Synchronisation des attributs d’extension pour l’attribution d’applications Microsoft Entra

L’ID Microsoft Entra doit contenir toutes les données (attributs) nécessaires pour créer un profil utilisateur lors de l’approvisionnement de comptes d’utilisateur de Microsoft Entra ID vers une application SaaS ou une application locale. Lors de la personnalisation des mappages d’attributs pour l’approvisionnement d’utilisateurs, vous pouvez constater que l’attribut que vous souhaitez mapper n’apparaît pas dans la liste d’attributs source dans l’ID Microsoft Entra. Cet article explique comment ajouter l’attribut manquant.

Déterminer où les extensions doivent être ajoutées

L’ajout des attributs manquants nécessaires à une application commence dans Active Directory local ou dans Microsoft Entra ID, selon l’emplacement des comptes d’utilisateurs et la manière dont ils sont importés dans Microsoft Entra ID.

Commencez par identifier les utilisateurs de votre locataire Microsoft Entra qui ont besoin d’accéder à l’application et qui vont donc être provisionnés dans l’application.

Ensuite, déterminez la source de l’attribut et la topologie de l’importation de ces utilisateurs dans Microsoft Entra ID.

Si les utilisateurs de votre organisation se trouvent déjà dans Active Directory local ou si vous les créez dans Active Directory, vous devez synchroniser les utilisateurs d’Active Directory vers Microsoft Entra ID. Vous pouvez synchroniser des utilisateurs et des attributs à l’aide de Microsoft Entra Connect ou de la synchronisation cloud Microsoft Entra Connect.

1. Vérifiez auprès des administrateurs de domaine Active Directory locaux si les attributs requis font partie de la classe d’objet de schéma User AD DS et, si ce n’est pas le cas, étendez le schéma des services de domaine Active Directory dans les domaines où ces utilisateurs ont des comptes.
2. Configurez la synchronisation cloud Microsoft Entra Connect ou Microsoft Entra Connect pour synchroniser les utilisateurs avec leur attribut d’extension d’Active Directory avec l’ID Microsoft Entra. Ces deux solutions synchronisent automatiquement certains attributs vers Microsoft Entra ID, mais pas tous. En outre, certains attributs (par exemple, sAMAccountName) synchronisés par défaut ne peuvent pas être exposés à l’aide de l’API Graph. Dans ce cas, vous pouvez utiliser la fonctionnalité d’extension d’annuaire Microsoft Entra Connect pour synchroniser l’attribut avec l’ID Microsoft Entra ou utiliser la synchronisation cloud Microsoft Entra Connect. De cette façon, l’attribut est visible par l’API Graph et le service de provisionnement Microsoft Entra.
3. Si les utilisateurs dans Active Directory local ne disposent pas déjà des attributs requis, vous devez mettre à jour les utilisateurs dans Active Directory. Cette mise à jour peut être effectuée en lisant les propriétés de Workday, à partir de SAP SuccessFactors ou si vous utilisez un autre système RH à l’aide de l’API RH entrante.
4. Attendez que Microsoft Entra Connect ou la synchronisation cloud Microsoft Entra Connect synchronise les mises à jour que vous avez effectuées dans le schéma Active Directory et les utilisateurs Active Directory dans Microsoft Entra ID.

Sinon, si aucun des utilisateurs qui n’ont besoin d’accéder à l’application provient d’Active Directory local, vous devez créer des extensions de schéma à l’aide de PowerShell ou microsoft Graph dans Microsoft Entra ID, avant de configurer l’approvisionnement sur votre application.

Les sections suivantes expliquent comment créer des attributs d’extension pour un locataire avec des utilisateurs cloud uniquement et pour un locataire avec des utilisateurs Active Directory.

Créer un attribut d’extension dans un locataire avec des utilisateurs cloud uniquement

Vous pouvez utiliser Microsoft Graph et PowerShell pour étendre le schéma utilisateur pour les utilisateurs dans Microsoft Entra ID. Cela est nécessaire si vous avez des utilisateurs qui ont besoin de cet attribut et qu’aucun d’entre eux ne provient de l’Active Directory local ou n’est synchronisé à partir de celui-ci. (Si vous avez Active Directory, poursuivez la lecture ci-dessous dans la section sur l’utilisation de la fonctionnalité d’extension d’annuaire Microsoft Entra Connect pour synchroniser l’attribut avec Microsoft Entra ID.)

