe, le type d’attribut cible doit être défini sur DateTime.
    Nous proposons également les champs personnalisés suivants pour le mappage des utilisateurs dans SecurityCoach :
  10. Nous vous recommandons de laisser la configuration par défaut pour les autres paramètres.
  11. Répétez l’étape 8 pour tous les champs personnalisés que vous avez ajoutés à l’étape 7.
  12. Cliquez sur Enregistrer en haut de l’écran pour enregistrer vos modifications.

Ces champs personnalisés seront désormais synchronisés avec votre console KSAT.

Foire aux questions (FAQ)

Vous trouverez ci-dessous une liste de questions fréquentes sur l’utilisation de SCIM avec Microsoft Entra ID.

Quelle est la fréquence de synchronisation ?

Le système vérifie toutes les 40 minutes si des mises à jour ont été apportées aux utilisateurs et aux groupes dans votre Microsoft Entra ID. Une synchronisation est déclenchée automatiquement si des changements sont détectés. Vous pouvez cependant forcer la synchronisation à tout moment en cliquant sur le bouton Forcer la synchronisation maintenant dans la section Paramètres SCIM de vos paramètres du compte KSAT.

Comment restaurer les mappages par défaut ?

Vous pouvez restaurer le mappage par défaut à tout moment en procédant comme suit :

  1. Accédez à Applications d’entreprise.
  2. Sélectionnez l’application que vous avez créée pour votre connexion KnowBe4.
  3. Dans le menu situé sur la gauche de la page, sélectionnez Approvisionnement.
  4. Cliquez sur Modifier le mappage d’attribut sous Gérer l’approvisionnement.
  5. Cliquez sur la flèche déroulante Mappages pour développer le menu déroulant Mappages.
  6. Sélectionnez Restaurer les mappages par défaut.
  7. Cliquez sur Enregistrer en haut de l’écran.

Comment synchroniser tous mes utilisateurs et groupes ?

Si vous souhaitez synchroniser l’ensemble des utilisateurs et groupes de votre Microsoft Entra ID, procédez comme suit :

  1. Accédez à l’application que vous avez configurée pour votre connexion SCIM.
  2. Accédez à Approvisionnement.
  3. Sélectionnez Modifier l’approvisionnement en haut de l’écran ou Ajouter des filtres d’étendue sous Gérer l’approvisionnement.
  4. Cliquez sur le menu déroulant Paramètres.
  5. Dans le menu déroulant Étendue, sélectionnez Synchroniser tous les utilisateurs et groupes.
  6. Cliquez sur Enregistrer en haut de la page.

Je n’ai pas la possibilité d’affecter des utilisateurs à une application par groupe. Comment limiter le nombre d’utilisateurs synchronisés avec ma console KSAT ?

Pour limiter le nombre d’utilisateurs synchronisés avec votre console KSAT, vous pouvez configurer un filtre d’étendue. Pour en savoir plus sur la création d’un filtre de portée, consultez l’article Étendue des utilisateurs ou des groupes à provisionner avec des filtres d’étendue Portée des utilisateurs ou des groupes à provisionner avec des filtres d’étendue (le lien s’ouvre dans une nouvelle fenêtre) de Microsoft.

Avez-vous trouvé cet article utile ?

Utilisateurs qui ont trouvé cela utile : 11 sur 13

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance