Introduction

In this article, we show you step by step how to configure user synchronization using Microsoft Entra ID.

Sign in to Microsoft Entra ID

Sign in to the Microsoft Entra ID Admin Center at least as a hybrid identity administrator.

Accessing the synchronization tool in Octopus

The configuration of the user synchronization source can be accessed via the Tools> User synchronization configuration.

Choosing the synchronization source to configure

The first time you open the Source Configuration window for user synchronization, the Active Directory source will be selected by default. Selecting this source allows users to be synchronized with the ADSIReader application.

• Please note: you can configure Microsoft Entra ID synchronization without having to activate it immediately. Therefore, you must select Microsoft Entra ID in the source selection and make the desired configurations for testing purposes. Until you permanently activate synchronization with Microsoft Entra ID in the Confirmation tab, the configurations will be saved in your environment but will not be effective.
• The configuration window can be enlarged to better see the configuration elements.

Configuration de la connexion

Dans l'onglet Connexion, vous devez spécifier le ID de l'application (client), le ID de l'annuaire (locataire) ainsi que la valeur du secret définis dans votre application d'entreprise créée dans Microsoft Entra ID. La valeur du secret est encryptée dans la base de données pour garder cela sécuritaire.

• Une fois toutes les informations entrées, cliquez sur Vérifier la connexion.
• Le système validera la connexion et l’authentification avec Microsoft Entra ID.

Si la connexion échoue, un message d’erreur apparaîtra afin de corriger la situation. Vous ne pourrez pas poursuivre jusqu'à ce que la connexion soit en succès.

Une fois la connexion réussie, à tout moment, vous pouvez sauvegarder les informations que vous avez saisies à partir de l’onglet Confirmation, puis le bouton Sauvegarder.

Champs requis pour l'authentification :

Vérification de la connexion en erreur :

Vérification de la connexion réussie :

Sauvegarde des paramètres de connexion (Ne pas cocher l'une des deux cases pour le moment)

 

Attributs utilisateurs

Dans l'onglet Attributs utilisateurs, vous pouvez configurer la correspondance des champs "Utilisateur" entre Microsoft Entra ID et Octopus, soit les champs que vous désirez synchroniser dans la fiche des utilisateurs.

• Les champs de base ont déjà leurs correspondances respectives par défaut.

• Les champs systèmes sont identifiés en jaune pâle :

  • Ces champs ne peuvent pas être modifiés ni supprimés.

  • Ces champs sont nécessaires pour retrouver la correspondance des utilisateurs lors de la synchronisation.

L’ordre pour retrouver la correspondance des utilisateurs lors de la synchronisation se fait par priorité (voir la section de correspondance pour plus d’information) :

1. Par Identifiant externe, si aucune correspondance n’est trouvée, alors ;
2. Par Nom d’utilisateur Windows, si aucune correspondance n’est trouvée, alors ;
3. Par Courriel professionnel, si aucune correspondance n’est trouvée, alors ;
4. Par Prénom et Nom.

Un message sera affiché si l’utilisateur tente de modifier ou supprimer une correspondance système :

Les champs non-systèmes peuvent cependant être modifiés, supprimés ou ajoutés :

Les champs systèmes et ceux non-systèmes doivent avoir une correspondance entre Microsoft Entra ID et Octopus pour ainsi transférer les données entre les deux (2) systèmes.

Il n'est pas possible d'utiliser plus d’une fois les champs Octopus. Un message d’erreur s'affichera, le cas échéant.

Un champ introuvable est un champ en provenance de Microsoft Entra ID qui a été modifié entre temps voire même supprimé de la source, mais qui était déjà configuré dans la correspondance des champs utilisateurs.

Lors de la synchronisation ou de la prévisualisation, une validation des champs sera effectuée :

• Si un champ n’est plus valide ou non disponible du côté de Microsoft Entra ID, la colonne correspondance invalide sera marquée et le champ en question sera de couleur orange.
• Le contenu de la liste peut être exporté vers Excel en cliquant sur le bouton droit de la souris, puis sur Ouvrir dans Excel.

Les attributs personnalisées Microsoft Entra ID et Octopus sont disponibles pour étendre la correspondance des champs.

