Comment intégrer Azure Entra à l’approvisionnement d’utilisateurs DocuWare

Prev Next

Si votre organisation utilise Azure Entra pour gérer l'accès des collaborateurs aux outils et services, vous pouvez tirer parti de la fonctionnalité « Provisioning » d'Azure afin de fournir automatiquement à vos utilisateurs un accès à DocuWare via SCIM. Ce guide vous accompagne dans les étapes de configuration de DocuWare et d'Azure Entra pour mettre en place le provisioning au sein de votre organisation.

La version actuelle de UserSync (v3) prend en charge les fonctionnalités de provisioning suivantes :

  • Création automatique d'utilisateurs : les utilisateurs affectés à l'application Enterprise dans Azure sont automatiquement créés en tant qu'utilisateurs dans DocuWare.

  • Synchronisation des attributs : toute modification des attributs d'un utilisateur (userName, e-mail, statut actif) dans Azure est répercutée dans DocuWare.

  • Désactivation d'utilisateurs : lorsque des utilisateurs sont désactivés dans Azure, ils sont marqués comme « désactivés » dans DocuWare et ne peuvent plus se connecter.

Créer une nouvelle application dans Microsoft Azure Entra

  1. Connectez-vous au portail Azure via le lien suivant : Home - Microsoft Azure

  2. Accédez à la page Enterprise Applications.

  3. Cliquez sur New Application :

  1. Cliquez sur Create your own application :

  1. Choisissez un Name pour votre application et sélectionnez l'option
    Integrate any other application you don't find in the gallery (Non-gallery)

  2. Cliquez sur Create.

  3. Une fois l'application créée, accédez à Provisioning.

  4. Sous Provisioning Mode, sélectionnez Automatic.

  1. Ouvrez la section Admin Credentials.

  2. Ne fermez pas la configuration Azure et basculez vers Configurations DocuWare.

Intégrer la nouvelle application Azure dans DocuWare

  1. Dans DocuWare, accédez à Configurations > Général > User Provisioning.

  2. Dans le plug-in User Provisioning, activez l'option Enable User Provisioning.  

  3. Dans la liste déroulante Identity Provider, sélectionnez Azure Entra.

  4. Dans la liste déroulante Application Registration, sélectionnez un enregistrement d'application déjà créé ou cliquez sur le bouton « Create Application Registration ».

  5. Renseignez l'Application Name :

  6. Depuis l'enregistrement d'application que vous venez de créer, copiez les valeurs suivantes :

    1. Application (Client) ID

    2. Client Secret

  7. Cliquez sur le bouton Done.

  8. Après l'enregistrement, deux méthodes d'authentification sont proposées :
    OAuth2 Client Credentials Grant et Bearer Authentication.

  9. La suite des étapes dépend de la méthode d'authentification choisie :

    1. OAuth2 Client Credentials Grant

      • Copiez les liens Tenant URL et Token Endpoint.

      • Revenez à Entra > votre application > Manage > Provisioning > Admin Credentials.

      • Vérifiez que OAuth2 Client Credentials Grant est sélectionné dans la liste déroulante Authentication Method.

      • Collez toutes les données copiées à l'étape 5 dans les champs correspondants.

      • Lorsque toutes les données requises sont renseignées, cliquez sur le bouton Test Connection.

      • Cliquez ensuite sur Save pour enregistrer les modifications.

      • Si un message d'erreur s'affiche en haut à droite après l'enregistrement, cliquez à nouveau sur le bouton Save.

    2. Bearer Authentication

      • Copiez le lien Tenant URL ainsi que le Bearer token généré.

      • Revenez à Entra > votre application > Manage > Provisioning > Admin Credentials.

      • Vérifiez que Bearer Authentication est sélectionné dans la liste déroulante Authentication Method.

      • Collez le lien Tenant URL et le Bearer token copiés précédemment.

      • Lorsque toutes les données requises sont renseignées, cliquez sur le bouton Test Connection.

      • Cliquez ensuite sur Save pour enregistrer les modifications.

Mapper les attributs d'utilisateurs et de groupes entre DocuWare et Microsoft Entra ID

Le mappage des attributs d'utilisateurs et de groupes entre DocuWare et Microsoft Entra ID permet de faire correspondre et de synchroniser les utilisateurs et les groupes.

  1. Ouvrez Microsoft Entra ID.

  2. Pour mapper les utilisateurs, choisissez Provisioning > Attribute Mapping > Provision Microsoft Entra ID Users.

  3. Définissez les mappages d'attributs d'utilisateur :

    1. Mappages obligatoires :

      • userName: Item(Split([userPrincipalName], "@"), 1)

      • active: Switch([IsSoftDeleted], , "False", "True", "True", "False")

      • emails[type eq "work"].value: Coalesce([mail],[userPrincipalName])

      • externalId: objectId

    2. Mappages facultatifs :

      • name.givenName: givenName

      • name.familyName: surname

  4. Informations complémentaires

    1. Pour mapper l'attribut userName, vous devez d'abord mettre à jour sa configuration :

      • Ouvrez l'attribut userPrincipalName via Edit Attribute.

