Lucca <> Okta: Comment synchroniser vos données utilisateurs?

Avant de commencer

Si vous utilisez une licence Okta, Lucca permet de synchroniser vos données utilisateurs administrées dans Lucca vers votre annuaire Okta.

Vous trouverez par la suite, toutes les étapes nécessaires à la mise en place du connecteur. Cette fiche est principalement dédiée à votre administrateur Okta (DSI ou IT).

Gratuite, l'interface Lucca pour Okta est disponible via la roue crantée de votre environnement Lucca. Si vous n'avez pas les droits, contactez notre équipe de Support.

 

Fonctionnalités supportées par l'application 

• Mise à jour des attributs d'utilisateurs

• Import des utilisateurs.

• Import des groupes.

Profile sourcing

 

 

Support

En tant que client Lucca, vous pouvez contacter notre service client pour toute question ou constat de dysfonctionnement, demande d’amélioration, ou conseil d’utilisation. Nous serons toujours attentifs à vous apporter une réponse pertinente.

Nos consultants ou nos équipes techniques ne sont pas habilités à accéder à votre environnement Okta, son paramétrage et les permissions que vous aurez au préalable définies avec votre administrateur Okta.

Aussi, n'hésitez pas à partager le plus précisément possible le type de problème que vous rencontrez, photos d'écran à l'appui pour que nous puissions au mieux, vous orienter. Nous vous invitons également à inclure, dans vos demandes, votre consultant Okta pour nous faciliter la détection de votre blocage. 

Activer la synchronisation entre Lucca et Okta

Avant tout : la permission "Administrer une synchronisation OKTA" (permission Lucca) doit être activé sur le rôle de la personne en charge de la mise en place de la connexion.

Étape 1 : Collecter les informations de connexion de Lucca pour Okta

Depuis la roue crantée de votre environnement > Authentification, SSO et API > Synchronisation Okta et commencez l'intégration en cliquant sur le bouton du même nom.

mceclip0.png

mceclip1.png

Une fenêtre intermédiaire s'active, vous invitant à nous partager le mail de votre administrateur technique. Cette information nous permettra notamment de mieux identifier nos interlocuteurs en cas de besoin ou d'annonces sur l'intégration de Lucca vers Okta.

mceclip2.png

En passant les 2 premières étapes, sur lesquelles nous reviendrons en étape 3 - vous pouvez récupérer les informations à copier dans l'interface Okta.

mceclip0.png

Étape 2 : Activation de Lucca, dans Okta

Dans votre application Okta, dirigez-vous dans le menu Applications et sélectionnez "Browse App Catalog" pour choisir l'application "Lucca":

mceclip0.png

Une fois Lucca sélectionné et ajouté, dirigez-vous vers le "Provisioning tab", puis vers le menu Integration.

Renseignez les informations requises et précédemment collectée dans l'interface Lucca pour Okta. 

  • Base URL
  • API Token
  • Import Groups. Cette case permet de définir votre choix d'importer, ou non, des groupes que nous identifions côté Lucca par les départements, les unités légales, les établissements ou encore, le pays de l'établissement.

oktaparam.png

Une fois cette étape terminée, dirigez-vous sur le menu "To Okta" et sélectionnez "Allow SCIM 2.0 Test App (Header Auth) pour activer la source de données depuis laquelle Okta va s'alimenter. 

mceclip1.png

Étape 3 : Dans Lucca, configurez l'intégration avec Okta.

La première étape permet de choisir les propriétés que vous souhaitez synchroniser vers Lucca.

Par propriété, nous entendons les données utilisateurs que vous gérez dans Poplee Socle RH via le Dossier RH.

mceclip1.png

Si vous avez activé l'option dans Okta, définissez en seconde étape, les groupes que vous souhaitez synchroniser.

mceclip2.png

Félicitations, votre synchronisation est active !

