Partager via

Approvisionner des attributs de sécurité personnalisés depuis les sources RH (aperçu)

L’approvisionnement d’attributs de sécurité personnalisé permet aux clients de définir automatiquement des attributs de sécurité personnalisés à l’aide des fonctionnalités d’approvisionnement entrant Microsoft Entra. Avec cette préversion publique, vous pouvez obtenir des valeurs sources pour les attributs de sécurité personnalisés provenant de sources faisant autorité, telles que celles des systèmes RH. L’approvisionnement d’attributs de sécurité personnalisé prend en charge les sources suivantes : Workday, SAP SuccessFactors et d’autres systèmes RH intégrés qui utilisent l’approvisionnement piloté par l’API. L'objectif d'approvisionnement est votre client Microsoft Entra ID.

Diagramme de l’architecture des attributs de sécurité personnalisés.

Remarque

Nous offrons à nos clients des versions d'évaluation publiques selon les conditions applicables aux versions d'évaluation. Ces termes sont décrits dans les conditions générales du produit Microsoft pour les services en ligne. Les contrats de niveau de service normaux (SLA) ne s’appliquent pas aux préversions publiques, et seul un support client limité est disponible. En outre, cette préversion ne prend pas en charge l’approvisionnement d’attributs de sécurité personnalisés pour les applications SaaS d’entreprise ou les fonctionnalités Active Directory locales.

Attributs de sécurité personnalisés

Les attributs de sécurité personnalisés dans l’ID Microsoft Entra sont des attributs spécifiques à l’entreprise (paires clé-valeur) que vous pouvez définir et affecter aux objets Microsoft Entra. Ces attributs peuvent être utilisés pour stocker des informations, classer des objets ou appliquer un contrôle d’accès affiné sur des ressources Azure spécifiques. Pour en savoir plus sur les attributs de sécurité personnalisés, consultez Qu’est-ce que les attributs de sécurité personnalisés dans Microsoft Entra ID ?.

Conditions préalables

Pour provisionner des attributs de sécurité personnalisés, vous devez respecter les conditions préalables suivantes :

Limitations connues

  • Le service d’approvisionnement prend uniquement en charge la définition d’attributs de sécurité personnalisés de type String.
  • La fourniture d’attributs de sécurité personnalisés de type Integer et Boolean n’est pas prise en charge.
  • L’approvisionnement d’attributs de sécurité personnalisés à valeurs multiples n’est pas pris en charge.
  • L’approvisionnement d’attributs de sécurité personnalisés désactivés n’est pas pris en charge.
  • Avec le rôle Lecteur du journal des attributs, vous ne pouvez pas afficher la valeur d’attribut de sécurité personnalisée dans les journaux d’approvisionnement.

Configuration de votre application d’approvisionnement avec des attributs de sécurité personnalisés

Avant de commencer, suivez ces étapes pour ajouter des attributs de sécurité personnalisés dans votre locataire Microsoft Entra ID et mapper des attributs de sécurité personnalisés dans votre application d’approvisionnement entrante.

Définir des attributs de sécurité personnalisés dans votre locataire Azure AD Microsoft Entra ID

Dans le Centre d’administration Microsoft Entra, accédez à l'option pour ajouter des attributs de sécurité personnalisés à partir de Entra ID. Vous devez disposer au moins d’un rôle Administrateur de définition d’attribut pour effectuer cette tâche.

Cet exemple inclut des attributs de sécurité personnalisés que vous pouvez ajouter à votre locataire. Utilisez l’ensemble HRConfidentialData d’attributs, puis ajoutez les attributs suivants à :

  • EEOStatus
  • FLSAStatus
  • Grade de paiement
  • PayScaleType

Capture d’écran des attributs actifs de sécurité personnalisés.

Mapper des attributs de sécurité personnalisés dans votre application d’approvisionnement entrant

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’utilisateur disposant des autorisations d’administrateur d’application et d’attribution d’attributs d’administrateur .

