Moovapps Process
Création des connexions aux données externes de type OpenID dans Process
Pour configurer les deux connexions aux données externes, vous aurez besoin d’informations données par le client à savoir :
- L’identifiant du tenant (locataire) Azure AD
- L’identifiant de l’application que le client a créée dans Azure AD
- La valeur du secret de l’application que le client a créée dans Azure AD
Delegation d’authentification pour Process
Cette configuration n’est nécessaire que si l’instance Process n’utilise pas Team
Placer la configuration suivante dans Administration->Serveur->Configuration->Propriétés->Onglet Paramètres:
# Azure
oidc.issuer.url=https://login.microsoftonline.com/<ID du tenant Azure AD>/v2.0
oidc.client.id=ID de l’application Azure AD (locataire)
oidc.client.secret=valeur du secret Azure AD (de l'application delegation)
oidc.redirect.url=https://<nom de domaine>/<webapp>/navigation/openid-connect-redirect
oidc.postlogout.url=https://<nom de domaine>
oidc.scope=openid profile
oidc.login.claim.parameter.name=preferred_username
oidc.metadata.url=https://login.microsoftonline.com/<identifiant du tenant locataire>/v2.0/.well-known/openid-configuration
com.axemble.security.ExternalAuthenticationAction.allowedAddresses=20.190.160.134
# ------------------------------------------------------------------------
# Empecher redirection pour bouton création processus anonyme
# (mettre a true certains utilisateurs proviennent de l'annuaire process et non de l'AD Azure)
# ------------------------------------------------------------------------
workplace.automatic.redirection.to.team.authentication.page=false
A partir de la v2025.1, votre configuration est automatiquement migrée vers une connexion aux données externes de type OpenID U2M. Si vos lignes de paramétrage ne se suppriment pas automatiquement, c’est qu’il manque des informations dans la configuration de votre connexion aux données externes. La ligne de paramétrage qui manquera sera: oidc.issuer.url=https://login.microsoftonline.com//v2.0 Ajoutez la et assurez-vous que les lignes de paramétrage disparaissent à l’enregistrement. Votre connexion sera alors correctement paramétrée.
Synchro d’utilisateurs pour ETL
Dans l’administration Process, créer une nouvelle connexion aux données externes et renseigner les informations adéquates, dont :
- l’url du serveur d’authentification contenant l’identifiant du tenant (locataire) Azure AD
https://login.microsoftonline.com/<ID du tenant Azure AD>/v2.0
- le client ID (qui est l’ID de l’application Azure AD)
- le client secret (qui est la valeur du secret Azure AD ajouté)
- les scopes OpenID : https://graph.microsoft.com/.default
Configuration de Moovapps ETL
Pour effectuer la configuration ETL d’une synchro d’utilisateurs et/ou de groupes, la procédure consiste à :
Importer le Starter Pack Azure de votre version ETL téléchargeable depuis la documentation dans le Resources Center
Le pack n’est pas présent dans le dossier ETL 4.5.0, pour cette version prendre le pack de la v4.4.2.