Désormais, l'interface se dédie à l'administration de votre paramétrage initial et le statut de votre intégration est affiché en temps réel.

mceclip3.png

 

optionel : Étape 4 : autoriser la synchronisation des futurs collaborateurs.

Par défaut, les collaborateurs ayant une  date de début de contrat dans le futur ne seront pas synchroniser avec Okta.

Pour mettre en place cette synchronisation il vous faut dans l'adminstration des rôles activer la permission "Voir les futurs employés" sur la clé d'api Okta api Intégration.

 

Gérer la synchronisation des données Lucca vers Okta

[Lucca/Okta] Les propriétés

Les API de Lucca sont des API REST

Elles nous permettent de vous afficher toutes les propriétés associées à chaque collaborateur (user) comme, par exemple, sa date de début de contrat, son établissement, sa CSP, son intitulé de poste ou encore son manager. 

Pour s'intégrer à Okta, nous avons développé une correspondance entre nos API et les API SCIM d'Okta. Une propriété Lucca devient ainsi un attribut utilisateur pour Okta.

Personnaliser les données Lucca à synchroniser avec Okta

Depuis l'interface d'intégration Okta, vous pouvez ajouter ou retirer une propriété parmi toutes les données que vous gérez dans votre Dossier RH. 

4 propriétés sont obligatoires et non modifiables : 

mceclip1.png

 

Note : Les données composées personnalisables ainsi que les occurrences multiples

ne peuvent pas être synchronisées avec Okta.

 

Mapper une propriété Lucca à un attribut Okta 

Il y a 2 types d'attributs:

1. L'attribut présent dans Okta et qui est joué au niveau du profil utilisateur. C'est une information qui est poussée par Okta vers les systèmes tiers.

2. L'attribut retourné par l'API via l'intégration ((/ lucca-okta/api/users) qui indique à Okta comment lire la valeur de la propriété. 

Les attributs sont gérés et lus par l'intégration activée entre Lucca et Okta

Créer un attribut Okta

Dans Okta, depuis le menu de gauche, sélectionnez Directory → Profile Editor puis Profile

mceclip4.png

La page qui s'affiche vous présente alors les attributs Okta que vous avez activé pour synchroniser vos utilisateurs. 

Vous y retrouvez:

  • Les Native attributes: login, firstName, lastName, etc. found in the SCIM 2.0 standard. Ces attributs ne sont pas modifiables. 
  • Les Custom attributes 

mceclip5.png

Cliquez sur Add Attribute. La page suivante vous affichera alors comment paramétrer les custom attribute définit avec: 

  • un type : string, integer, boolean, etc

  • le nom affiché de l'attribut human readable name which will be displayed in the user profile

  • une variable, qui est le code du nom de la donnée, à faire correspondre avec les API Lucca notamment. 

mceclip6.png

Créer l'intégration avec l'attribut

Depuis le menu, sélectionnez Directory → Profile Editor puis Apps et Profile pour Lucca

LuccaUser.jpg

Cette page affiche tous les attributs synchronisés et actifs, natifs et customs.

Capture_d_e_cran_2021-09-01_a__11.18.13.png

Cliquez sur Add Attribute. La page qui s'affiche alors vous permettra de paramétrer l'activation de la synchronisation pour l'attribut créée préalablement. 

mceclip9.png

Le champs External namespace field permet d'ajouter dans le schéma d'Okta votre attribut (pour le json). Vous retrouverez d'ailleurs à chaque fois dans le framework d'Okta 2 standards:

  • urn:ietf:params:scim:schemas:core:2.0:User : associated schema for the attributes of the standard (firstName, lastName, etc.)

  • urn:ietf:params:scim:schemas:extension:enterprise:2.0:User : recommended schema by the SCIM standard for custom attributes (dtContractStart, dtContractEnd, etc.)

Voici un exemple du json retourné par l'application Lucca.Okta:

scim.png

Une fois les schémas validés, renseignez le champs external namespace avec la valeur: "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"

Le tour est joué.

