Le provisionnement des utilisateurs avec Okta permet d'automatiser la gestion du cycle de vie des utilisateurs dans DocuWare via le protocole SCIM. Lorsque vous attribuez ou retirez des utilisateurs et des groupes dans Okta, ces modifications sont automatiquement répercutées dans DocuWare, sans création ni désactivation manuelle d'utilisateur.
Cette intégration se configure à deux endroits : la console d'administration Okta (où vous créez l'intégration d'application SAML/SCIM) et Configurations DocuWare > Général > Provisionnement des utilisateurs (où vous activez SCIM et enregistrez l'application Okta).
La version actuelle d'UserSync (v3) prend en charge les fonctions de provisionnement suivantes :
Création automatique des utilisateurs : les utilisateurs attribués à l'application DocuWare dans Okta sont automatiquement créés dans DocuWare.
Synchronisation des attributs : les modifications apportées aux attributs des utilisateurs (userName, e-mail, statut actif) dans Okta sont répercutées dans DocuWare.
Désactivation des utilisateurs : lorsqu'un utilisateur est désactivé dans Okta, il est marqué comme désactivé dans DocuWare et ne peut plus se connecter.
Configurer l'application Okta
Cette section décrit comment créer une intégration d'application SAML dans Okta et y activer le provisionnement SCIM. La méthode de connexion SAML est requise par Okta pour débloquer l'onglet de provisionnement, mais elle n'est pas utilisée pour l'authentification réelle.
Connectez-vous à votre organisation Okta et ouvrez la vue Admin.
Accédez à Applications > Applications.
.png)
Cliquez sur Create App Integration.
.png)
Choisissez SAML 2.0 comme méthode de connexion et cliquez sur Next. Cette méthode de connexion n'est pas utilisée pour l'authentification, mais elle est nécessaire pour activer le provisionnement SCIM.
.png)
Sous l'onglet General Settings, saisissez un nom pour l'application (par exemple, « DocuWare SCIM ») et cliquez sur Next.
.png)
Sous l'onglet Configure SAML, saisissez une URL fictive dans les champs Single sign-on URL et Audience URI. Les valeurs réelles importent peu, car SAML n'est pas utilisé. Vous pouvez saisir
http://www.okta.comdans les deux champs. Cliquez sur Next.
.png)
Sous l'onglet Feedback, sélectionnez This is an internal app that we have created puis cliquez sur Finish.
.png)
Ouvrez l'application que vous venez de créer. Sous l'onglet General, dans la section App Settings, cliquez sur Edit. Définissez Provisioning sur SCIM et cliquez sur Save.
.png)
Faites défiler la page jusqu'à App Embed Link et copiez le segment d'ID situé après
/home/dans le lien d'intégration. Par exemple, si le lien contient/home/trial-5967756_oktascimintegration_1/, copieztrial-5967756_oktascimintegration_1. Vous aurez besoin de cette valeur lors de la configuration dans DocuWare.
.png)
Laissez la configuration Okta ouverte et passez à la configuration de DocuWare.
Configurer le provisionnement des utilisateurs dans DocuWare
Accédez à Configurations DocuWare > Général > Provisionnement des utilisateurs.
Activez l'option Activer le provisionnement des utilisateurs.
Dans la liste déroulante Fournisseur d'identité, sélectionnez Okta.
Dans la liste déroulante Enregistrement de l'application, sélectionnez un enregistrement d'application existant. Si aucun n'existe, cliquez sur Créer un enregistrement d'application.
.png)
Saisissez un nom pour l'enregistrement de l'application et ajoutez une URL de redirection au format suivant :
https://system-admin.okta.com/admin/app/cpc/<OktaAppID>/oauth/callbackRemplacez
<OktaAppID>par l'ID copié à l'étape 9 de la configuration Okta. Par exemple :https://system-admin.okta.com/admin/app/cpc/trial-5967756_oktascimintegration_1/oauth/callback
.png)
Cliquez sur Créer.
Dans l'enregistrement d'application nouvellement créé, copiez les valeurs suivantes :
ID d'application (client)
Secret client
.png)
Cliquez sur Enregistrer.
