Filtrage des utilisateurs

Nom du filtre : Importer les utilisateurs Paramètre
Ce filtre est configuré pour importer l'utilisateur, en fonction des paramètres saisis (par exemple, $filter=startswith givenName, 'J'). Plusieurs paramètres peuvent être utilisés conjointement.

Exemples

L'exemple suivant recherche les utilisateurs dont l'adresse e-mail se termine par « @efecte.com ».

L'exemple suivant recherche les utilisateurs qui se trouvent dans un service commençant par le mot « Service informatique ».

L'exemple suivant recherche les utilisateurs dont le nom d'affichage commence par le mot « TEST ».

L'exemple suivant recherche les utilisateurs qui ne font pas partie de l'entreprise appelée Efecte

L'exemple suivant recherche les utilisateurs qui ne sont pas dans Active Directory mais qui sont membres du locataire Entra

L'exemple suivant recherche un utilisateur dont l'adresse e-mail est tuija.itasalmi@efecte.com

L'exemple suivant recherche les utilisateurs qui ont le type d'authentification « standard » dans l'attribut d'extension extension_824667ba11b6468baf6ac13ac3c62c81_AuthenticationType et les comptes sont intitulés comme internes ou externes dans l'attribut d'extension extension_824667ba11b6468baf6ac13ac3c62c81_AccountType

L'exemple suivant recherche les utilisateurs qui ont un courrier électronique

L'exemple suivant recherche les utilisateurs qui sont activés

Filtrage des groupes

Nom du filtre : paramètre Importer des groupes
Ce filtre est configuré pour importer des groupes en fonction des paramètres saisis. Par exemple : $filter=startswith groupName, 'E' . Notez qu'un filtre peut utiliser plusieurs paramètres simultanément.

Exemples

L'exemple suivant recherche des groupes qui sont des groupes de sécurité

L'exemple suivant recherche les groupes dont le nom d'affichage commence par le mot « Efecte ».

L'exemple suivant recherche les groupes créés et synchronisés à partir d' Active Directory

Groupes exclus

Pour les tâches basées sur Azure , placez les ID d’objet des groupes à exclure (séparés par des sauts de ligne).

Filtrage des utilisateurs en fonction de l'appartenance à un groupe

Nom du filtre : paramètre Importer des groupes
Ce filtre permet d'importer les utilisateurs en fonction de leur appartenance à un groupe. Pour les tâches Azure , indiquez les identifiants d'objet des appartenances à un groupe à inclure ou à exclure (séparés par des sauts de ligne).

Filtrage basé sur des utilisateurs uniques

Nom du filtre : Utilisateurs exclus

Ce filtre permet d'exclure des utilisateurs spécifiques de l'importation. Pour Entra utilisez ObjectGUID des groupes à exclure (séparés par des sauts de ligne).

Vous trouverez plus d'informations sur API MS Graph et les filtres sur https://docs.microsoft.com/en-us/graph/aad-advanced-queries?tabs=http .

Comment tester les requêtes EPE Azure

Si vous souhaitez tester les requêtes Azure sans exécuter EPE, accédez à l'URL https://developer.microsoft.com/en-us/graph/graph-explorer 

Cet outil de test utilise exactement les mêmes règles qu'EPE. Si quelque chose fonctionne ici, cela fonctionne aussi dans EPE et inversement.

Par exemple, comment tester si la syntaxe onPremisesExtensionAttribute fonctionne dans EPE :

Vous pouvez configurer une tâche planifiée pour lire les données avec une requête et des sous-requêtes liées au jeu de résultats renvoyé par la requête principale.

Dans cet exemple, deviceManagement/managedDevices est la requête principale, et elle comporte deux sous-requêtes. Ces sous-requêtes sont exécutées pour tous les appareils renvoyés par la requête principale.

Une fois ces sous-requêtes définies, vous pouvez les utiliser dans les mappages pour récupérer les données renvoyées par les sous-requêtes. Par exemple :

Lorsque vous lisez un attribut depuis une sous-requête, celui-ci possède son propre format. Vous devez d'abord définir la sous-requête comme préfixe, puis le point (.), puis le nom de l'attribut à lire.

