Avant de commencer
Si vous utilisez une licence Okta, Lucca permet de synchroniser vos données utilisateurs administrées dans Lucca vers votre annuaire Okta.
Vous trouverez par la suite, toutes les étapes nécessaires à la mise en place du connecteur. Cette fiche est principalement dédiée à votre administrateur Okta (DSI ou IT).
Gratuite, l'interface Lucca pour Okta est disponible via la roue crantée de votre environnement Lucca. Si vous n'avez pas les droits, contactez notre équipe de Support.
Fonctionnalités supportées par l'application
• Mise à jour des attributs d'utilisateurs
• Import des utilisateurs.
• Import des groupes.
Support
En tant que client Lucca, vous pouvez contacter notre service client pour toute question ou constat de dysfonctionnement, demande d’amélioration, ou conseil d’utilisation. Nous serons toujours attentifs à vous apporter une réponse pertinente.
Nos consultants ou nos équipes techniques ne sont pas habilités à accéder à votre environnement Okta, son paramétrage et les permissions que vous aurez au préalable définies avec votre administrateur Okta.
Aussi, n'hésitez pas à partager le plus précisément possible le type de problème que vous rencontrez, photos d'écran à l'appui pour que nous puissions au mieux, vous orienter. Nous vous invitons également à inclure, dans vos demandes, votre consultant Okta pour nous faciliter la détection de votre blocage.
Activer la synchronisation entre Lucca et Okta
Avant tout : la permission "Administrer une synchronisation OKTA" (permission Lucca) doit être activé sur le rôle de la personne en charge de la mise en place de la connexion.
Étape 1 : Collecter les informations de connexion de Lucca pour Okta
Depuis la roue crantée de votre environnement > Authentification, SSO et API > Synchronisation Okta et commencez l'intégration en cliquant sur le bouton du même nom.
Une fenêtre intermédiaire s'active, vous invitant à nous partager le mail de votre administrateur technique. Cette information nous permettra notamment de mieux identifier nos interlocuteurs en cas de besoin ou d'annonces sur l'intégration de Lucca vers Okta.
En passant les 2 premières étapes, sur lesquelles nous reviendrons en étape 3 - vous pouvez récupérer les informations à copier dans l'interface Okta.
Étape 2 : Activation de Lucca, dans Okta
Dans votre application Okta, dirigez-vous dans le menu Applications et sélectionnez "Browse App Catalog" pour choisir l'application "Lucca":
Une fois Lucca sélectionné et ajouté, dirigez-vous vers le "Provisioning tab", puis vers le menu Integration.
Renseignez les informations requises et précédemment collectée dans l'interface Lucca pour Okta.
- Base URL
- API Token
- Import Groups. Cette case permet de définir votre choix d'importer, ou non, des groupes que nous identifions côté Lucca par les départements, les unités légales, les établissements ou encore, le pays de l'établissement.
Une fois cette étape terminée, dirigez-vous sur le menu "To Okta" et sélectionnez "Allow SCIM 2.0 Test App (Header Auth) pour activer la source de données depuis laquelle Okta va s'alimenter.
Étape 3 : Dans Lucca, configurez l'intégration avec Okta.
La première étape permet de choisir les propriétés que vous souhaitez synchroniser vers Lucca.
Par propriété, nous entendons les données utilisateurs que vous gérez dans Poplee Socle RH via le Dossier RH.
Si vous avez activé l'option dans Okta, définissez en seconde étape, les groupes que vous souhaitez synchroniser.
Félicitations, votre synchronisation est active !
Désormais, l'interface se dédie à l'administration de votre paramétrage initial et le statut de votre intégration est affiché en temps réel.
optionel : Étape 4 : autoriser la synchronisation des futurs collaborateurs.
Par défaut, les collaborateurs ayant une date de début de contrat dans le futur ne seront pas synchroniser avec Okta.
Pour mettre en place cette synchronisation il vous faut dans l'adminstration des rôles activer la permission "Voir les futurs employés" sur la clé d'api Okta api Intégration.
Gérer la synchronisation des données Lucca vers Okta
[Lucca/Okta] Les propriétés
Les API de Lucca sont des API REST.
Elles nous permettent de vous afficher toutes les propriétés associées à chaque collaborateur (user) comme, par exemple, sa date de début de contrat, son établissement, sa CSP, son intitulé de poste ou encore son manager.
Pour s'intégrer à Okta, nous avons développé une correspondance entre nos API et les API SCIM d'Okta. Une propriété Lucca devient ainsi un attribut utilisateur pour Okta.
Personnaliser les données Lucca à synchroniser avec Okta
Depuis l'interface d'intégration Okta, vous pouvez ajouter ou retirer une propriété parmi toutes les données que vous gérez dans votre Dossier RH.
4 propriétés sont obligatoires et non modifiables :
Note : Les données composées personnalisables ainsi que les occurrences multiples
ne peuvent pas être synchronisées avec Okta.
Mapper une propriété Lucca à un attribut Okta
Il y a 2 types d'attributs:
1. L'attribut présent dans Okta et qui est joué au niveau du profil utilisateur. C'est une information qui est poussée par Okta vers les systèmes tiers.
2. L'attribut retourné par l'API via l'intégration ((/ lucca-okta/api/users) qui indique à Okta comment lire la valeur de la propriété.
