SCIM

Prérequis (auto-hébergé)

Version GLPI

PHP Minimum

Recommandé

10.0.x

8.1

8.2

11.0.x

8.2

8.4

Une souscription GLPI Network BASIC (ou supérieure) est requise. Ce plugin est également disponible pour toutes les instances GLPI Network Cloud.

Le point d'accès SCIM API fourni par le plugin doit être accessible depuis le fournisseur d'identité. Si nous parlons d'Azure ou d'Okta, cette URL particulière doit être disponible depuis internet. Nous suggérons fortement de limiter les adresses IP qui peuvent accéder à cette URL (en plus d'ajouter une méthode d'authentification forte).

Mot de passe/SSO

Bien que mentionnée dans les spécifications SCIM, la synchronisation des mots de passe n'est pas toujours disponible en fonction du fournisseur :

Azure : non disponible
Okta : disponible

Au lieu de pousser les mots de passe, nous vous recommandons fortement d'utiliser OAuth SSO pour connecter vos utilisateurs à GLPI.

Installer le plugin

Depuis la marketplace, téléchargez le plugin SCIM

Configuration GLPI

Vous devez déclarer un serveur d'identité dans la configuration du plugin (vous pouvez en ajouter autant que vous le souhaitez).

Allez sur votre instance GLPI
Sélectionnez Configuration > Serveurs d'identité SCIM
Cliquez sur + Ajouter
Ajoutez un nom
Sélectionnez le compte administrateur qui peut mettre à jour vos données GLPI
Cliquez sur Activer
Sélectionnez la méthode Bearer
Cliquez sur + Ajouter
Vous pouvez maintenant voir l'URL de l'API

Pour Azure, le secret attendu est un jeton JWT valide à longue durée de vie. Nous ne pouvons pas utiliser un échange OAuth (Azure ne demande pas d'URL d'autorisation). Donc, dans GLPI, configurez votre serveur SCIM avec la sécurité Bearer et collez le jeton JWT de GLPI dans le champ Secret token d'Azure.

Assurez-vous de coller le jeton (jeton Jwt) pour garantir le bon fonctionnement de votre application.

Vous obtiendrez une URL d'API que vous pourrez coller dans la configuration de votre fournisseur d'identité. Consultez la documentation spécifique du fournisseur pour plus de détails.

Vous pouvez définir certains paramètres optionnels :

Enregistrer les requêtes dans les logs : si coché, toutes les requêtes seront enregistrées dans l'onglet "Historique" de votre serveur déclaré.
Serveur par défaut : si coché, ce serveur sera utilisé par défaut sans fournir son ID dans l'URL de l'API.
Sécurité : une liste déroulante des méthodes de sécurité disponibles. Actuellement implémentées :
- Aucune : aucune sécurité, n'importe qui peut accéder à l'API.
- Basic : authentification HTTP Basic. Vous devez fournir un nom d'utilisateur et un mot de passe.
- Digest : authentification HTTP Digest. Vous devez fournir un nom d'utilisateur et un mot de passe.
- Bearer : authentification HTTP Bearer. Un jeton JWT à longue durée de vie (10 ans) sera généré.
- OAuth2 : authentification OAuth2. Vous devez fournir au moins une URI de redirection valide. Nous prenons en charge les flux suivants :
  - Code d'autorisation.
  - Identifiants client.

Votre serveur SCIM est maintenant prêt à recevoir des requêtes de votre fournisseur d'identité.

Entra

Références

Utiliser SCIM pour provisionner des utilisateurs et des groupes

Configuration

Créer une application

Connectez-vous à votre portail Azure
Cliquez sur Ajouter
puis Application d'entreprise.

Cliquez sur Créer votre application.
Dans la section qui apparaît sur la droite, entrez le nom de votre application et choisissez la 3ème option `intégrer toute autre application non trouvée dans la galerie`.

Configuration de l'application

Une fois votre application créée, allez dans Provisionnement.

Sélectionnez Automatique.
Spécifiez l'URL générée précédemment depuis GLPI et collez le jeton.

Assurez-vous de coller le jeton (jeton JWT) pour garantir le bon fonctionnement de votre application.

Cliquez sur Tester la connexion. Un message apparaîtra vous informant de la réussite de la connexion.