À titre d’exemple, examinons cette cartographie plus en détail :
/deviceManagement/managedDevices/{id}/windows Pro tectionState . deviceState

préfixe (identique à la sous-requête) : /deviceManagement/managedDevices/{id}/windows Pro tectionState

point : .

suffixe comme nom d'attribut à partir du jeu de résultats de la sous-requête : deviceState

Ce mappage de sous-requête lit (dans cet exemple) à partir de tous les périphériques résultant de la requête principale l'objet Pro de Windows, et à partir de là, il lit la valeur de l'attribut deviceState.

Prise en charge des sous-tables ajoutée pour la version 2025.2

Vous pouvez lire les attributs des tables en utilisant cette syntaxe :
deviceManagement/detectedApps/{id}/deviceActionResults.0.actionName
Exemples (lire les données de la première table des ensembles de résultats de la sous-requête deviceActionResults et à partir de cette table, lire les attributs actionName, actionState et lastUpdatedDateTime pour séparer les attributs ESM :

Restrictions dans la version 2025.1

Les sous-requêtes à plusieurs niveaux ne sont pas prises en charge

Les sous-requêtes ne prennent en charge qu'un seul niveau de sous-requêtes, ce qui signifie que vous ne pouvez pas créer directement, par exemple, ce type de sous-requêtes où vous avez plus d'une variable dans {} :

/deviceManagement/detectedApps/{detectedAppId}/managedDevices/{managedDeviceId}/users/{userId}/managedDevices

Les sous-tableaux ne sont pas pris en charge

La récupération de données à partir de sous-tables n'est pas prise en charge, ce qui signifie que vous ne pouvez pas, par exemple, lire actionName à partir de cet appel API :

deviceManagement/managedDevices/{id}

Une seule sous-requête par tâche est prise en charge

Si vous utilisez plusieurs sous-requêtes, les données peuvent être mélangées entre les sous-requêtes.

Restrictions dans la version 2025.2

Les sous-requêtes à plusieurs niveaux ne sont pas prises en charge

Les sous-requêtes ne prennent en charge qu'un seul niveau de sous-requêtes, ce qui signifie que vous ne pouvez pas créer directement, par exemple, ce type de sous-requêtes où vous avez plus d'une variable dans {} :

/deviceManagement/detectedApps/{detectedAppId}/managedDevices/{managedDeviceId}/users/{userId}/managedDevices

Une seule sous-requête par tâche est prise en charge

Si vous utilisez plusieurs sous-requêtes, les données peuvent être mélangées entre les sous-requêtes.

Restrictions dans la version 2025.3

Les sous-requêtes à plusieurs niveaux ne sont pas prises en charge

Les sous-requêtes ne prennent en charge qu'un seul niveau de sous-requêtes, ce qui signifie que vous ne pouvez pas créer directement, par exemple, ce type de sous-requêtes où vous avez plus d'une variable dans {} :

/deviceManagement/detectedApps/{detectedAppId}/managedDevices/{managedDeviceId}/users/{userId}/managedDevices

Voir https://docs.efecte.com/configure-connectors/intune-read-and-write

Voir https://docs.efecte.com/configure-connectors/ms_teams_integration

Grâce à l'appel-action REST générique, vous pouvez effectuer divers appels vers Azure et Entra ID via Microsoft Graph API . Voici quelques exemples de ces possibilités, mais pas seulement.

Définissez extensionAttributes (1-15) sur le compte Entra ID .

