Pour configurer les deux connexions aux données externes, vous aurez besoin d’informations données par le client à savoir :
Cette configuration n’est nécessaire que si l’instance Process n’utilise pas Team
Placer la configuration suivante dans Administration->Serveur->Configuration->Propriétés->Onglet Paramètres:
# Azure
oidc.issuer.url=https://login.microsoftonline.com/<ID du tenant Azure AD>/v2.0
oidc.client.id=ID de l’application Azure AD (locataire)
oidc.client.secret=valeur du secret Azure AD (de l'application delegation)
oidc.redirect.url=https://<nom de domaine>/<webapp>/navigation/openid-connect-redirect
oidc.postlogout.url=https://<nom de domaine>
oidc.scope=openid profile
oidc.login.claim.parameter.name=preferred_username
oidc.metadata.url=https://login.microsoftonline.com/<identifiant du tenant locataire>/v2.0/.well-known/openid-configuration
com.axemble.security.ExternalAuthenticationAction.allowedAddresses=20.190.160.134
# ------------------------------------------------------------------------
# Empecher redirection pour bouton création processus anonyme
# (mettre a true certains utilisateurs proviennent de l'annuaire process et non de l'AD Azure)
# ------------------------------------------------------------------------
workplace.automatic.redirection.to.team.authentication.page=false
A partir de la v2025.1, votre configuration est automatiquement migrée vers une connexion aux données externes de type OpenID U2M. Si vos lignes de paramétrage ne se suppriment pas automatiquement, c’est qu’il manque des informations dans la configuration de votre connexion aux données externes. La ligne de paramétrage qui manquera sera: oidc.issuer.url=https://login.microsoftonline.com//v2.0 Ajoutez la et assurez-vous que les lignes de paramétrage disparaissent à l’enregistrement. Votre connexion sera alors correctement paramétrée.
Dans l’administration Process, créer une nouvelle connexion aux données externes et renseigner les informations adéquates, dont :
https://login.microsoftonline.com/<ID du tenant Azure AD>/v2.0
Pour effectuer la configuration ETL d’une synchro d’utilisateurs et/ou de groupes, la procédure consiste à :
Importer le Starter Pack Azure de votre version ETL téléchargeable depuis la documentation dans le Resources Center
Le pack n’est pas présent dans le dossier ETL 4.5.0, pour cette version prendre le pack de la v4.4.2.
Déclarer un agent ETL:
<configuration>
<variables>
<!-- Connection variables -->
<variable name="azure-tenant-id"></variable>
<variable name="azure-openid-connection-name"></variable>
<variable name="azure-query-params">$expand=memberOf</variable>
<variable name="parent-organization-uri"></variable>
<variable name="authentication-domain-name"></variable>
<variable name="synchronizeUsersGroupsLinks">false</variable>
<variable name="azureQueryFilterGroupId"></variable>
<variable name="azureQuerySelect">id,userPrincipalName,givenName,surname,mail,preferredLanguage,businessPhones,mobilePhone,accountEnabled,country,memberOf,jobTitle,manager,officeLocation,department,state</variable>
<variable name="enable-deletion">false</variable> <!-- fonctionne à partir d'ETL v4.4.1 n'existe pas dans la route des packs jusqu'en v1.6 voir si existe dans le suivant -->
<variable name="force-deletion">false</variable> <!-- fonctionne à partir d'ETL v4.4.2 n'existe pas dans la route des packs jusqu'en v1.6 voir si existe dans le suivant -->
<variable name="keep-local-groups">true</variable> <!-- fonctionne à partir de la v2024.0.0 n'existe pas dans la route des packs jusqu'en v1.6 voir si existe dans le suivant -->
</variables>
<!-- Syncrhonization route selection-->
<extend name="route-azure-users" />
</configuration>
Adapter à votre configuration le paramétrage de l’agent:
Paramètre | Valeur attendue |
---|---|
azure-tenant-id | identifiant du tenant locataire Azure AD |
azure-openid-connection-name | Nom de la connexion externe déclarée précédemment |
azure-query-params | permet de récupérer les groupes associés aux utilisateurs |
parent-organization-uri | organisation parente exemple: uril://vdoc/organization/Collaborators |
authentication-domain-name | Nom de la délagation Team à associer AzureAD |
synchronizeUsersGroupsLinks | permet de synchroniser des liaisons avec des groupes pré-synchronisés |
azureQueryFilterGroupId | identifiant du groupe AzureAD si filtrage sur un groupe |
azureQuerySelect | liste des champs utilisateur à récupérer dans la requête à ajouter si vous voulez personnaliser la requête sinon ne pas déclarer dans l’agent |
enable-deletion | autorise la désactivation des utilisateurs déjà synchronisé mais plus présents dans cette synchro |
force-deletion | par défaut on limite à 100 le nombre d’utilisateurs supprimés lors d’une synchro. Ce paramètre permet de ne pas tenir compte de la limitation |
keep-local-groups | permet de conserver les groupes locaux Process (sinon ils sont supprimés) à partir de la v2024 |
L’option enable-deletion n’est opérationnelle qu’à partir de la v4.4.1 de Visiativ ETL. Si vous utilisez une version plus ancienne n’utilisez pas cette option.