• Lors d’un ajout de correspondance, le système détectera les attributs personnalisés Microsoft Entra ID et Octopus automatiquement par équipe. En conséquence, chaque équipe est tenue de mettre à jour leurs champs personnalisés dans la Configuration de la synchronisation des utilisateurs.
• Seuls les attributs personnalisés (onglet Informations additionnelles) dans la fiche utilisateur Octopus de type Text et Text Long sont acceptés.
• Les champs personnalisés qui ne seront plus valides seront identifiés comme mentionné ci-haut.
  • Le champ invalide sera de couleur orange.
  • La colonne Correspondance invalide sera identifié par un crochet sur la correspondance concernée.
  • Un icône contenant un point d’exclamation identifiera l’onglet ayant des champs invalides.
    • 
  • Vous pourrez tout de même prévisualiser ou synchroniser les informations, même si ces champs sont invalides, mais ils seront omis.
    • Il est préférable de les corriger.
  • Une fois corrigé dans Microsoft Entra ID ou dans votre configuration, vous pourrez refaire une prévisualisation ou une synchronisation afin de voir les champs invalides qui ne seront plus en erreur.

• Les champs personnalisés sont identifiés en bas de la liste déroulante, en dessous du surlignement.
• Champs Microsoft Entra ID personnalisées, identifié par le Attribute Set suivi par le nom du champ

• Champ Octopus personnalisé

• Une légende est également disponible

Inclusions et exclusions

Dans l'onglet Inclusions et exclusion, vous pouvez configurer les inclusions et/ou les exclusions sur les champs Microsoft Entra ID.

Il existe deux types : 

• Inclusion
• Exclusion

À titre d'exemple, si vous configurez le champs Nom (Microsoft Entra ID) et que vous choisissez Exclusion, puis vous mettez les valeurs Brochu;Labelle;Bertrand, la synchronisation va exclure les utilisateurs dont le nom commence par les valeurs spécifiées lors de la correspondance; vice versa avec inclusion.

• Il n'est pas possible de configurer des inclusions et des exclusions en double. La combinaison du champs Microsoft Entra ID et du type de filtre peut être entrée seulement une fois.
• Cependant, il est possible d’insérer plus d’une valeur en les séparant avec un point-virgule (;) comme démontré dans l'exemple ci-dessus.
• Donc, si vous configurez une inclusion pour une valeur, et une exclusion pour la même valeur, rien ne sortira dans le résultat.
• Les inclusions et exclusions sont conçues avec "Commence par" pour la recherche.
• Les wildcards (*) ne fonctionnent pas avec Microsoft Entra ID.

Voir l'exemple d'exclusion

• Le système validera les champs invalides, comme nous l'avons expliqué à l'étape de la configuration des attributs utilisateurs dans la section précédente.
• Une légende est disponible dans le bas de la fenêtre

Groupes

Ajouter des groupes

• Une correspondance des groupes entre Microsoft Entra ID et Octopus est disponible.

• Seul les groupes d'utilisateurs, provenant de l’équipe courante, seront affichés et seront disponibles à la sélection lors de l’ajout.

• Lors de la synchronisation des membres des groupes, cette correspondance sera utilisée pour ajuster les membres de ces groupes dans Octopus.
• La modification de cet écran est automatiquement sauvegardée.

• Si les groupes Microsoft Entra ID deviennent invalides, ils seront marqués d’une couleur orange et d’un icône jaune avec point d'exclamation dans l'onglet Groupes, comme dans les autres onglets où s'y trouvent des données invalides.
• Les données invalides seront omises.

Modifier un groupe

• Lors d’une modification de correspondance des groupes, seul les groupes Microsoft Entra ID pourront être modifiés. Afin de modifier un groupe Octopus, vous devrez supprimer la correspondance et la rajouter.

• Une légende est disponible

Paramètres

Les paramètres sont disponibles pour personnaliser la synchronisation.

Explication des paramètres

Utilisateurs actifs seulement

• Permet de synchroniser seulement les utilisateurs marqués comme étant actifs dans Microsoft Entra ID.

Désactiver les utilisateurs

• Permet de désactiver les utilisateurs Octopus s’ils sont inactifs dans Microsoft Entra ID.
• Un compte absent, désactivé ou supprimé dans Microsoft Entra ID va désactiver le compte dans Octopus.

Réactiver des utilisateurs

• Permet de réactiver les utilisateurs inactifs dans Octopus s’ils sont actifs dans Microsoft Entra ID.

Création d’un utilisateur en cas de doublons nom/prénom

• Un nouvel utilisateur est créé dans Octopus si plusieurs correspondances sont trouvées sur le nom et le prénom.

Création automatique de départements

• Permet de créer les départements s'ils n’existent pas dans Octopus.
• Dans Microsoft Entra ID, vous devez spécifier tous les niveaux en les séparant avec le caractère | (ex. : Département | Sous-département).