Synchronisation des utilisateurs Azure AD
Déclarer un agent ETL:
<configuration>
<variables>
<!-- Connection variables -->
<variable name="azure-tenant-id"></variable>
<variable name="azure-openid-connection-name"></variable>
<variable name="azure-query-params">$expand=memberOf</variable>
<variable name="parent-organization-uri"></variable>
<variable name="authentication-domain-name"></variable>
<variable name="synchronizeUsersGroupsLinks">false</variable>
<variable name="azureQueryFilterGroupId"></variable>
<variable name="azureQuerySelect">id,userPrincipalName,givenName,surname,mail,preferredLanguage,businessPhones,mobilePhone,accountEnabled,country,memberOf,jobTitle,manager,officeLocation,department,state</variable>
<variable name="enable-deletion">false</variable> <!-- fonctionne à partir d'ETL v4.4.1 n'existe pas dans la route des packs jusqu'en v1.6 voir si existe dans le suivant -->
<variable name="force-deletion">false</variable> <!-- fonctionne à partir d'ETL v4.4.2 n'existe pas dans la route des packs jusqu'en v1.6 voir si existe dans le suivant -->
<variable name="keep-local-groups">true</variable> <!-- fonctionne à partir de la v2024.0.0 n'existe pas dans la route des packs jusqu'en v1.6 voir si existe dans le suivant -->
</variables>
<!-- Syncrhonization route selection-->
<extend name="route-azure-users" />
</configuration>
Adapter à votre configuration le paramétrage de l’agent:
| Paramètre | Valeur attendue |
|---|---|
| azure-tenant-id | identifiant du tenant locataire Azure AD |
| azure-openid-connection-name | Nom de la connexion externe déclarée précédemment |
| azure-query-params | permet de récupérer les groupes associés aux utilisateurs |
| parent-organization-uri | organisation parente exemple: uril://vdoc/organization/Collaborators |
| authentication-domain-name | Nom de la délagation Team à associer AzureAD |
| synchronizeUsersGroupsLinks | permet de synchroniser des liaisons avec des groupes pré-synchronisés |
| azureQueryFilterGroupId | identifiant du groupe AzureAD si filtrage sur un groupe |
| azureQuerySelect | liste des champs utilisateur à récupérer dans la requête à ajouter si vous voulez personnaliser la requête sinon ne pas déclarer dans l’agent |
| enable-deletion | autorise la désactivation des utilisateurs déjà synchronisé mais plus présents dans cette synchro |
| force-deletion | par défaut on limite à 100 le nombre d’utilisateurs supprimés lors d’une synchro. Ce paramètre permet de ne pas tenir compte de la limitation |
| keep-local-groups | permet de conserver les groupes locaux Process (sinon ils sont supprimés) à partir de la v2024 |
L’option enable-deletion n’est opérationnelle qu’à partir de la v4.4.1 de Visiativ ETL. Si vous utilisez une version plus ancienne n’utilisez pas cette option.
Pour la mise en place de l’option enable-deletion à true sur une instance où la synchro était déjà en place, il faut au préalable désactiver tous les comptes utilisateurs ayant déjà été synchronisés via un export/import par exemple. Ensuite seulement vous pourrez exécuter la route avec le paramètre à true
Un problème persiste en v4.4.1 avec cette option. Le cache permettant d’utiliser l’option enable-deletion est unique pour une route. Ainsi, si vous paramétrez 2 agents avec une même route, un conflit se produit et chaque agent efface les utilisateurs provenant du second agent. Il faut donc créer une copie de la route autant de fois que d’agents actuellement (corrigé à partir de la v4.4.2)
Pour plus d’informations concernant la configuration de la route ETL, veuillez vous reporter à la documentation Moovapps ETL dans la documentation fonctionnelle de Moovapps ETL disponible dans Resources Center.
L’ETL Pack Azure également disponible dans Resources Center fourni un modèle d’import à utiliser pour la synchronisation.
Synchronisation des groupes Azure AD
La synchronisation des groupes Azure AD gère la création des groupes et l’association avec les sous-groupes.
La première exécution peut être en échec si les sous-goupes n’ont pas encore été synchronisés dans Process. Une deuxième exécution de la route ETL peut être nécessaire pour que tous les groupes soient synchronisés et associés correctement.