Pour la mise en place de l’option enable-deletion à true sur une instance où la synchro était déjà en place, il faut au préalable désactiver tous les comptes utilisateurs ayant déjà été synchronisés via un export/import par exemple. Ensuite seulement vous pourrez exécuter la route avec le paramètre à true
Un problème persiste en v4.4.1 avec cette option. Le cache permettant d’utiliser l’option enable-deletion est unique pour une route. Ainsi, si vous paramétrez 2 agents avec une même route, un conflit se produit et chaque agent efface les utilisateurs provenant du second agent. Il faut donc créer une copie de la route autant de fois que d’agents actuellement (corrigé à partir de la v4.4.2)
Pour plus d’informations concernant la configuration de la route ETL, veuillez vous reporter à la documentation Moovapps ETL
dans la documentation fonctionnelle de Moovapps ETL disponible dans Resources Center.
L’ETL Pack Azure également disponible dans Resources Center fourni un modèle d’import à utiliser pour la synchronisation.
La synchronisation des groupes Azure AD gère la création des groupes et l’association avec les sous-groupes.
La première exécution peut être en échec si les sous-goupes n’ont pas encore été synchronisés dans Process. Une deuxième exécution de la route ETL peut être nécessaire pour que tous les groupes soient synchronisés et associés correctement.
Déclarer un agent ETL:
<configuration>
<variables>
<!-- Connection variables -->
<variable name="azure-tenant-id"></variable>
<variable name="azure-openid-connection-name"></variable>
<variable name="parent-organization-uri"></variable>
<variable name="azure-query-params">$expand=memberOf</variable>
<variable name="keep-local-groups">true</variable> <!-- fonctionne à partir de la v2024.0.0 n'existe pas dans la route des packs jusqu'en v1.6 voir si existe dans le suivant -->
</variables>
<!-- Syncrhonization route selection-->
<extend name="route-azure-groups" />
</configuration>
Adapter à votre configuration le paramétrage de l’agent:
Paramètre | Valeur attendue |
---|---|
azure-tenant-id | identifiant du tenant locataire Azure AD |
azure-openid-connection-name | Nom de la connexion externe déclarée précédemment |
azure-query-params | permet de récupérer les groupes associés aux utilisateurs |
parent-organization-uri | organisation parente exemple: uril://vdoc/organization/Collaborators |
keep-local-groups | permet de conserver les groupes locaux Process à partir de la v2024 en utilisant la dernière version ETL compatible avec la version de process |
Pour plus d’informations concernant la configuration de la route ETL, veuillez vous reporter à la documentation Moovapps ETL
dans la documentation fonctionnelle de Moovapps ETL disponible dans Resources Center.
L’ETL Pack Azure également disponible dans Resources Center fourni un modèle d’import à utiliser pour la synchronisation.
AzureAD
(Ce paramétrage n’est utile que si vous utilisez Visiativ Team)
AzureAD
est le nom de domaine par défaut pour les utilisateurs de l’organisation interne, il est donc préférable d’utiliser cette valeur<configuration>
<variables>
<!-- Connection variables -->
<variable name="azure-tenant-id"></variable>
<variable name="azure-openid-connection-name"></variable>
<variable name="azure-query-params">$expand=memberOf</variable>
<variable name="parent-organization-uri"></variable>
<variable name="authentication-domain-name"></variable>
<variable name="synchronizeUsersGroupsLinks">false</variable>
<variable name="azureQueryFilterGroupId"></variable>
<variable name="azureQuerySelect">id,userPrincipalName,givenName,surname,mail,preferredLanguage,businessPhones,mobilePhone,accountEnabled,country,memberOf,jobTitle,manager,officeLocation,department,state</variable>
<variable name="enable-deletion">false</variable> <!-- fonctionne à partir d'ETL v4.4.1 -->
<variable name="force-deletion">false</variable> <!-- fonctionne à partir d'ETL v4.4.2 -->
<variable name="keep-local-groups">true</variable> <!-- fonctionne à partir de Process 2024 -->
</variables>
<!-- Syncrhonization route selection-->
<extend name="route-azure-users" />
<extend name="route-azure-groups" />
</configuration>