Synchronisation des utilisateurs AD

Une autre façon de créer des utilisateurs dans MyQ Roger est de mettre en place une synchronisation à partir de services externes. Actuellement, le système de synchronisation de MyQ Roger est en cours d'élaboration Microsoft Entra ID (renommé de MS Azure Active Directory) est pris en charge et Google Active Directory est en cours de développement et devrait être disponible dans un avenir proche.

Autorisations requises
Pages.Administration.UserSync

Microsoft Entra ID

Pour configurer un Microsoft Entra ID dans MyQ Roger, vous devez déjà avoir un Microsoft Entra ID existant.

Mise en place et configuration

1. Se connecter à l'application Portail Microsoft Azure et créer un nouveau Enregistrement de l'application dans votre Microsoft Entra ID Quickstart: Register an app in the Microsoft identity platform - Microsoft identity platform.

2. La page de présentation de la nouvelle application s'ouvre. Copiez l'image ID de l'application (client) et le ID de l'annuaire (locataire)car ils sont nécessaires pour la connexion à MyQ Roger.

3. Aller à Certificats et secrets et créer un Secret du nouveau client. Fixer la date d'expiration et copier le secret Valeur (sauvegarder la valeur car elle ne sera pas affichée à nouveau).

4. L'enregistrement de l'application DOIT AVOIR les suivants autorisations: Utilisateur.Lire.tout, Groupe.Lire.tout (au cas où vous souhaiteriez n'utiliser qu'un certain groupe). Pour les définir, sélectionnez Autorisations de l'APIpuis cliquez sur Ajouter une autorisation. Dans la fenêtre de droite, dans l'onglet Microsoft APIs, sélectionnez Microsoft Graph. Dans la fenêtre suivante, sélectionnez Permissions d'utilisation, rechercher et sélectionner le Utilisateur.Lire.tout et Groupe.Lire.tout (au cas où vous voudriez synchroniser un certain groupe), et cliquez sur Ajouter des autorisations.

   

5. Accédez à MyQ Roger, Editer et remplissez les paramètres du connecteur dans MyQ Roger, Administration, Synchronisation des utilisateurs, Microsoft Entra ID:

   

   1. ID de la demande*: Ajoutez l'identifiant de l'application (client) que vous avez copié lors de l'installation de Microsoft Entra ID.

   2. Annuaire (locataire) ID*: Ajouter l'identifiant du répertoire (locataire) que vous avez copié lors de l'installation de Microsoft Entra ID.

   3. Secret de l'application*: Ajoutez la valeur secrète de l'application que vous avez copiée lors de l'installation de Microsoft Entra ID.

      1. Date d'expiration du secret de la demande (facultatif) : Définissez une date d'expiration si vous souhaitez être informé de l'expiration d'un secret. Tous les utilisateurs ayant le mot de passe Pages.Administration.UserSync permissions sont notifiés.

6. Set (jeu de mots) Groupes options:

   1. Aucun: Si cette option est sélectionnée, tous les utilisateurs de l'organisation sont synchronisés.

   2. Sélectionné: Remplissez l'identifiant du groupe si vous souhaitez synchroniser les utilisateurs d'un groupe Entra ID spécifique. Vous pouvez ajouter plusieurs identifiants de groupe séparés par des virgules (,). Le GUID du groupe Entra ID peut être localisé dans Microsoft Entra ID > Groups > Labeled as Object ID sur le groupe que vous souhaitez synchroniser.

7. Régler le Utilisateurs options:

   1. Groupes sélectionnés: Synchroniser les utilisateurs du groupe sélectionné et des groupes imbriqués.

   2. Tous: Synchroniser tous les utilisateurs.

   3. Champs source pour les alias: Ajoutez le nom du champ dans l'API Microsoft Entra ID Graph qui sera utilisé pour créer un alias pour l'utilisateur. Le champ par défaut est onPremisesSamAccountName. Vous pouvez combiner des champs spécifiques en un seul alias. Entourez chaque champ du signe pour cent (%), par exemple %givenName%. Vous pouvez spécifier plusieurs combinaisons en utilisant le point-virgule ( ;) comme délimiteur, par exemple %givenName%.%surName%;%surName%-%givenName%.

