Description
Le connecteur Azure AD / Entra ID permet de remonter automatiquement les modifications des collaborateurs dans l'Active Directory.
Solution concernée : Fiche utilisateur
Type d'intégration : API
Sens de l'intégration : Lucca → Microsoft Entra ID
Fréquence de l'intégration : À chaque fois qu'un collaborateur est créé ou modifié (départs inclus)
Mise en place de l’intégration : Self-service
N.B. : "Microsoft Entra ID" est le nouveau nom de la solution auparavant dénommée "Azure Active Directory".
Prérequis
Ce connecteur est payant. Afin de l'activer, il faut en amont solliciter votre responsable commercial.
Données synchronisées
À la création ou la modification d'un collaborateur
En cas de création ou de modification d'un collaborateur, les informations suivantes sont envoyées vers Microsoft Entra ID :
- Nom.
- Prénom.
- Adresse email professionnelle, correspondant à l'UPN (UserPrincipalName) Entra ID.
- Département, correspondant au "service" dans Microsoft Entra ID.
- Intitulé de poste, correspondant au "poste" dans Microsoft Entra ID.
- Manager, correspondant au "Responsable" dans Microsoft Entra ID.
Attention : le mail professionnel indiqué dans Lucca doit absolument être renseigné avec le (ou les) "domain names" attendu(s) par Microsoft Entra ID.
Il est possible d'utiliser l'outil de génération automatique d'adresses email professionnelles dans Lucca pour vous aider dans cette tâche.
Au départ d'un collaborateur
Lorsqu'une date de fin de contrat est renseignée pour un collaborateur dans Lucca, et qu'elle n'est pas suivie d'un nouveau contrat, le collaborateur est supprimé à 00:00 J+1 (fuseau horaire de Paris) de sa date de fin de contrat dans Microsoft Entra ID. Par exemple, si le contrat d'un collaborateur s'achève le 19/10/2023 dans Lucca, son compte sera supprimé le 20/10/2023 à 00:00 UTC+02:00.
Si vous préférez ne pas supprimer le compte du salarié mais le désactiver, cela est également possible. Un paramètre est disponible dans le paramétrage du connecteur Entra. En désactivant ce paramètre de suppression, qui est le comportement par défaut, le paramètre "accountEnabled" d'Entra ID passera à "false" à la date de fin de contrat Lucca, s'il n'y a pas de contrat suivant celui qui se termine.
Installation
1. Microsoft Entra ID : Récupérer le tenant ID de votre environnement
Connectez-vous à votre Microsoft Entra ID, soit votre environnement de test en cas de tests, sinon votre environnement de production ; afin de mettre la main sur votre tenant ID.
2. Lucca : Installer le connecteur
Roue crantée > Autres paramètres > Intégrations
Depuis le module des connecteurs, ajoutez le connecteur Microsoft Entra ID, créez une nouvelle configuration et laissez-vous guider. Depuis une configuration, il est possible de définir le ou les établissements concernés par cette synchronisation.
Lors de l'installation, il vous sera demandé de saisir le tenant id de votre Microsoft Entra ID.
Lors de l'étape 2, le bouton "Autoriser" devrait vous rediriger vers une page de connexion Microsoft. Authentifiez-vous avec un compte d'administrateur de votre Microsoft Entra ID correspondant au "tenant ID" renseigné durant le paramétrage du connecteur dans Lucca.
Veillez à cocher la case donnant le consentement pour le compte de votre organisation puis acceptez.
3. Microsoft Entra ID : Paramétrage de votre Microsoft Entra ID
Dans “All applications”, sélectionnez l’application "Lucca" ou "LuccaBot" (Application ID: 53628f6a-ac66-4fde-8945-d639c8da4c0d
)
Cliquez ensuite sur "Permissions" puis sur “Grant Admin consent for [nom de l’instance]”.
4. Lucca : Constater les flux entre Lucca et Microsoft Entra ID dans votre espace Lucca.
L'administration des connecteurs de votre espace Lucca vous propose également une interface permettant de suivre les flux d'intégration de vos connecteurs installés.
Pour cela, rendez-vous dans la section "Logs d'intégration". Si vous n'y avez pas accès, c'est que vos rôles ne vous donnent pas la permission "Administration des intégrations". Rapprochez-vous de votre administrateur ou de notre support.
Notifications email
Roue crantée > Autres paramètres > Intégrations > Microsoft Entra ID
Depuis l'interface de paramétrage d'une configuration, il est possible de renseigner des adresses email qui seront notifiées lorsque certains événements sont déclenchés par le connecteur :
- Lorsqu'un collaborateur est créé dans l'AD, est envoyé un email qui contient un lien permettant d'initialiser le mot de passe du collaborateur dans l'AD, ainsi qu'un autre lien permettant d'accéder à son dossier RH dans Lucca.
- Lorsque le connecteur ne parvient pas à créer un collaborateur dans l'AD, est envoyé un email qui contient un lien permettant de le créer manuellement dans l'AD, ainsi qu'un lien permettant d'accéder à son dossier RH dans Lucca.
- Lors de la désactivation d'un collaborateur sur le départ, est envoyé un simple email de notification.
- Lorsque le connecteur ne parvient pas à désactiver un collaborateur sur le départ, est envoyé un email de notification. Généralement, la raison de cet échec est que le collaborateur a déjà été désactivé dans l'AD.
FAQ / Dépannage
J'observe des erreurs "Authorization_RequestDenied" dans les logs
Référez-vous à l'étape n°3 du processus d'installation décrit plus haut ("Grant Admin consent for lucca").
Le connecteur a créé un doublon dans Microsoft Entra ID
L'identifiant du collaborateur dans Microsoft Entra ID est récupéré à sa première synchronisation entre les deux systèmes (qui peut être soit une création, soit une modification). Lors de cette première synchronisation, la clé d'identification du collaborateur est son email professionnel. Par la suite, elle sera son identifiant.
En conséquence, il est possible que le connecteur entraîne la création d'un doublon :
- Le collaborateur est déjà dans Microsoft Entra ID.
- Il existe également déjà côté Lucca, mais n'a jamais été synchronisé avec Microsoft Entra ID (le connecteur vient d'être installé).
- Son adresse email professionnel est modifiée.
- Le connecteur essaie de l'identifier via son adresse email professionnelle auprès de Microsoft Entra ID, sans succès.
- Il est donc créé dans Microsoft Entra ID, et son identifiant est récupéré et servira dorénavant à l'identifier.
Bien sûr, ce problème relève d'un cas qui ne devrait presque jamais se produire.
Un salarié a été désactivé dans Entra ID (et non pas supprimé), et est revenu dans la société
Pour ce cas de figure, la réactivation du compte dans Entra ne pourra pas se faire via le connecteur. Il faudra réactiver le collaborateur ("accountEnabled" = "true" dans Entra) manuellement. En revanche, ses informations seront bien modifiées dans Entra si elles le sont dans Lucca.