Générez le corps JSON dans le nœud de script du workflow (modifiez le script pour qu'il corresponde à vos besoins). Dans l'exemple de workflow ci-dessous, ce script se trouve dans le nœud « EXT Generate ExtensionAttributes payload » :

import json

_source = this.get("source")

# EXT users extension attributes, ordered from portal
if "Self-service portal" in _source:
  # set values to variables
  _extAttr1 = this.get("iga_id")
  _extAttr4 = "EXT"
  _extAttr9 = str(this.get("work_unit"))
  _extAttr10 = "100"
  _extAttr15 = this.get("microsoft_license")

  _payload_dict = {
    "onPremisesExtensionAttributes": {
        "extensionAttribute1": _extAttr1,
        "extensionAttribute4": _extAttr4,
        "extensionAttribute9": _extAttr9,
        "extensionAttribute10": _extAttr10,
        "extensionAttribute15": _extAttr15
    }
}

  # format to json and set to extattributesEntra attribute
  _payload = json.dumps(_payload_dict, indent=4)
  this.set("extattributesEntra", _payload)

Créez un nœud d’orchestration pour la source de données Microsoft Graph API et l’activité d’appel REST générique.

Définissez l'action sur PATCH, restez l'URL sur /users/$objectGUID$ et dans le corps, utilisez la valeur d'attribut extattributes Entra que vous avez créée à l'étape précédente avec la syntaxe $extattributes Entra $.

Activer / Désactiver l'utilisateur

Dans l'illustration ci-dessus, les administrateurs sélectionnent la cible Microsoft Azure AD appropriée et peuvent consulter les mappages d'identité configurés pour les tâches Azure sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches Pro .

Dans ce même nœud, les administrateurs peuvent choisir l'action qu'ils préfèrent utiliser : « Activer » ou « Désactiver ». La fonctionnalité « Activer/Désactiver » consiste ici à définir « accountEnabled » sur « true » si le compte est activé ; sinon, sur « false ».

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Ajouter un utilisateur au groupe

Dans l'illustration ci-dessus, la configuration de l'attribut Personne doit pointer vers le modèle où le nœud d'orchestration trouve les données de l'utilisateur (généralement le compte IGA ). L'attribut Rôle doit être configuré pour définir où le nœud d'orchestration trouve les rôles disponibles (groupes d'annuaires dont l'utilisateur doit être supprimé). Un ou plusieurs groupes d'attributs peuvent être configurés dans un attribut Rôle. La liste des tâches d'annuaire enregistrées disponibles est extraite du maître EPE.

Il est nécessaire de sélectionner la tâche d'annuaire, car le nœud d'orchestration Efecte Provisioning Engine utilisera le mappage des champs d'identité et de droits d'accès pour savoir sous quel code d'attribut, les noms distinctifs de l'utilisateur et du groupe d'annuaires sont stockés.

Gestion des exceptions :

• Le résultat d'un nœud sera à l'état « Terminé » uniquement si toutes les appartenances aux groupes de l'utilisateur ont été mises à jour avec succès. Si, par exemple, l'utilisateur est supprimé de 5 groupes sur 6, le résultat d'un nœud sera à l'état « Exception ».
• Par conséquent, le mappage du champ JSON distinguishedName, pour l'identité et les droits d'accès, est requis. Si le mappage est introuvable, le nœud d'orchestration affichera un état « Exception ».
• La tentative de supprimer un utilisateur d'un groupe auquel il n'appartient pas se terminera par un échec.
• La tentative d'ajouter un utilisateur à un groupe auquel il appartient déjà se terminera par un échec.
• Les détails sur l'appartenance au groupe d'un utilisateur mis à jour avec succès ou non peuvent être trouvés dans les journaux.
• Les exceptions de Pro et d'appartenance aux groupes sont des propriétés facultatives pour ce nœud de workflow. Les administrateurs peuvent configurer ces propriétés pour qu'elles puissent être utilisées et créer des exceptions si des exceptions surviennent lors des actions de provisionnement.

Créer un utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs choisissent l'annuaire cible approprié et peuvent consulter les mappages d'identité configurés pour les tâches d'annuaire sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d'orchestration de création d'utilisateur lit les attributs des cartes de données concernées et exécute l'appel API vers Azure . Il est important de vérifier que le mappage d'identité utilisé dans le nœud d'orchestration de création d'utilisateur contient au moins trois mappages Azure AD supplémentaires : pour les attributs « displayName », « mailNickname » et « userPrincipalName ». Remarque : si ces trois mappages sont absents dans une configuration donnée, ils ne seront pas affichés dans la liste déroulante.

