Microsoft Azure AD / Entra ID - Solution de gestion des identités et des accès

Description

Le connecteur Azure AD / Entra ID permet de remonter automatiquement les modifications des collaborateurs dans l'Active Directory.

Solution concernée : Fiche utilisateur
Type d'intégration : API
Sens de l'intégration : Lucca → Microsoft Entra ID
Fréquence de l'intégration : À chaque fois qu'un collaborateur est créé ou modifié (départs inclus)
Mise en place de l’intégration : Self-service

N.B. : "Microsoft Entra ID" est le nouveau nom de la solution auparavant dénommée "Azure Active Directory".

Données synchronisées

À la création ou la modification d'un collaborateur

En cas de création ou de modification d'un collaborateur, les informations suivantes sont envoyées vers Microsoft Entra ID

  • Nom.
  • Prénom.
  • Adresse email professionnelle.
  • Département, correspondant au "service" dans Microsoft Entra ID.
  • Intitulé de poste, correspondant au "poste" dans Microsoft Entra ID.
  • Manager, correspondant au "Responsable" dans Microsoft Entra ID.

Attention : le mail professionnel indiqué dans Lucca doit absolument être renseigné avec le (ou les) "domain names" attendu(s) par Microsoft Entra ID.

Il est possible d'utiliser l'outil de génération automatique d'adresses email professionnelles dans Lucca pour vous aider dans cette tâche.

Au départ d'un collaborateur

Lorsqu'une date de fin de contrat est renseignée pour un collaborateur dans Lucca, et qu'elle n'est pas suivie d'un nouveau contrat, le collaborateur est désactivé à 00:00 J+1 (fuseau horaire de Paris) de sa date de fin de contrat dans Microsoft Entra ID. Par exemple, si le contrat d'un collaborateur s'achève le 19/10/2023 dans Lucca, son compte sera désactivé le 20/10/2023 à 00:00 UTC+02:00.

Installation

1. Microsoft Entra ID : Récupérer le tenant ID de votre environnement

Connectez-vous à votre Microsoft Entra ID, soit votre environnement de test en cas de tests, sinon votre environnement de production ; afin de mettre la main sur votre tenant ID.

2. Lucca : Installer le connecteur

La personne faisant la manipulation doit avoir à minima les permissions administratrices suivantes : "Administration des Applications" et "Administration des Intégrations".

Roue crantée > Applications

Depuis l'administration des applications Lucca, ajouter l'application Microsoft Entra ID et laissez-vous guider.

Lors de l'installation, il vous sera demandé de saisir le tenant id de votre Microsoft Entra ID

Enfin, cliquez sur le bouton "Poursuivre la configuration sur Microsoft Entra ID" ou bien renseignez l'URL suivante dans votre navigateur : 

https://[nom-instance].ilucca.net/integrations/azure-active-directory/deploy/start

N.B.: "[nom-instance]" correspond au nom de votre instance Lucca.

Vous devriez être redirigé vers une page de connexion Microsoft. Authentifiez-vous avec un compte d'administrateur de votre Microsoft Entra ID correspondant au "tenant ID" renseigné durant le paramétrage du connecteur dans Lucca.

Veillez à cocher la case donnant le consentement pour le compte de votre organisation puis acceptez.

3. Microsoft Entra ID : Paramétrage de votre Microsoft Entra ID

Attention : les visuels peuvent varier en fonction de la version de votre Microsoft Entra ID.

Dans “All applications”, sélectionnez l’application "Lucca" ou "LuccaBot" (Application ID: 53628f6a-ac66-4fde-8945-d639c8da4c0d)

Cliquez ensuite sur "Permissions" puis sur “Grant Admin consent for [nom de l’instance]”.

4. Lucca : Constater les flux entre Lucca et Microsoft Entra ID dans votre espace Lucca.

L'administration des applications de votre espace Lucca vous propose également une interface permettant de suivre les flux d'intégration de vos connecteurs installés.

Pour cela, rendez-vous dans la section "Logs d'intégration". Si vous n'y avez pas accès, c'est que vos rôles ne vous donnent pas la permission "Administration des intégrations". Rapprochez-vous de votre administrateur ou de notre support.

Notifications email

Roue crantée > Applications > Azure Active Directory

Depuis l'interface de paramétrage du connecteur, il est possible de renseigner des adresses email qui seront notifiées lorsque certains événements sont déclenchés par le connecteur :

  • Lorsqu'un collaborateur est créé dans l'AD, est envoyé un email qui contient un lien permettant d'initialiser le mot de passe du collaborateur dans l'AD, ainsi qu'un autre lien permettant d'accéder à son dossier RH dans Lucca.
  • Lorsque le connecteur ne parvient pas à créer un collaborateur dans l'AD, est envoyé un email qui contient un lien permettant de le créer manuellement dans l'AD, ainsi qu'un lien permettant d'accéder à son dossier RH dans Lucca.
  • Lors de la désactivation d'un collaborateur sur le départ, est envoyé un simple email de notification.
  • Lorsque le connecteur ne parvient pas à désactiver un collaborateur sur le départ, est envoyé un email de notification. Généralement, la raison de cet échec est que le collaborateur a déjà été désactivé dans l'AD.

FAQ / Dépannage

J'observe des erreurs "Authorization_RequestDenied" dans les logs

Référez-vous à l'étape n°3 du processus d'installation décrit plus haut ("Grant Admin consent for lucca").

Le connecteur a créé un doublon dans Microsoft Entra ID

L'identifiant du collaborateur dans Microsoft Entra ID est récupéré à sa première synchronisation entre les deux systèmes (qui peut être soit une création, soit une modification). Lors de cette première synchronisation, la clé d'identification du collaborateur est son email professionnel. Par la suite, elle sera son identifiant.

En conséquence, il est possible que le connecteur entraîne la création d'un doublon : 

  1. Le collaborateur est déjà dans Microsoft Entra ID.
  2. Il existe également déjà côté Lucca, mais n'a jamais été synchronisé avec Microsoft Entra ID (le connecteur vient d'être installé).
  3. Son adresse email professionnel est modifiée.
  4. Le connecteur essaie de l'identifier via son adresse email professionnelle auprès de Microsoft Entra ID, sans succès.
  5. Il est donc créé dans Microsoft Entra ID, et son identifiant est récupéré et servira dorénavant à l'identifier.

Bien sûr, ce problème relève d'un cas qui ne devrait presque jamais se produire.

 

Contenu de la page

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0