Une fois les extensions de schéma créées, ces attributs d’extension sont automatiquement détectés lors de votre prochaine visite sur la page d’attribution dans le centre d’administration Microsoft Entra, dans la plupart des cas.

Lorsque vous avez plus de 1 000 principaux de service, il se peut que des extensions manquent dans la liste des attributs source. Si un attribut que vous avez créé ne s’affiche pas automatiquement, vérifiez que l’attribut a été créé et ajoutez-le manuellement à votre schéma. Pour vérifier qu’elle a été créée, utilisez Microsoft Graph et l’Explorateur Graph. Pour l’ajouter manuellement à votre schéma, consultez Modification de la liste des attributs pris en charge.

Créer un attribut d’extension pour des utilisateurs cloud uniquement à l’aide de Microsoft Graph

Vous pouvez étendre le schéma des utilisateurs De Microsoft Entra à l’aide de Microsoft Graph.

Tout d’abord, répertoriez les applications de votre locataire pour récupérer l’ID de l’application sur laquelle vous travaillez. Pour en savoir plus, consultez List extensionProperties.

GET https://graph.microsoft.com/v1.0/applications

Ensuite, créez l’attribut d’extension. Remplacez la propriété ID ci-dessous par l’ID récupéré à l’étape précédente. Vous devez utiliser l’attribut « ID » et non l'« appId ». Pour plus d’informations, consultez [Créer une définition extensionProperty]/Graph/API/application-post-extensionproperty).

POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json

{
    "name": "extensionName",
    "dataType": "string",
    "targetObjects": [
      "User"
    ]
}

La demande précédente a créé un attribut d’extension au format extension_appID_extensionName. Vous pouvez maintenant mettre à jour un utilisateur avec cet attribut d’extension. Pour en savoir plus, consultez Mettre à jour l’utilisateur.

PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json

{
  "extension_inputAppId_extensionName": "extensionValue"
}

Enfin, vérifiez l’attribut de l’utilisateur. Pour en savoir plus, consultez Obtenir un utilisateur. Graph v1.0 ne renvoie par défaut aucun des attributs d’extension de répertoire d’un utilisateur, sauf si les attributs sont spécifiés dans la requête comme l’une des propriétés à renvoyer.

GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName

Créer un attribut d’extension pour les utilisateurs cloud uniquement à l’aide de PowerShell

Vous pouvez créer une extension personnalisée à l’aide de PowerShell.

#Connect to your Entra tenant
Connect-Entra -Scopes 'Application.ReadWrite.All'

#Create an application (you can instead use an existing application if you would like)
$App = New-EntraApplication -DisplayName "test app name" -IdentifierUris https://testapp

#Create a service principal
New-EntraServicePrincipal -AppId $App.AppId

#Create an extension property
New-EntraApplicationExtensionProperty -ApplicationId $App.ObjectId -Name "TestAttributeName" -DataType "String" -TargetObjects "User"

Vous pouvez également vérifier que vous pouvez définir la propriété d’extension sur un utilisateur cloud uniquement.

#List users in your tenant to determine the objectid for your user
Get-EntraUser

#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-EntraUserExtension -ObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb -ExtensionName "extension_6552753978624005a48638a778921fan3_TestAttributeName"

#Verify that the attribute was added correctly.
Get-EntraUser -ObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb | Select -ExpandProperty ExtensionProperty

Créer un attribut d’extension avec la synchronisation cloud

Si vous avez des utilisateurs dans Active Directory et que vous utilisez la synchronisation cloud Microsoft Entra Connect, la synchronisation cloud détecte automatiquement vos extensions dans Active Directory local lorsque vous ajoutez un nouveau mappage. Si vous utilisez la synchronisation Microsoft Entra Connect, poursuivez la lecture à la section suivante pour créer un attribut d’extension à l’aide de Microsoft Entra Connect.