  2. Accédez à Applications d’entreprise, puis ouvrez votre application d’approvisionnement entrante.

  3. Ouvrez l’écran Provisionnement .

    Capture d’écran de la vue d’ensemble du provisionnement.

    Remarque

    Cette aide affiche les captures d’écran de l’approvisionnement piloté par l’API sur l’ID Microsoft Entra. Si vous utilisez des applications de provisionnement Workday ou SuccessFactors, vous verrez les attributs et configurations associés à Workday et SuccessFactors.

  4. Sélectionnez Modifier l’approvisionnement.

    Capture d’écran de l'écran de modification de l'approvisionnement.

  5. Sélectionnez Mappage d’attributs pour ouvrir l’écran de mappage d’attributs.

    Capture d’écran de l’écran de mappage d’attributs.

  6. Définissez les attributs sources que vous souhaitez stocker les données RH sensibles, puis cochez la case Afficher les options avancées pour ouvrir la liste des attributs.

  7. Sélectionnez Modifier la liste d’attributs de l’API pour identifier les attributs que vous souhaitez tester.

    Capture d’écran de l’écran Modifier la liste des attributs pour l’API.

    • Testez l’approvisionnement d’attributs de sécurité personnalisés avec l’API Provisionnement entrant en définissant un espace de noms de schéma SCIM : urn:ietf:params:scim:schemas:extension:microsoft:entra:csa. Veillez à inclure les attributs suivants :

      • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:EEOStatus
      • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:FLSAStatus
      • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayGrade
      • urn:ietf:params:scim:schemas:extension:microsoft:entra:csa:PayScaleType

    Capture d’écran de l’option d’espace de noms de schéma SCIM.

    Remarque

    Vous pouvez définir votre propre espace de noms de schéma SCIM pour représenter des données RH sensibles dans votre charge utile SCIM. Assurez-vous qu’il commence par urn:ietf:params:scim:schemas:extension.

    • Si vous utilisez Workday ou SuccessFactors comme source RH, mettez à jour la liste des attributs avec des expressions d'API pour récupérer les données RH à stocker dans la liste des attributs de sécurité personnalisés.

    • Si vous souhaitez récupérer le même ensemble de données RH à partir de SuccessFactors, utilisez les expressions d’API suivantes :

      • $.employmentNav.results[0].jobInfoNav.results[0].eeoClass
      • $.employmentNav.results[0].jobInfoNav.results[0].flsaStatus
      • $.employmentNav.results[0].jobInfoNav.results[0].payGradeNav.name
      • $.employmentNav.results[0].jobInfoNav.results[0].payScaleType

    Capture d’écran des expressions d’API disponibles pour sélectionner.

  8. Enregistrez les modifications apportées au schéma.

  9. Dans l’écran Mappage d’attributs , sélectionnez Ajouter un nouveau mappage.

    Capture d’écran de l’option Ajouter de nouvelles options de mappage.

    • Les attributs de sécurité personnalisés s’affichent au format CustomSecurityAttributes.<AttributeSetName>_<AttributeName>.

  10. Ajoutez les mappages suivants, puis enregistrez les modifications :

    Attribut source de l’API Attribut cible de Microsoft Entra ID
    urn :ietf :params :scim :schemas :extension :microsoft :entra :csa :EEOStatus CustomSecurityAttributes.HRConfidentialData_EEOStatus
    urn :ietf :params :scim :schemas :extension :microsoft :entra :csa :FLSAStatus CustomSecurityAttributes.HRConfidentialData_FLSAStatus
    urn :ietf :params :scim :schemas :extension :microsoft :entra :csa :PayGrade CustomSecurityAttributes.HRConfidentialData_PayGrade
    urn :ietf :params :scim :schemas :extension :microsoft :entra :csa :PayScaleType CustomSecurityAttributes.DonnéesConfidentiellesRH_TypeÉchelleSalariale

Tester l’approvisionnement d’attributs de sécurité personnalisés

Une fois que vous avez mappé des attributs sources RH aux attributs de sécurité personnalisés, utilisez la méthode suivante pour tester le flux des données d’attributs de sécurité personnalisés. La méthode que vous choisissez dépend de votre type d’application d’approvisionnement.

