Articles sur : Paramètres de l'espace de travail

Cet article est aussi disponible en :

Provisionnement automatisé avec Microsoft Entra & SCIM

🔐 Provisionnement automatisé avec Microsoft Entra & SCIM

« Les bons utilisateurs, les bons accès, sans effort manuel. »
Créez et gérez automatiquement les utilisateurs et contacts Brainframe directement depuis votre fournisseur d’identité.

Ce guide explique comment provisionner automatiquement des utilisateurs Brainframe et/ou des contacts Brainframe (avec tags) via le provisionnement SCIM depuis Microsoft Entra.

L’intégration SCIM est conçue pour être non intrusive :

Les utilisateurs, contacts et groupes Brainframe existants restent inchangés.
Les utilisateurs et groupes IdP sont synchronisés indépendamment.
Brainframe relie les identités selon des règles explicites (appartenance à des groupes IdP spécifiques tels que brainframeUser et brainframeContact).

1️⃣ Créer l’application Entra

(Ignorez cette étape si vous avez déjà créé une application pour le SAML SSO.)

Accédez au centre d’administration Entra

👉 https://entra.microsoft.com/#home

Cliquez sur Nouvelle application.

Sélectionnez Créer votre propre application.

Saisissez un nom, choisissez Application hors galerie, puis cliquez sur Créer.

💡 Astuce : Utilisez un nom explicite tel que Brainframe GRC – SSO & SCIM.

2️⃣ Configurer le provisionnement SCIM dans Entra

Ouvrez l’application et accédez au menu Provisionnement.

Cliquez sur Nouvelle configuration.

Dans Brainframe GRC, allez dans :

Paramètres de l’espace de travail → Provisionnement des utilisateurs

Activez le provisionnement SCIM.

Cela affiche :

URL SCIM
Jeton SCIM

Dans Microsoft Entra :

Méthode d’authentification : Authentification Bearer
Collez l’URL SCIM et le jeton
Cliquez sur Tester la connexion

En cas de succès, cliquez sur Créer pour activer le provisionnement.

3️⃣ Configurer le mapping des attributs

Pour assurer une synchronisation correcte, les attributs Entra doivent correspondre aux attentes SCIM de Brainframe.

Mapping des attributs utilisateur

Ouvrez Mapping des attributs
Sélectionnez Provisionner les utilisateurs Microsoft Entra ID

Assurez-vous que Créer, Mettre à jour, Supprimer sont activés.

Attribut cible Brainframe	Attribut source Entra	Rôle
externalId	objectId	Identifiant unique IdP
active	accountEnabled	Désactivation des utilisateurs ou efacement des contacts
name.givenName	givenName	Prénom
name.familyName	surname	Nom
emails[type eq "work"].value	mail	Email de connexion et de communication
preferredLanguage	preferredLanguage	Langue préférée

Cliquez sur Enregistrer.

Mapping des attributs de groupe

Sélectionnez Provisionner les groupes Microsoft Entra ID.

Assurez-vous que Créer, Mettre à jour, Supprimer sont activés.

Attribut cible Brainframe	Attribut source Entra	Rôle
displayName	displayName	Nom du groupe dans Brainframe
externalId	objectId	Identifiant du groupe
members	members	Membres du groupe

4️⃣ Créer les groupes IdP requis

La logique de provisionnement Brainframe repose sur des groupes IdP spécifiques :

brainframeUser → crée / relie des utilisateurs Brainframe
brainframeContact → crée des contacts Brainframe (sans accès de connexion)

⚠️ Les utilisateurs n’appartenant à aucun de ces groupes sont synchronisés, mais aucune action n’est effectuée dans Brainframe.

Dans Entra, créez deux groupes :

brainframeUser
brainframeContact

Assignez les deux groupes à l’application d’entreprise :

Utilisateurs et groupes → Ajouter un utilisateur/groupe

5️⃣ Tester la création de contacts Brainframe

Les contacts :

Ne se connectent jamais
Peuvent recevoir des distributions, validations et notifications

Ajoutez des utilisateurs au groupe brainframeContact.

Allez dans Provisionnement → Provisionner à la demande
Sélectionnez le groupe brainframeContact.

Sélectionnez les membres et cliquez sur Provisionner.

Résultat :

L’utilisateur apparaît dans Paramètres de l’espace de travail → Provisionnement des utilisateurs
Le contact apparaît dans Contacts externes

Synchronisation automatique des tags

Tout groupe IdP supplémentaire (ex. Ressources humaines) est synchronisé comme Tag.

Ces tags peuvent déclencher automatiquement des distributions.

6️⃣ Tester la création d’utilisateurs Brainframe

⚠️ Les utilisateurs créés via SCIM ne peuvent pas être supprimés, seulement désactivés. Testez d’abord avec des utilisateurs individuels.

Ajoutez un utilisateur au groupe brainframeUser.

Assignez brainframeUser à l’application d’entreprise.

Lancez Provisionner à la demande.

⚠️ L’utilisateur reçoit immédiatement une invitation à l’espace de travail.

Le SSO doit déjà être configuré. La connexion par mot de passe est désactivée.

Résultat réussi :

7️⃣ Mapping des groupes IdP vers les groupes Brainframe

Les groupes SCIM peuvent être mappés à des groupes Brainframe afin d’appliquer des permissions.

Exemple :

Groupe IdP : Human resources
Groupe Brainframe : Brainframe HR

Modifiez le groupe IdP.
Mappez-le au groupe Brainframe.

Les utilisateurs héritent alors automatiquement des permissions Brainframe.

8️⃣ Bonnes pratiques

🧪 Tester avec des utilisateurs individuels avant un déploiement massif
🔐 Configurer le SSO avant d’activer les utilisateurs SCIM
🏷 Utiliser les groupes IdP de manière stratégique pour piloter tags et permissions
📂 Créer à l’avance les groupes Brainframe avec les bons droits d’accès aux dossiers
🔄 Surveiller les journaux de provisionnement lors du déploiement initial

🎯 Checklist visuelle

[x] Application Entra créée
[x] Provisionnement SCIM activé
[x] Mapping utilisateurs et groupes configuré
[x] Groupes brainframeUser & brainframeContact créés
[ ] Provisionnement des contacts testé
[ ] Provisionnement des utilisateurs testé
[ ] Groupes IdP mappés aux groupes Brainframe

Mis à jour le : 24/02/2026

Cet article a-t-il répondu à vos questions ?

Merci !