Création automatique de sites

• Permet de créer les sites s'ils n’existent pas dans Octopus.
• Dans Microsoft Entra ID, vous devez spécifier tous les niveaux en les séparant avec le caractère | (ex. : Site | Sous-site).

Importation du supérieur immédiat

• Permet d’assigner le supérieur à l’utilisateur synchronisé.

Prévisualisation

Cet écran permet de prévisualiser la synchronisation sans toutefois procéder à la modification dans la base de données.

• Vous pouvez exporter les résultats de la prévisualisation dans Excel en positionant la souris sur les résultats, cliquez sur le bouton droit, puis Ouvrir dans Excel.
• Lorsque vous lancer la prévisualisation, une validation des champs Microsoft Entra ID s’effectue.
  • S’il existe des champs invalides, un message s'affichera au-dessus des résultats vous indiquant quels champs sont invalides et vous offrira d'annuler ou continuer.
  • Si vous décidez de continuer, les champs en question seront omis.
• Les champs manquants seront marqués d’une couleur orange ainsi que leurs onglets respectifs.

• Un message sera également affiché.

• La dernière colonne Action est celle des actions qui sera prises. Il existe différentes actions :
  • Ajout de l’utilisateur
  • Synchronisation de l'utilisateur
  • Réactivation de l'utilisateur
  • Désactivation de l'utilisateur
  • Utilisateur ignoré en raison du nom et/ou prénom manquant
  • Ajout de l'utilisateur (doublon)
  • Utilisateur ignoré en raison d'une duplication dans Octopus
  • Utilisateur ignoré en raison d'une duplication dans Microsoft Entra ID
• Les couleurs permettent de distinguer les champs Microsoft Entra ID de ceux d'Octopus.
• Si des usagers sont ignorés en raison du nom et prénom manquants, ils seront surlignés en orange et seront omis dans la synchronisation
• Une légende est disponible

• Lors de la prévisualisation, nous pouvons voir les statistiques suivantes :

  • Utilisateurs à ajouter

  • Utilisateurs à modifier

  • Utilisateurs à activer

  • Utilisateurs à désactiver

  • Utilisateurs ignorés

  • Utilisateurs affectés

• Il est possible de lancer une synchronisation manuellement depuis le bouton Synchroniser maintenant :
  • Le bouton de synchronisation est disponible que si la source Microsoft Entra ID est activé dans l’onglet Confirmation.
  • Une vérification des champs Microsoft Entra ID invalides sera fait en premier. Cela vous permettra de corriger les informations, si nécessaire, ou de continuer. Si vous continuer, les attributs des utilisateurs, groupes ou filtres invalides seront omis.

• Une notification sera envoyée pour annoncer la terminaison de celle-ci. En cas d'erreur, un événement sera créé avec le détail des erreurs observées.

• Afin d’exécuter une synchronisation manuellement, il faudra sauvegarder les informations en premier, un message de validation est prévu à cette fin :

• La synchronisation sera faite en arrière-plan, un message de confirmation est prévu à cette fin :

• Un journal des opérations sera également disponible pour indiquer toutes les actions prises par la synchronisation.

Journal des opérations

• Un journal affichant toutes les opérations sera créé pour chaque synchronisation effectuée :

• Vous pouvez consulter chaque opération directement à l’écran en cliquant sur la ligne de la syncronisation, puis Aperçu :

​

• Les journaux seront disponibles pour 30 jours.

Confirmation

L’onglet Confirmation permet de :

• Sauvegarder les changements effectués dans les différents onglets.
• Choisir d'utiliser Microsoft Entra ID comme source de synchronisation des utilisateurs de façon officielle et permanente.
  • Notez bien que si la source Microsoft Entra ID est activée, la source ADSIReader ne pourra plus synchroniser les utilisateurs, mais pourra tout de même synchroniser les ordinateurs et les imprimantes.
  • Avertissement : Lorsque l'option Utiliser Microsoft Entra ID comme source de synchronisation des utilisateur de façon permanente est modifiée, les valeurs relatives à Active Directory seront supprimées de tous les utilisateurs dans Octopus. Les colonnes concernées sont :
    • Identifiant externe
    • AD : Actif (Active Directory)
    • AD : Date du dernier logon (Active Directory)
• Activer la tâche de synchronisation qui sera exécutée à chaque jour à 5:00 AM
• Sauvegarder la configuration courante.

 

Historique

Cet onglet permet de visualiser toutes les modifications effectuées à la configuration au fil du temps.