  • Si votre travail utilise Workday ou SuccessFactors comme source, utilisez la fonctionnalité d’approvisionnement à la demande pour tester le flux de données des attributs de sécurité personnalisés.
  • Si votre travail utilise l’approvisionnement piloté par l’API, envoyez la charge utile en bloc SCIM au point de terminaison de l’API bulkUpload de votre travail.

Tester avec l’application de provisionnement SuccessFactors

Dans cet exemple, les attributs SAP SuccessFactors sont mappés aux attributs de sécurité personnalisés, comme indiqué ici :

Capture d’écran des options de mappage d’attributs SAP.

  1. Ouvrez le travail d’approvisionnement SuccessFactors, puis sélectionnez Provisionner à la demande.

Capture d’écran de la vue d’ensemble de l’ID Microsoft Entra avec provisionnement à la demande.

  1. Dans la zone Sélectionner un utilisateur , entrez l’attribut personIdExternal de l’utilisateur que vous souhaitez tester.

    Les journaux d’approvisionnement affichent les attributs de sécurité personnalisés que vous définissez.

    Capture d’écran de l’écran Attributs modifiés.

    Remarque

    Les valeurs source et cible des attributs de sécurité personnalisés sont masquées dans les journaux de provisionnement.

  2. Dans l’écran Attributs de sécurité personnalisés du profil Microsoft Entra ID de l’utilisateur, vous pouvez afficher les valeurs réelles définies pour cet utilisateur. Vous avez besoin au moins du rôle Administrateur de l’attribution d’attributs ou lecteur d’attribution d’attributs pour afficher ces données.

    Capture d’écran de la colonne valeurs attribuées dans l’écran Attributs de sécurité personnalisés.

Tester avec l’application d’approvisionnement pilotée par l’API

  1. Créez une charge utile de requête en bloc SCIM qui inclut des valeurs pour les attributs de sécurité personnalisés.

    Capture d'écran du code de la charge de requête en bloc SCIM.

  2. Copiez l’URL de l’API bulkUpload à partir de la page vue d’ensemble du travail d’approvisionnement.

    Capture d’écran du point de terminaison de l’API Provisionnement de la charge utile.

  3. Utilisez l’Explorateur Graph ou cURL, puis publiez la charge utile SCIM sur le point de terminaison de l’API BulkUpload .

    Capture d’écran de la requête et de la réponse de l’API de la charge utile.

    • S’il n’y a aucune erreur dans le format de charge utile SCIM, vous recevez un état Accepté .
    • Patientez quelques minutes, puis vérifiez les journaux d’approvisionnement de votre travail d’approvisionnement piloté par l’API.

  4. L’attribut de sécurité personnalisé s’affiche comme dans l’exemple suivant.

    Capture d’écran de l’entrée d’attributs de sécurité personnalisés.

    Remarque

    Les valeurs source et cible des attributs de sécurité personnalisés sont censurées dans les journaux de provisionnement. Pour afficher les valeurs réelles définies pour l’utilisateur, accédez au profil Microsoft Entra ID de l’utilisateur.
    Vous affichez les données dans l’écran Attributs de sécurité personnalisés . Vous avez besoin au moins du rôle Administrateur de l’attribution d’attributs ou lecteur d’attribution d’attributs pour afficher ces données.

    Capture d’écran de l’écran Attributs de sécurité personnalisés pour l’utilisateur.

Exemple de charge utile SCIM avec des attributs de sécurité personnalisés

Cet exemple de requête en bloc SCIM inclut des champs personnalisés sous l’extension urn:ietf:params:scim:schemas:extension:microsoft:entra:csa qui peuvent être mappés à des attributs de sécurité personnalisés.