      • Modifiez le type de mappage en Expression.

      • Mettez à jour le champ d'expression avec : Item(Split([userPrincipalName], "@"), 1)

      • Cliquez sur OK pour enregistrer.

    2. Pour mapper l'attribut e-mail, vous devez d'abord mettre à jour sa configuration :

      • Ouvrez l'attribut emails[type eq "work"].value via Edit Attribute.

      • Modifiez le type de mappage en Expression.

      • Mettez à jour le champ d'expression avec : Coalesce([mail],[userPrincipalName])

      • Cliquez sur OK pour enregistrer.

    3. Pour mapper correctement l'attribut externalId, vous devez également mettre à jour sa configuration au préalable :

      • Ouvrez en mode édition l'attribut : externalId: mailNickname

      • Remplacez le Source attribute par : objectId

      • Cliquez sur OK pour enregistrer.

  5. Supprimez tous les mappages superflus, puis cliquez sur Save. Si ces mappages ne sont pas supprimés, le provisioning des utilisateurs mis à jour peut générer des erreurs.

  6. Pour mapper les groupes, choisissez Provisioning > Attribute Mapping > Provision Microsoft Entra ID Groups.

  1. Définissez les mappages de groupes :

    1. Supprimez le mappage redondant externalId → objectId.

    2. Désactivez l'option « Delete » dans Target Object Actions.

    3. Enregistrez les modifications.

Provisioning des utilisateurs et des groupes

Dans votre application Entra, accédez à la page Overview et cliquez sur le bouton Start Provisioning :

Provisioning des utilisateurs

  1. Cliquez sur Manage > Users and Groups > Add user/group > sélectionnez les utilisateurs à provisionner > Assign.

  2. Une fois les utilisateurs souhaités ajoutés au provisioning, ils seront provisionnés automatiquement après un certain délai, ou vous pouvez choisir de les provisionner à la demande.

  1. Accédez à Configurations DocuWare > Général > Gestion des utilisateurs.

  2. Vérifiez que les utilisateurs attendus y ont bien été provisionnés.

Provisioning des groupes :

  1. Cliquez sur Manage > Users and Groups > Add user/group > sélectionnez un groupe à provisionner > Assign.
    Remarque : si vous souhaitez affecter les membres du groupe à la demande, vous devez également les ajouter à la liste.

  2. Une fois les groupes et les utilisateurs souhaités ajoutés au provisioning, ils seront provisionnés automatiquement après un certain délai, ou vous pouvez choisir de les provisionner à la demande.

  1. Accédez à Configurations DocuWare > Général > Gestion des utilisateurs.

  2. Vérifiez que les groupes et les utilisateurs attendus y ont bien été provisionnés.

Informations complémentaires sur le processus de provisioning des groupes

  1. Recherche de groupes : le système commence par rechercher un groupe existant à l'aide du displayName indiqué. Si un groupe portant ce displayName existe déjà dans DocuWare, il est mis à jour ; sinon, un nouveau groupe est créé.

  2. Gestion de la création et de la mise à jour des groupes :
    a) Création de nouveaux groupes : lorsqu'aucun groupe existant dans DocuWare ne correspond au displayName, le service crée un nouveau groupe avec les membres indiqués.
    b) Mise à jour des groupes existants : si un groupe correspondant est trouvé, le service met à jour ses informations et lui ajoute les nouveaux membres. Les membres existants ne sont pas remplacés, mais conservés aux côtés des nouveaux.

    Une fois les groupes mappés après leur première synchronisation, les correspondances ultérieures se font via l'attribut ID. Par exemple, si vous renommez un groupe dans Entra ID puis provisionnez le groupe mis à jour, ce dernier est identifié par son ID. Le service met alors à jour le nom du groupe dans DocuWare sans en retirer les membres.

  3. Gestion des membres :
    a) Ajout de membres : lors de la mise à jour des groupes, les nouveaux membres sont ajoutés tandis que les membres actuels sont conservés.
    b) Prévention des doublons : le système est conçu pour éviter l'ajout de membres en double dans les groupes, garantissant ainsi l'unicité de chaque membre au sein d'un groupe.

  4. Système de référence : Microsoft Entra ID est le système de référence pour tous les utilisateurs et groupes provisionnés. Effectuez toutes les modifications, telles que l'ajout ou la suppression d'utilisateurs dans des groupes, dans Entra ID. Évitez d'effectuer des modifications manuelles directement dans DocuWare. Ces modifications ne sont pas synchronisées vers Entra ID et peuvent entraîner des incohérences. Par exemple, si vous supprimez manuellement un utilisateur d'un groupe synchronisé dans DocuWare, le service de provisionnement ne peut pas réaffecter cet utilisateur au groupe. Pour restaurer l'appartenance correcte au groupe, effectuez la modification dans Entra ID.

Versions prises en charge : DocuWare Cloud