Suivez les étapes ci-dessous pour détecter automatiquement ces attributs et configurer un mappage correspondant à Microsoft Entra ID.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’identité hybride au moins.
2. Parcourez Entra ID>Entra Connect>Cloud sync.
3. Sélectionnez la configuration à laquelle vous souhaitez ajouter l’attribut d’extension et le mappage.
4. Sous Gérer les attributs, sélectionnez cliquez pour modifier les mappages.
5. Sélectionnez Ajouter un mappage d’attributs. Les attributs sont automatiquement détectés.
6. Les nouveaux attributs sont disponibles dans la liste déroulante sous l’attribut source.
7. Renseignez le type de mappage souhaité et sélectionnez Appliquer.

Pour plus d’informations, consultez Mappage d’attributs personnalisés dans la synchronisation cloud Microsoft Entra Connect.

Créer un attribut d’extension à l’aide de Microsoft Entra Connect

Si les utilisateurs qui accèdent aux applications proviennent d’Active Directory local, vous devez synchroniser les attributs avec les utilisateurs d’Active Directory vers Microsoft Entra ID. Si vous utilisez Microsoft Entra Connect, vous devez effectuer les tâches suivantes avant de configurer le provisionnement vers votre application.

1. Vérifiez auprès des administrateurs de domaine Active Directory locaux si les attributs requis font partie de la classe d’objet de schéma User AD DS et, si ce n’est pas le cas, étendez le schéma des services de domaine Active Directory dans les domaines où ces utilisateurs ont des comptes.

2. Ouvrez l’Assistant Microsoft Entra Connect, choisissez Tâches, puis personnalisez les options de synchronisation.

3. Connectez-vous en tant qu’administrateur d’identité hybride.

4. Dans la page Fonctionnalités facultatives , sélectionnez Synchronisation des attributs d’extension d’annuaire.

5. Sélectionnez les attributs que vous souhaitez étendre à Microsoft Entra ID.

   Note

   La recherche Attributs disponibles respecte la casse.

6. Terminez l’Assistant Microsoft Entra Connect et laissez un cycle de synchronisation complet s’exécuter. Une fois le cycle terminé, le schéma est étendu et les nouvelles valeurs sont synchronisées entre votre AD local et Microsoft Entra ID.

Remplissez et utilisez le nouvel attribut

Dans le centre d’administration Microsoft Entra, lorsque vous modifiez les mappages d’attributs utilisateur pour l’authentification unique ou l’attribution d’utilisateurs à partir de Microsoft Entra ID vers une application, la liste des attributs source contient désormais l’attribut ajouté au format <attributename> (extension_<appID>_<attributename>), où appID est l’identifiant d’une application d’espace réservé dans votre locataire. Sélectionnez l’attribut et mappez-le à l’application cible pour la configuration.

Ensuite, vous devrez remplir les utilisateurs affectés à l’application avec l’attribut requis, avant d’activer l’attribution à l’application. Si l’attribut ne provient pas d’Active Directory, il existe cinq méthodes pour remplir les utilisateurs en masse :

• Si les propriétés proviennent d’un système RH et que vous approvisionnez les workers à partir de ce système RH en tant qu’utilisateurs dans Active Directory, configurez un mappage à partir de Workday, SAP SuccessFactors ou si vous utilisez un autre système RH, à l’aide de l’API RH entrante à l’attribut Active Directory. Ensuite, attendez que Microsoft Entra Connect ou Microsoft Entra Connect cloud sync synchronise les mises à jour que vous avez effectuées dans le schéma Active Directory et les utilisateurs Active Directory dans Microsoft Entra ID.
• Si les propriétés proviennent d’un système RH et que vous n’utilisez pas Active Directory, vous pouvez configurer un mappage à partir de Workday, SAP SuccessFactors ou d’autres via l’API entrante vers l’attribut utilisateur Microsoft Entra.
• Si les propriétés proviennent d’un autre système local, vous pouvez configurer le connecteur MIM pour Microsoft Graph pour créer ou mettre à jour des utilisateurs De Microsoft Entra.
• Si les propriétés proviennent des utilisateurs eux-mêmes, vous pouvez demander aux utilisateurs de fournir les valeurs de l’attribut lorsqu’ils demandent l’accès à l’application, en incluant les exigences d’attribut dans le catalogue de gestion des droits d’utilisation.
• Pour toutes les autres situations, une application personnalisée peut mettre à jour les utilisateurs via l’API Microsoft Graph .

Étapes suivantes

• Définir qui est concerné par l’approvisionnement