{
    "schemas": ["urn:ietf:params:scim:api:messages:2.0:BulkRequest"],
    "Operations": [{
            "method": "POST",
            "bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
            "path": "/Users",
            "data": {
                "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa"],
                "id": "2819c223-7f76-453a-919d-413861904646",
                "externalId": "701984",
                "userName": "bjensen@example.com",
                "name": {
                    "formatted": "Ms. Barbara J Jensen, III",
                    "familyName": "Jensen",
                    "givenName": "Barbara",
                    "middleName": "Jane",
                    "honorificPrefix": "Ms.",
                    "honorificSuffix": "III"
                },
                "displayName": "Babs Jensen",
                "nickName": "Babs",
                "emails": [{
                        "value": "bjensen@example.com",
                        "type": "work",
                        "primary": true
                    }
                ],
                "addresses": [{
                        "type": "work",
                        "streetAddress": "234300 Universal City Plaza",
                        "locality": "Hollywood",
                        "region": "CA",
                        "postalCode": "91608",
                        "country": "USA",
                        "formatted": "100 Universal City Plaza\nHollywood, CA 91608 USA",
                        "primary": true
                    }
                ],
                "phoneNumbers": [{
                        "value": "555-555-5555",
                        "type": "work"
                    }
                ],
                "userType": "Employee",
                "title": "Tour Guide",
                "preferredLanguage": "en-US",
                "locale": "en-US",
                "timezone": "America/Los_Angeles",
                "active": true,
                "password": "t1meMa$heen",
                "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
                    "employeeNumber": "701984",
                    "costCenter": "4130",
                    "organization": "Universal Studios",
                    "division": "Theme Park",
                    "department": "Tour Operations",
                    "manager": {
                        "value": "89607",
                        "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
                        "displayName": "John Smith"
                    }
                },
                "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa": {
                    "EEOStatus":"Semi-skilled",
                    "FLSAStatus":"Non-exempt",
                    "PayGrade":"IC-Level5",
                    "PayScaleType":"Revenue-based"
                }
            }
        }, {
            "method": "POST",
            "bulkId": "897401c2-2de4-4b87-a97f-c02de3bcfc61",
            "path": "/Users",
            "data": {
                "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User",
                    "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa" ],
                "id": "2819c223-7f76-453a-919d-413861904646",
                "externalId": "701985",
                "userName": "Kjensen@example.com",
                "name": {
                    "formatted": "Ms. Kathy J Jensen, III",
                    "familyName": "Jensen",
                    "givenName": "Kathy",
                    "middleName": "Jane",
                    "honorificPrefix": "Ms.",
                    "honorificSuffix": "III"
                },
                "displayName": "Kathy Jensen",
                "nickName": "Kathy",
                "emails": [{
                        "value": "kjensen@example.com",
                        "type": "work",
                        "primary": true
                    }
                ],
                "addresses": [{
                        "type": "work",
                        "streetAddress": "100 Oracle City Plaza",
                        "locality": "Hollywood",
                        "region": "CA",
                        "postalCode": "91618",
                        "country": "USA",
                        "formatted": "100 Oracle City Plaza\nHollywood, CA 91618 USA",
                        "primary": true
                    }
                ],
                "phoneNumbers": [{
                        "value": "555-555-5545",
                        "type": "work"
                    }
                ],
                "userType": "Employee",
                "title": "Tour Lead",
                "preferredLanguage": "en-US",
                "locale": "en-US",
                "timezone": "America/Los_Angeles",
                "active": true,
                "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
                    "employeeNumber": "701984",
                    "costCenter": "4130",
                    "organization": "Universal Studios",
                    "division": "Theme Park",
                    "department": "Tour Operations",
                    "manager": {
                        "value": "89607",
                        "$ref": "../Users/26118915-6090-4610-87e4-49d8ca9f808d",
                        "displayName": "John Smith"
                    }
                },
                "urn:ietf:params:scim:schemas:extension:microsoft:entra:csa": {
                    "EEOStatus":"Skilled",
                    "FLSAStatus":"Exempt",
                    "PayGrade":"Manager-Level2",
                    "PayScaleType":"Profit-based"
                }
                