Sur la même page, vous pouvez également configurer une adresse e-mail et un nombre en cas d'échec ou de suppressions accidentelles.

Cliquez sur Enregistrer

Synchronisation de tous les utilisateurs

Vous pouvez choisir de synchroniser l'intégralité de votre annuaire.
Allez dans l'onglet Paramètres > Portée et sélectionnez Synchroniser tous les utilisateurs et groupes.

Synchronisation des groupes et utilisateurs sélectionnés (option par défaut)

Vous pouvez choisir de synchroniser uniquement certains groupes et/ou utilisateurs. Lors de l'actualisation de la page `Provisionnement`
Allez dans l'onglet Paramètres > Portée
Sélectionnez Synchroniser uniquement les utilisateurs et groupes assignés

Ensuite, allez dans Utilisateurs et groupes
Cliquez sur Ajouter un utilisateur/groupe
Cliquez sur Aucune sélection
Sélectionnez les groupes et utilisateurs que vous souhaitez dans la boîte à droite
Puis Sélectionner et Assigner.

Activer le provisionnement

Dans la section Provisionnement
Changez le statut de Désactivé à Activé

Vérifier le statut de synchronisation

Dans la section Aperçu, vous pouvez vérifier que la synchronisation a réussi.

Côté GLPI, allez dans la section Journal des requêtes de votre plugin SCIM Configuration > Serveurs d'identité SCIM pour vérifier que les comptes sont correctement synchronisés.

Consultez la procédure de configuration du plugin OAuth SSO pour authentifier les utilisateurs sur GLPI.

OKTA

Références

Créer une application

Depuis votre portail OKTA
Cliquez sur Applications
Et Créer une intégration d'application

Sélectionnez SWA - Secure Web Authentication

Ajoutez un nom à votre application
Ajoutez l'URL de votre instance GLPI (cela redirigera votre utilisateur vers votre GLPI si cette application est disponible dans le portail utilisateur OKTA)
Cliquez sur Finish

Configuration de l'application

Retournez à General
Cliquez sur Edit
Nommez le label
Sélectionnez SCIM pour activer le service
Cliquez sur Save

Pour configurer le provisionnement, vous devez configurer GLPI. Référez-vous à setup GLPI pour configurer URL API et JWT Token

Copiez l'API URL et le JWT token, vous devrez coller ces informations dans OKTA.
Retournez à votre application OKTA
Collez l'API URL
Sélectionnez le champ Identifiant unique pour les utilisateurs (name.familyName, phoneNumber, name.givenName, id, userName, email, etc. Ce sera la méthode d'authentification des utilisateurs)
Sélectionnez les actions qui peuvent être supportées
Sélectionnez HTTP Header
Collez le JWT token

Vous devez coller le JWT token et non le secret

Cliquez sur Test Connector Configuration

vous pouvez maintenant fermer cette fenêtre et sauvegarder votre configuration
Toujours dans provisioning, vous pouvez éditer et sélectionner les actions possibles pour la mise à jour de vos données utilisateur.

Nous recommandons de désélectionner Sync Password et d'utiliser OAuth SSO pour authentifier votre utilisateur.

La dernière étape consiste à assigner votre application aux utilisateurs

Synchronisation de tous les utilisateurs

Allez dans la console d'administration
Sélectionnez Directory > Groups
Sélectionnez Everyone
Dans Applications, cliquez sur Assign applications
Cliquez sur assign sur votre application SCIM
Cliquez sur Save and Go Back

Synchronisation de groupes et d'utilisateurs sélectionnés

Allez dans la console d'administration
Sélectionnez Directory > People
Sélectionnez l'Utilisateur que vous souhaitez importer
Dans Applications, cliquez sur Assign applications
Cliquez sur assign sur votre application SCIM
Cliquez sur Save and Go Back

Répétez cette étape pour tous les utilisateurs et groupes que vous souhaitez importer.

Consultez la procédure de configuration du plugin OAuth SSO pour authentifier les utilisateurs dans GLPI.

FAQ

Si vous avez des questions sur l'utilisation du plugin, veuillez consulter notre FAQ

PrécédentSCCM SuivantSplitcat

Mis à jour il y a 13 jours

Ce contenu vous a-t-il été utile ?