   4. Envoi de courriels PIN: Cochez la case si vous souhaitez que les utilisateurs nouvellement créés reçoivent un e-mail de bienvenue avec leur code PIN.

   5. Gérer les utilisateurs existants: Met à jour et maintient la synchronisation des utilisateurs existants. Les utilisateurs sont associés à leur adresse électronique.

   6. Autoriser l'utilisation de "Nom d'affichage": Le nom et le prénom sont des champs obligatoires dans MyQ Roger. Les comptes Microsoft Entra ID peuvent avoir "Displayname" au lieu du prénom et du nom.

   7. Créez également des alias sans caractères invalides: Les caractères non valides sont : " [ ] : ; | = + * ? < > / \ , . et les espaces. Par exemple, l'alias de John Doe sera créé comme suit JohnDoe.

   8. Gérer la suppression des utilisateurs: Lorsque cette option est activée, MyQ Roger compare les utilisateurs avant et après la synchronisation. Il supprime les comptes qui ne peuvent pas être récupérés à partir du système distant. Microsoft Entra ID fournit des informations sur les comptes qui doivent être supprimés pour une durée limitée. Vous ne devez activer cette option que si vous n'avez pas effectué de synchronisation pendant une période prolongée ou si vous avez modifié les paramètres.

8. Cliquez sur Connecter. La connexion est testée et si tout a été correctement configuré, vous devriez maintenant voir plus d'options (Synchroniser maintenant, Supprimer, Modifier et Synchroniser automatiquement).

9. Pour effectuer la synchronisation, cliquez sur le bouton Synchroniser maintenant ou activer la synchronisation automatique pour synchroniser les utilisateurs toutes les 24 heures de l'activation.

Règles de synchronisation

• Si l'adresse électronique d'un utilisateur AD n'existe pas dans le locataire MyQ Roger, un nouvel utilisateur est créé avec l'option "AD synchronisé" étiquette.

• Si un utilisateur AD est supprimé de l'AD et qu'une synchronisation est effectuée, l'utilisateur est également supprimé de MyQ Roger.

• Si l'adresse électronique d'un utilisateur AD existe déjà dans le locataire MyQ Roger, la création de l'utilisateur est sauté.

  • Si elles ont été supprimées auparavant, l'utilisateur est à nouveau enregistré.

• Si la création d'un utilisateur échoue, la synchronisation se poursuit avec les autres utilisateurs. Pour plus d'informations, voir le chapitre sur les notifications.

• Connexion - Si un utilisateur a été synchronisé par Microsoft Entra ID, il devra se connecter à MyQ Roger en utilisant le mot de passe ‘Se connecter avec Microsoft’ option. MyQ Roger ne synchronise pas les mots de passe des utilisateurs, donc si l'utilisateur a été synchronisé via AD, il est nécessaire d'utiliser l'option de connexion du fournisseur. (Microsoft/Google) Le login MyQ Roger avec nom d'utilisateur et mot de passe ne peut être utilisé que si l'utilisateur a été créé directement à partir de MyQ Roger.

Notifications

• Si une synchronisation est déclenchée manuellement:

  • L'utilisateur déclencheur reçoit une notification dans la barre de navigation lorsque le travail est terminé.

  • En cas de changement (suppression, ajout ou échec d'un utilisateur), tous les utilisateurs autorisés à gérer une synchronisation reçoivent une notification dans la barre de navigation contenant de brèves informations sur la tâche.

• Si une synchronisation est déclenchée automatiquement:

  • En cas de changement (suppression, ajout ou échec d'un utilisateur), tous les utilisateurs autorisés à gérer une synchronisation reçoivent une notification dans la barre de navigation contenant de brèves informations sur la tâche.

  • S'il n'y a pas de changement, les utilisateurs ne sont pas avertis. Seules de brèves informations sur la dernière exécution sont affichées dans l'administration.

• Si le Date d'expiration du secret de la demande a été défini et que la tâche est exécutée 7 jours avant l'expiration, une notification s'affiche dans la barre de navigation et une notification par courrier électronique est envoyée aux utilisateurs autorisés à gérer les synchronisations.

• Toutes les synchronisations sont enregistrées avec de brèves informations. Toutes les synchronisations des utilisateurs qui ont échoué sont également enregistrées.