            }
        }
    ],
    "failOnErrors": null
}

Approvisionner des attributs de sécurité personnalisés pour les utilisateurs hybrides

Les utilisateurs hybrides sont approvisionnés à partir de systèmes RH d’abord dans Active Directory local, puis synchronisés avec Microsoft Entra ID à l’aide de Entra Connect Sync ou cloud Sync. Les attributs de sécurité personnalisés peuvent être attribués à des utilisateurs hybrides, et ces attributs ne sont présents que sur le profil d’ID Microsoft Entra de l’utilisateur hybride.

Cette section décrit la topologie d’approvisionnement pour approvisionner automatiquement des attributs de sécurité personnalisés pour les utilisateurs hybrides. Il utilise Workday comme source RH approuvée. Toutefois, la même topologie peut également être utilisée avec SuccessFactors et l’approvisionnement piloté par l’API.

Imaginons que Workday soit votre système RH de gestion des identités. Pour définir des attributs de sécurité personnalisés sur des utilisateurs hybrides provenant de Workday, configurez deux applications d’approvisionnement :

  • Provisionnement Active Directory local de Workday : Cette application d’approvisionnement crée et met à jour des utilisateurs hybrides dans Active Directory local. Il traite uniquement les attributs normaux de Workday.
  • Provisionnement d’ID Workday vers Microsoft Entra : Configurez cette application d’approvisionnement pour traiter uniquement les opérations de mise à jour et restreindre le mappage d’attributs pour inclure uniquement des attributs de sécurité personnalisés en tant qu’attributs cibles.

Avec cette topologie, voici comment fonctionne le flux de bout en bout :

Diagramme de flux montrant le fonctionnement du mappage d’attributs de sécurité personnalisé pour les utilisateurs hybrides.

  1. L’application d’approvisionnement Workday-to-AD importe le profil utilisateur principal de Workday.
  2. L’application crée/met à jour le compte d’utilisateur dans Active Directory local à l’aide de l’ID d’employé comme identificateur correspondant.
  3. Microsoft Entra Connect Sync / Cloud Sync synchronise le profil utilisateur avec l’ID Microsoft Entra.
  4. Si vous avez configuré l’écriture différée Workday, les informations de courrier électronique ou de numéro de téléphone sont réécrites dans Workday.
  5. L’application d’approvisionnement Workday-to-Microsoft Entra ID est configurée pour traiter uniquement les mises à jour et définir des attributs confidentiels en tant qu’attributs de sécurité personnalisés. Utilisez l’éditeur de schéma sous Afficher les options avancées pour supprimer les mappages d’attributs par défaut comme accountEnabled et isSoftDeleted qui ne sont pas pertinents dans ce scénario.

Capture d’écran du mappage d’attributs pour les utilisateurs hybrides.

Cette configuration affecte les attributs de sécurité personnalisés aux utilisateurs hybrides synchronisés avec l’ID Microsoft Entra à partir d’Active Directory local.

Remarque

La configuration ci-dessus s’appuie sur trois cycles de synchronisation différents pour se terminer dans un ordre spécifique. Si le profil utilisateur hybride n’est pas disponible dans Microsoft Entra ID, lorsque la tâche d’approvisionnement Workday-to-Microsoft Entra ID s’exécute, l’opération de mise à jour échoue et est retentée lors de l’exécution suivante. Si vous utilisez l'application de provisionnement pilotée par l’API vers Microsoft Entra ID, vous avez un meilleur contrôle sur le moment d'exécution de la mise à jour des attributs de sécurité personnalisés.

Autorisations d’API pour l’approvisionnement d’attributs de sécurité personnalisés

Cette fonctionnalité en préversion présente les nouvelles autorisations d’API Graph suivantes. Cette fonctionnalité vous permet d’accéder et de modifier des schémas d’application d’approvisionnement qui contiennent des mappages d’attributs de sécurité personnalisés, directement ou au nom de l’utilisateur connecté.