Configurer les mapping dans Okta 

Dernière étape, gérer les mapping entre les attributs du profil Lucca et du profil Okta.

Sélectionnez Directory → Profile Editor. puis Apps et cliquez sur Mappings de l'intégration Lucca

 

Capture_d_e_cran_2021-09-01_a__11.21.10.png

Vous pouvez configurer le mapping Lucca to Okta et Okta to Lucca.

Capture_d_e_cran_2021-09-01_a__11.32.38.png

 

Notes sur la synchronisation Okta vers Lucca 

Rôles et permissions

Par défaut et pour des raisons de sécurité, le connecteur Okta sur l'instance Lucca n'autorise pas Okta à modifier les données utilisateurs.

Si vous souhaitez synchroniser Okta vers Lucca, et est nécessaire de modifier la permission de la clé d'api Okta.

Dans l'administration des rôles, il vous faut ajouter à la clé d'api Oka API intégration les permissions nécessaires pour modifier la fiche utilisateur.

mceclip0.png

Les permissions suivantes sont également nécessaires pour la synchronisation Okta -> Lucca :

  • Application "Lucca" -> "Administration des Départements"
  • Application "Lucca" -> "Modifier les établissements et les unités légales"

Limitations 

Attribut displayName

- Sur l'environnement Lucca, il n'existe pas de donnée RH displayName associée aux collaborateurs.

- Par défaut Okta attend un attribut displayName  sous l'attribut urn:ietf:params:scim:schemas:core:2.0:User.displayName.

mceclip0.png

Ainsi, pour faciliter votre configuration, l'attribut displayname est valorisé en complétant le nom de famille (familyName) avec le prénom (givenName).

 

Néanmoins, si vous avez configuré une synchronisation Okta -> Lucca sur le champ displayname, la synchronisation de ce champ n'aura aucun effet. Pour modifier le nom de famille ou le prénom, il faut synchroniser le familyName et givenName.

 

Données composées non personnalisables

Les données de type "Donnée composée non personnalisable" (CSP, calendrier, établissements, départements, rôles, ...) peuvent être synchronisées vers Okta, mais ne peuvent être synchronisées dans le sens Okta vers Lucca.

mceclip0.png

 

De même, les données qui ne sont pas modifiables dans le dossier RH (la rémunération théorique par exemple) ne peuvent pas être modifiées par Okta. 

 

mceclip0.png

 

Type de données propres à l'environnement.(Extended Data)

Les données simples ou composées créées pour l'environnement ne sont pas actuellement pas synchronisables dans le sens Okta -> Lucca.

Gérer les groups

Quatres groups sont disponibles dans Lucca. 

  • Les départements
  • Les établissements
  • Le pays
  • Les unités légales

Chaque groups (/api/groups) permet d'avoir tous les utilisateurs rattachés à un groupe. 

mceclip4.png

Les valeur Lucca. Okta API sont disponibles avec:

  • “LUCCA_LU” pour legal units
  • “LUCCA_ETS” pour establishments
  • “LUCCA_DEPT” pour departments
  • “LUCCA_COUNTRY” pour countries

Par défaut, aucun groups n'est actif. La synchronisation de cette donnée n'est pas obligatoire.

Importer les utilisateurs dans Okta

Cliquez sur Import puis Import Now.

Capture_d_e_cran_2021-09-01_a__11.34.37.jpg

Lorsque l'import est terminé, selon votre configuration, certaines données peuvent nécessiter une validation de votre part. 

Capture_d_e_cran_2021-09-01_a__11.38.17.png

Pour obtenir un rapport de l'import: Directory / People

mceclip3.png

En cliquant sur un utilisateur, les détails des données synchronisées s'affichent

mceclip4.png

Depuis Directory/Groups vous pouvez aussi consulter le rapport d'import des groups si vous l'avez réalisé.

mceclip2.png

 

 

Les groupes ne sont pas synchronisables dans le sens Okta vers Lucca.

Contenu de la page

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 3 sur 3