1️⃣ Activation de SCIM sur Riot
Connectez-vous à votre espace de travail Riot, puis allez dans Settings > Workforce.
Une section intitulée « SCIM Provisioning » est disponible.
Cliquez sur le bouton « Connect » pour commencer.
Sélectionnez « Microsoft », puis cliquez sur « Continue ».
Lors de la première étape, vous devrez vous connecter via le SSO Microsoft.
Cliquez sur le bouton « Connect », puis connectez-vous à Microsoft.
Vous serez redirigé vers Riot une fois la connexion terminée.
2️⃣ Création d’une application Microsoft Entra pour le provisionnement SCIM
Connectez-vous au centre d’administration Microsoft Entra.
Dans la barre latérale gauche, allez dans Entra ID > Applications d’entreprise.
Cliquez sur « New application ». Vous serez redirigé vers la galerie d’applications Microsoft Entra.
Cliquez sur « Create your own application ».
Dans le panneau de droite qui vient de s’ouvrir, saisissez « Riot SCIM Provisioning ». Le nom est libre, vous pouvez en utiliser un autre si vous le souhaitez. Assurez-vous que l’option « Integrate any other application you don't find in the gallery (Non-gallery) » est bien sélectionnée.
Cliquez sur « Créer ».
Après la création de l’application, vous serez redirigé vers les paramètres de l’application.
Cliquez sur “Provisioning”.
Cliquez sur “Connect your application”.
Assurez-vous que « Authentification Bearer » est sélectionnée pour le champ « Sélectionner la méthode d’authentification ».
Allez sur Riot, et copiez l’« URL du point de terminaison SCIM » dans le champ « URL du locataire » de Microsoft Entra.
Cliquez sur « Générer un jeton Bearer » sur Riot, et copiez la valeur dans le champ « Jeton secret » de Microsoft Entra.
Cliquez sur « Tester la connexion ». Une notification devrait apparaître pour vous indiquer que le test a réussi.
Vous pouvez maintenant cliquer sur “Create”.
3️⃣ Configuration du provisionnement des groupes
Allez dans « Mappage des attributs ».
La configuration par défaut permet le provisionnement des groupes. Si vous ne souhaitez pas que Microsoft Entra crée des groupes dans Riot, cliquez sur « Provisionner les groupes Microsoft Entra ID » et, dans l’écran suivant, assurez-vous de passer l’option « Activé » sur Non, puis cliquez sur « Enregistrer ».
Les mappages d’attributs recommandés pour les groupes correspondent à la configuration par défaut, comme illustré dans la capture d’écran suivante :
4️⃣ Configuration de l’approvisionnement des employés
Accédez à nouveau à « Attribution des attributs » (Attribute Mapping) et cliquez sur « Provision Microsoft Entra ID Users ».
Comme la configuration par défaut de la section « Attribution des attributs » envoie des données que la plateforme Riot ne peut pas réellement utiliser, nous devons effectuer les modifications suivantes :
displayName : Supprimer
emails[type eq "work"].value :
Si l’attribut mail est correctement rempli dans votre tenant Entra, vous pouvez le laisser tel quel.
Si l’attribut mail n’est pas correctement rempli dans votre tenant Entra et que vous utilisez emails comme userPrincipalName, vous pouvez cliquer sur « Modifier » (Edit) et sélectionner userPrincipalName comme attribut source (Source Attribute) à la place.
name.formatted : Supprimer
Tout ce qui contient addresses[type eq "work"] : Supprimer
Tout ce qui contient phoneNumber : Supprimer
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber : Supprimer
Cliquez sur « Enregistrer » (Save) pour sauvegarder les modifications effectuées jusqu’à présent.
externalId : Modifier (Edit) > Sélectionnez objectId dans l’option Attribut source (Source attribute) et cliquez sur OK
Cliquez sur « Enregistrer » (Save)
Cliquez sur « Afficher les options avancées » (Show advanced options), puis sur « Modifier la liste des attributs pour customappsso » (Edit attribute list for customappsso) et effectuez les modifications suivantes :
emails[type eq "work"].value : Cliquez sur Obligatoire (Required)
name.givenName : Cliquez sur Obligatoire (Required)
name.familyName : Cliquez sur Obligatoire (Required)
Les attributions d’attributs recommandées (Attribute Mappings) sont illustrées dans la capture d’écran suivante:
5️⃣ Configuration des paramètres restants
Dans les paramètres de l’application, allez à « Provisioning » et cliquez sur « Settings » pour afficher des paramètres supplémentaires qui pourraient vous intéresser :
Envoyer une notification par e-mail en cas d’échec : Activez cette option si vous souhaitez être averti en cas d’erreurs lors de l’approvisionnement, saisissez votre adresse e-mail, puis cliquez sur « Save ».
Périmètre (Scope) : Par défaut, Entra n’approvisionne que les utilisateurs et groupes attribués. Si vous souhaitez approvisionner tous les utilisateurs et tous les groupes, vous pouvez le sélectionner ici et cliquer sur « Save ».
Si vous avez laissé le Scope sur « Sync only assigned users and groups », il est maintenant temps de leur attribuer des utilisateurs et groupes.
Allez dans « Users and groups » et cliquez sur « Add user/group ».
Cliquez sur « None Selected », sélectionnez certains utilisateurs et/ou groupes, puis cliquez sur « Assign ».
6️⃣ Tester l’approvisionnement sur quelques utilisateurs
Si vous voulez tester l’approvisionnement sur quelques utilisateurs :
Allez dans « Provisioning on Demand » et recherchez les utilisateurs et/ou groupes que vous souhaitez approvisionner à la demande.
Si vous approvisionnez un groupe, vous devrez choisir au maximum 5 utilisateurs pour l’approvisionnement à la demande, puis cliquez sur « Provision » pour vérifier si cela fonctionne.
7️⃣ Démarrer l’approvisionnement
Lorsque vous êtes prêt :
Allez dans « Overview » et cliquez sur « Start Provisioning ».
L’approvisionnement se fait à des heures fixes dans la journée, toutes les 40 minutes. Cela signifie que l’approvisionnement ne démarrera pas immédiatement, et vous devrez attendre que le Microsoft Entra Provisioning Service termine l’approvisionnement de tous vos utilisateurs et groupes.