  1. CustomSecAttributeProvisioning.ReadWrite.All : cette autorisation accorde à l’application appelante la possibilité de lire et d’écrire le mappage d’attributs qui contient des attributs de sécurité personnalisés. Cette autorisation avec Application.ReadWrite.OwnedBy ou Synchronization.ReadWrite.AllApplication.ReadWrite.All (du moins au privilège le plus élevé) est requise pour modifier une application d’approvisionnement qui contient des mappages d’attributs de sécurité personnalisés. Cette autorisation vous permet d’obtenir le schéma complet qui inclut les attributs de sécurité personnalisés et de mettre à jour ou réinitialiser le schéma avec des attributs de sécurité personnalisés.

  2. CustomSecAttributeProvisioning.Read.All : cette autorisation accorde à l’application appelante la possibilité de lire le mappage d’attributs et les journaux d’approvisionnement qui contiennent des attributs de sécurité personnalisés. Cette autorisation avec Synchronization.Read.All ou Application.Read.All (du moins au privilège le plus élevé) est requise pour afficher les noms et valeurs des attributs de sécurité personnalisés dans les ressources protégées.

Si une application ne dispose pas de l’autorisation CustomSecAttributeProvisioning.ReadWrite.All ou de l’autorisation CustomSecAttributeProvisioning.Read.All , elle n’est pas en mesure d’accéder ou de modifier des applications d’approvisionnement qui contiennent des attributs de sécurité personnalisés. Au lieu de cela, un message d’erreur ou des données régérées s’affiche.

Résoudre les problèmes d’approvisionnement d’attributs de sécurité personnalisés

Problème Étapes de résolution des problèmes
Les attributs de sécurité personnalisés ne s’affichent pas dans la liste déroulante des associations d'attributs cibles. - Vérifiez que vous ajoutez des attributs de sécurité personnalisés à une application d’approvisionnement qui prend en charge les attributs de sécurité personnalisés.
- Vérifiez que l’utilisateur connecté est affecté au rôle Administrateur d’approvisionnement d’attributs (pour l’accès aux modifications) ou lecteur d’approvisionnement d’attributs (pour l’accès en mode).
Erreur retournée lorsque vous réinitialisez ou mettez à jour le schéma de l’application d’approvisionnement. HTTP 403 Forbidden - InsufficientAccountPermission Provisioning schema has custom security attributes. The account does not have sufficient permissions to perform this operation. Vérifiez que l’utilisateur connecté est affecté au rôle Administrateur d’approvisionnement d’attributs.
Impossible de supprimer les attributs de sécurité personnalisés présents dans un mappage d’attributs. Vérifiez que l’utilisateur connecté est affecté au rôle Administrateur d’approvisionnement d’attributs.
La table de mappage d’attributs comporte des lignes où la chaîne redacted apparaît sous les attributs source et cible. Ce comportement est par conception si l’utilisateur connecté n’a pas de rôle Administrateur d’approvisionnement d’attributs ou Lecteur d’approvisionnement d’attributs . L’attribution d’un de ces rôles affiche les mappages d’attributs de sécurité personnalisés.
Erreur retournée The provisioning service does not support setting custom security attributes of type boolean and integer. Unable to set CSA attribute. Supprimez l’attribut de sécurité personnalisé entier/booléen du mappage d’attributs d’application d’approvisionnement.
Erreur retournée The provisioning service does not support setting custom security attributes that are deactivated. Unable to set CSA attribute <attribute name>. Il y a eu une tentative de mise à jour d’un attribut de sécurité personnalisé désactivé. Supprimez l’attribut de sécurité personnalisé désactivé du mappage d’attributs d’application d’approvisionnement.

Étapes suivantes

Personnaliser les mappages d’attributs

  • Last updated on