Copiez les URL de point de terminaison suivantes depuis la page Provisionnement des utilisateurs. Vous en aurez besoin pour la configuration du provisionnement dans Okta :
SCIM connector base URL
Point de terminaison d'autorisation
Access token endpoint URI
Terminer la configuration du provisionnement dans Okta
Revenez à l'application Okta. Sous l'onglet Provisioning, accédez à Integration et cliquez sur Edit. Saisissez les valeurs suivantes :
SCIM connector base URL : collez la SCIM connector base URL provenant de DocuWare.
Unique identifier field for users : saisissez « userName ».
Supported provisioning actions : sélectionnez Import New Users and Profile Updates, Push New Users, Push Profile Updates et Push Groups.
Authentication Mode : sélectionnez OAuth 2.
Authorization endpoint URI : collez le point de terminaison d'autorisation provenant de DocuWare.
Access token endpoint URI : collez l'Access token endpoint URI provenant de DocuWare.
Client ID : collez l'ID d'application (client) provenant de DocuWare.
Client Secret : collez le secret client provenant de DocuWare.
.png)
Cliquez sur Save. Revenez ensuite à l'onglet Integration et cliquez sur le bouton d'authentification en bas de la page pour générer un jeton. Saisissez vos identifiants d'administrateur DocuWare lorsque vous y êtes invité. Un message de confirmation s'affiche dès que le jeton est généré.
.png)
Une nouvelle section To App apparaît sous l'onglet Provisioning. Dans Provisioning to App, cliquez sur Edit et activez Create Users, Update User Attributes et Deactivate Users. Cliquez sur Save.
.png)
Faites défiler la page jusqu'à Attribute Mappings et cliquez sur Go to Profile Editor.
.png)
Dans le Profile Editor, sélectionnez Mappings.
.png)
Configurez les mappages de profil utilisateur suivants. Définissez tous les autres mappages sur Do not map :
appuser.givenName → firstName
appuser.familyName → lastName
appuser.email → email
Après avoir supprimé tous les mappages inutiles, cliquez sur Save Mappings.
.png)
Passez à l'onglet Okta User to App et répétez le même nettoyage des mappages.
.png)
Dans le Profile Editor, supprimez tous les attributs restants à l'exception de Username, Given name, Family name et Primary email.
.png)
La configuration du provisionnement est terminée.
Provisionner des utilisateurs
Pour provisionner des utilisateurs individuels :
Ouvrez l'application Okta et accédez à l'onglet Assignments.
Cliquez sur Assign > Assign to People et attribuez les utilisateurs à provisionner.
.png)
.png)
Vérifiez que les utilisateurs provisionnés apparaissent dans Configurations DocuWare > Gestion des utilisateurs.
.png)
Provisionner des groupes et leurs membres
Pour provisionner un groupe entier, y compris ses membres :
Ouvrez l'application Okta et accédez à l'onglet Assignments.
Cliquez sur Assign > Assign to Groups et attribuez le groupe à provisionner. Tous les membres du groupe sont inclus automatiquement.
.png)
.png)
Accédez à l'onglet Push Groups. Cliquez sur Push Groups > Find groups by name, saisissez le nom du groupe, laissez l'option Push group membership immediately activée et cliquez sur Create Group.
.png)
Vérifiez le groupe et ses membres dans DocuWare.

Fonctionnement du provisionnement de groupes
Comprendre le comportement de synchronisation des groupes permet d'anticiper ce qui se passe lorsque des groupes sont créés, renommés ou modifiés dans Okta.
Correspondance des groupes : le système recherche un groupe DocuWare existant par nom d'affichage. Si une correspondance est trouvée, le groupe est mis à jour. Sinon, un nouveau groupe est créé.
Conservation des membres : lors de la mise à jour d'un groupe existant, les nouveaux membres sont ajoutés et les membres existants sont conservés. Les doublons sont automatiquement évités.
Mappage par ID après la première synchronisation : à partir de la première synchronisation, les groupes sont mis en correspondance par leur ID interne plutôt que par leur nom d'affichage. Si vous renommez un groupe dans Okta, il est mis en correspondance avec le groupe DocuWare existant par ID et son nom est mis à jour en conséquence. Les membres existants ne sont pas retirés.