Si vous utilisez Azure comme fournisseur d'identité, veuillez suivre ce guide pour mettre en place le protocole SCIM pour votre organisation Tomorro.
A savoir : seul un admin peut gérer ces réglages sur Tomorro.
Si vous utilisez déjà une application Tomorro pour, par exemple, une connexion SAML, rendez-vous directement à l'étape 2.
Étape 1 - Créez une application sur AZURE
Connectez-vous à votre compte Azure, puis :
Allez dans la section Entreprise applications > Cliquez sur le bouton “Nouvelle application”
Puis cliquez sur l'option "Créer ma propre application".
Choisissez le nom de votre application, “Tomorro” par exemple, et sélectionnez l'option '"Intégrer avec une autre application qui n'existe pas sur Azure". Cliquez sur "Créer".
Étape 2 - Configurez les paramètres SCIM pour l'app
Rendez vous dans la partie "Provisioning" dans le menu de gauche
Renseignez les informations depuis le module SCIM de Tomorro, en copiant et collant les informations depuis le module d'intégration vers Azure, puis testez la connexion.
Une fois testée, enregistrez les informations.
Une section "Mappings" devrait alors apparaître sous le bout de test, nous permettant de continuer le paramétrage.
Étape 3 - Configurez le mapping utilisateurs
Dans cette étape, nous allons mettre à jour les mappings déjà existants, créer le mapping permettant d'assigner automatiquement les rôles Tomorro depuis Azure, et enfin supprimer les champs superflus.
Ouvrez la partie du mapping utilisateurs
1. Réglage des champs existants
Ouvrez l'attribut dont le customappsso est "userName" en cliquant sur sa ligne
Assurez-vous que les informations soient remplies comme ci-dessous, notamment que l'attribut source soit réglé sur "mail", puis validez via le bouton "Ok" dans le coin inférieur gauche.
Ouvrez également l'attribut dont le customappsso est "externalId", et assurez-vous que les informations soient remplies comme ci-dessous, notamment que l'attribut source soit réglé sur "objectId", puis validez via le bouton "Ok" dans le coin inférieur gauche.
2. Assignation des rôles Tomorro via userType
Afin de régler l'attribution d'un rôle Tomorro (admin, manager, contributeur) directement depuis Azure, vous devrez ajouter un nouveau mapping.
Cliquez sur "Ajouter un nouveau mapping"
Renseignez toutes les informations comme ci-dessous, en vous assurant que le champ cible soit userType. Quant au champ source, il s'agit de tout attribut que vous utilisez sur Azure. Nous avons pris ici comme example "jobTitle". Mais vous pourriez par exemple créer un attribut "tomorroRole".
Vous pourrez ensuite remplir cette valeur d'attribut depuis Azure pour indiquer le rôle à attribuer dans Tomorro, soit depuis l'utilisateur directement, soit depuis une assignation à un groupe Azure. Voici un exemple de remplissage de l'attribut depuis une fiche utilisateur pour un rôle d'admin.
Les correspondances des valeurs à inscrire dans l'attribut pour les différents rôles Tomorro sont telles que :
Attribut Azure ➡️ Rôle Tomorro
admin ➡️ Admin
manager ➡️ Manager
user ➡️ Contributeur
3. Suppression des champs superflus
Supprimez finalement tous les attributs superflus via le bouton "Supprimer" à l'extrême droite de la ligne, pour ne garder que les 6 attributs dont le cusomappsso est userName, active, name.givenName, name.familyName, externalId et userType, puis sauvegardez via le bouton en haut à gauche.
Étape 4 - Activez le provisioning automatique
Revenez à présent dans la partie précédente via le breadcrumb. Puis actualisez la page si nécessaire après quelques minutes afin de voir l'application Tomorro.
Ouvrez l'application.
Ouvrez la partie "Provisionnement", puis la partie "Provisionnement" à nouveau.
Activez le provisionnement automatique, puis sauvegardez.
Étape 5 - Sélectionnez les groupes et utilisateurs à provisionner
Ouvrez la partie "Utilisateurs et groupes", puis sélectionnez "Ajouter utilisateur/groupe"
Ouvrez le volet de droite en cliquant sur "Aucun sélectionné" sous "Utilisateurs et groupes". Sélectionnez ensuite un premier groupe ou bien utilisateur test dans le panneau de droite. Sauvegardez en bas du panneau.
Validez l'opération en cliquant sur "Assigner" dans le coin inférieur gauche.
Tous les utilisateurs et groupes ainsi assignés seront provisionnés dans Tomorro. Si le provisionnement est via un groupe, le groupe sera créé dans Tomorro, et les utilisateurs ajoutés à ce groupe.
Et voilà, le protocole SCIM est maintenant activé pour Tomorro ! 🚀
Informations additionnelles, nos conseils !
Les groupes créés sur Tomorro ne peuvent pas être rétro-synchronisés avec les groupes Azure. Nous vous conseillons de recréer ces groupes depuis Azure, puis d'utiliser ces nouveaux groupes provisionnés via SCIM afin d'ajouter les accès aux différents dossiers et modèles Tomorro. Il s'agit d'un investissement temporel qui vous fera gagner un temps précieux sur le long terme, automatisant ainsi les accès plus granulaires sur Tomorro directement depuis Azure.
Il peut être plus clair et efficace de séparer des groupes "d'accès" et des groupes de "permissions". Vous pourriez avoir différents groupes pour vos départements, ou bien vos zones géographiques, donnant accès à certains modèles ou bien certaines parties de votre contrathèque, puis avoir un groupe "Admins" et un groupe "Managers" qui règle l'attribut userType.
Azure permet de réaliser des mappings particulièrement précis et complexes. S'il s'agit d'un point important pour vous, veuillez visiter cette documentation Microsoft directement.