Les attributs sont gérés et lus par l'intégration activée entre Lucca et Okta
Créer un attribut Okta
Dans Okta, depuis le menu de gauche, sélectionnez Directory → Profile Editor puis Profile
La page qui s'affiche vous présente alors les attributs Okta que vous avez activé pour synchroniser vos utilisateurs.
Vous y retrouvez:
- Les Native attributes: login, firstName, lastName, etc. found in the SCIM 2.0 standard. Ces attributs ne sont pas modifiables.
-
Les Custom attributes
Cliquez sur Add Attribute. La page suivante vous affichera alors comment paramétrer les custom attribute définit avec:
-
un type : string, integer, boolean, etc
-
le nom affiché de l'attribut human readable name which will be displayed in the user profile
-
une variable, qui est le code du nom de la donnée, à faire correspondre avec les API Lucca notamment.
Créer l'intégration avec l'attribut
Depuis le menu, sélectionnez Directory → Profile Editor puis Apps et Profile pour Lucca
Cette page affiche tous les attributs synchronisés et actifs, natifs et customs.
Cliquez sur Add Attribute. La page qui s'affiche alors vous permettra de paramétrer l'activation de la synchronisation pour l'attribut créée préalablement.
Le champs External namespace field permet d'ajouter dans le schéma d'Okta votre attribut (pour le json). Vous retrouverez d'ailleurs à chaque fois dans le framework d'Okta 2 standards:
-
urn:ietf:params:scim:schemas:core:2.0:User : associated schema for the attributes of the standard (firstName, lastName, etc.)
-
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User : recommended schema by the SCIM standard for custom attributes (dtContractStart, dtContractEnd, etc.)
Voici un exemple du json retourné par l'application Lucca.Okta:
Une fois les schémas validés, renseignez le champs external namespace avec la valeur: "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
Le tour est joué.
Configurer les mapping dans Okta
Dernière étape, gérer les mapping entre les attributs du profil Lucca et du profil Okta.
Sélectionnez Directory → Profile Editor. puis Apps et cliquez sur Mappings de l'intégration Lucca
Vous pouvez configurer le mapping Lucca to Okta et Okta to Lucca.
Notes sur la synchronisation Okta vers Lucca
Rôles et permissions
Par défaut et pour des raisons de sécurité, le connecteur Okta sur l'instance Lucca n'autorise pas Okta à modifier les données utilisateurs.
Si vous souhaitez synchroniser Okta vers Lucca, et est nécessaire de modifier la permission de la clé d'api Okta.
Dans l'administration des rôles, il vous faut ajouter à la clé d'api Oka API intégration les permissions nécessaires pour modifier la fiche utilisateur.
Les permissions suivantes sont également nécessaires pour la synchronisation Okta -> Lucca :
- Application "Lucca" -> "Administration des Départements"
- Application "Lucca" -> "Modifier les établissements et les unités légales"
Limitations
Attribut displayName
- Sur l'environnement Lucca, il n'existe pas de donnée RH displayName associée aux collaborateurs.
- Par défaut Okta attend un attribut displayName sous l'attribut urn:ietf:params:scim:schemas:core:2.0:User.displayName.
Ainsi, pour faciliter votre configuration, l'attribut displayname est valorisé en complétant le nom de famille (familyName) avec le prénom (givenName).
Néanmoins, si vous avez configuré une synchronisation Okta -> Lucca sur le champ displayname, la synchronisation de ce champ n'aura aucun effet. Pour modifier le nom de famille ou le prénom, il faut synchroniser le familyName et givenName.
Données composées non personnalisables
Les données de type "Donnée composée non personnalisable" (CSP, calendrier, établissements, départements, rôles, ...) peuvent être synchronisées vers Okta, mais ne peuvent être synchronisées dans le sens Okta vers Lucca.
De même, les données qui ne sont pas modifiables dans le dossier RH (la rémunération théorique par exemple) ne peuvent pas être modifiées par Okta.
Type de données propres à l'environnement.(Extended Data)
Les données simples ou composées créées pour l'environnement ne sont pas actuellement pas synchronisables dans le sens Okta -> Lucca.
Gérer les groups
Quatres groups sont disponibles dans Lucca.
- Les départements
- Les établissements
- Le pays
- Les unités légales
Chaque groups (/api/groups) permet d'avoir tous les utilisateurs rattachés à un groupe.
Les valeur Lucca. Okta API sont disponibles avec:
- “LUCCA_LU” pour legal units
- “LUCCA_ETS” pour establishments
- “LUCCA_DEPT” pour departments
- “LUCCA_COUNTRY” pour countries
Par défaut, aucun groups n'est actif. La synchronisation de cette donnée n'est pas obligatoire.
Importer les utilisateurs dans Okta
Cliquez sur Import puis Import Now.
Lorsque l'import est terminé, selon votre configuration, certaines données peuvent nécessiter une validation de votre part.
Pour obtenir un rapport de l'import: Directory / People
En cliquant sur un utilisateur, les détails des données synchronisées s'affichent
Depuis Directory/Groups vous pouvez aussi consulter le rapport d'import des groups si vous l'avez réalisé.
Les groupes ne sont pas synchronisables dans le sens Okta vers Lucca.