Déclarer un agent ETL:
<configuration>
<variables>
<!-- Connection variables -->
<variable name="azure-tenant-id"></variable>
<variable name="azure-openid-connection-name"></variable>
<variable name="parent-organization-uri"></variable>
<variable name="azure-query-params">$expand=memberOf</variable>
<variable name="keep-local-groups">true</variable> <!-- fonctionne à partir de la v2024.0.0 n'existe pas dans la route des packs jusqu'en v1.6 voir si existe dans le suivant -->
</variables>
<!-- Syncrhonization route selection-->
<extend name="route-azure-groups" />
</configuration>
Adapter à votre configuration le paramétrage de l’agent:
| Paramètre | Valeur attendue |
|---|---|
| azure-tenant-id | identifiant du tenant locataire Azure AD |
| azure-openid-connection-name | Nom de la connexion externe déclarée précédemment |
| azure-query-params | permet de récupérer les groupes associés aux utilisateurs |
| parent-organization-uri | organisation parente exemple: uril://vdoc/organization/Collaborators |
| keep-local-groups | permet de conserver les groupes locaux Process à partir de la v2024 en utilisant la dernière version ETL compatible avec la version de process |
Pour plus d’informations concernant la configuration de la route ETL, veuillez vous reporter à la documentation Moovapps ETL dans la documentation fonctionnelle de Moovapps ETL disponible dans Resources Center.
L’ETL Pack Azure également disponible dans Resources Center fourni un modèle d’import à utiliser pour la synchronisation.
Bonnes pratiques pour la configuration du driver ETL Azure AD
- La route est pré-paramétrée pour alimenter un attribut étendu ADDomain avec la valeur
AzureAD(Ce paramétrage n’est utile que si vous utilisez Visiativ Team)AzureADest le nom de domaine par défaut pour les utilisateurs de l’organisation interne, il est donc préférable d’utiliser cette valeur- Utiliser un suffixe correspondant au nom de l’organisation pour les organisations externes (ex: “AzureAD-Client1”)
- Les routes de synchronisation des utilisateurs et des groupes ont en commun les paramètres de connexion à Azure AD
- Il est donc possible de créer un seul agent ETL pour les deux routes en ne déclarant qu’une seule fois les paramètres de connexion à Azure AD:
<configuration>
<variables>
<!-- Connection variables -->
<variable name="azure-tenant-id"></variable>
<variable name="azure-openid-connection-name"></variable>
<variable name="azure-query-params">$expand=memberOf</variable>
<variable name="parent-organization-uri"></variable>
<variable name="authentication-domain-name"></variable>
<variable name="synchronizeUsersGroupsLinks">false</variable>
<variable name="azureQueryFilterGroupId"></variable>
<variable name="azureQuerySelect">id,userPrincipalName,givenName,surname,mail,preferredLanguage,businessPhones,mobilePhone,accountEnabled,country,memberOf,jobTitle,manager,officeLocation,department,state</variable>
<variable name="enable-deletion">false</variable> <!-- fonctionne à partir d'ETL v4.4.1 -->
<variable name="force-deletion">false</variable> <!-- fonctionne à partir d'ETL v4.4.2 -->
<variable name="keep-local-groups">true</variable> <!-- fonctionne à partir de Process 2024 -->
</variables>
<!-- Syncrhonization route selection-->
<extend name="route-azure-users" />
<extend name="route-azure-groups" />
</configuration>
Tester la fédération
Test de synchronisation des utilisateurs
- Valider qu’un utilisateur est bien synchronisé après exécution de l’ETL (création et mise à jour)
- Dans l’annuaire Process
- Dans l’annuaire Team (si utilisé)
- Si le paramètre synchronizeUsersGroupsLinks est à true, valider que les utilisateurs sont bien associés aux groupes auxquels ils appartiennent
- Si le paramètre enable-deletion est à true, valider que les utilisateurs désactivés sont bien désactivés de l’annuaire Process
- Essayer de se connecter avec un utilisateur synchronisé Azure AD
- Essayer de se connecter avec un utilisateur “Process” (qui n’a pas été créé par la synchro ETL)
Test de synchronisation des groupes
- Valider qu’un groupe est bien synchronisé après exécution de l’ETL (création et mise à jour)
- Dans l’annuaire Process
- Valider que les sous-groupes sont bien associés aux groupes auxquels ils appartiennent