Création de nouvelles notes d’activité utilisateur :

• Il existe deux manières de créer le mot de passe d'un nouvel utilisateur pour sa première connexion.
  • Définir le mot de passe « Par défaut » dans la vue de configuration de la tâche de Pro
    • Ce mot de passe ne sera utilisé par les utilisateurs que lorsqu'ils se connecteront au système pour la première fois.
  • Générer un mot de passe aléatoire dans le flux de travail et sélectionner l'attribut dans lequel il a été écrit sur la carte de données de mappage d'identité
  • Dans les deux cas, la valeur du premier mot de passe « pwdLastSet » est définie sur zéro (0) pour forcer un utilisateur à modifier son mot de passe après la première connexion.
  • Possibilité de choisir si le mot de passe doit être modifié à la première connexion. Les administrateurs peuvent effectuer cette sélection directement depuis le nœud d'orchestration « Création d'utilisateur » du workflow.
• Il existe différentes manières de fournir un mot de passe pour la première connexion de l'utilisateur final. Selon les besoins du client, il est possible d'utiliser les fonctionnalités du workflow pour envoyer le mot de passe directement à l'utilisateur final par e-mail ou SMS. Une autre option consiste à envoyer le mot de passe de première connexion au responsable, qui le fournira à l'utilisateur final. Le nœud d'orchestration d'EPE ne fournit pas cette fonctionnalité ; elle doit être définie ailleurs.
• L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Créer un groupe

Dans l'illustration ci-dessus, les mappages d'attributs des droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible Azure Directory appropriée et peuvent consulter les mappages des droits d'accès configurés pour les tâches Azure sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés comme une aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d'orchestration de création d'un nouvel utilisateur lit les attributs des cartes de données en question et exécute la commande API vers Entra Directory.

Il est important de s’assurer que le mappage des droits d’accès, utilisé dans le nœud d’orchestration Créer un groupe, contient au moins quatre mappages Azure AD supplémentaires : pour les attributs « displayName », « mailEnabled », « mailNickname » et « securityEnabled ».

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.


Supprimer le groupe

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Azure Directory appropriée. Le nœud d'orchestration de suppression de groupe lit les attributs des cartes de données concernées et exécute la commande API vers Azure Directory.

Pour les configurations basées sur Azure Active Directory , « Attribut de groupe de rôles » doit contenir ObjectGUID du groupe.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Azure AD appropriée. Le nœud d'orchestration de suppression d'utilisateur lit les attributs des cartes de données concernées et exécute la commande API vers Entra Directory.

Pour les configurations basées sur Azure Active Directory , « Attribut de personne » doit contenir la valeur ObjectGUID de l’utilisateur.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer l'utilisateur du groupe

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Azure AD appropriée. Le nœud d'orchestration de suppression d'utilisateur du groupe lit les attributs des cartes de données concernées et exécute la commande API vers Entra Directory.

Pour les configurations basées sur Azure Active Directory , « Attribut de personne » et « Attribut de rôle » doivent contenir la valeur ObjectGUID de l’utilisateur.

Gestion des exceptions :

• Le résultat d'un nœud sera à l'état « Terminé » uniquement si toutes les appartenances aux groupes de l'utilisateur ont été mises à jour avec succès. Si, par exemple, l'utilisateur est supprimé de 5 groupes sur 6, le résultat d'un nœud sera à l'état « Exception ».
• La tentative de supprimer un utilisateur d'un groupe auquel il n'appartient pas se terminera par un échec.
• Les détails sur l'appartenance au groupe d'un utilisateur mis à jour avec succès ou non peuvent être trouvés dans les journaux.
• Les exceptions de Pro et d'appartenance aux groupes sont des propriétés facultatives pour ce nœud de workflow. Les administrateurs peuvent configurer ces propriétés pour qu'elles puissent être utilisées et créer des exceptions si des exceptions surviennent lors des actions de provisionnement.
  

Réinitialiser le mot de passe de l'utilisateur

Dans l'illustration ci-dessus, les administrateurs peuvent choisir la cible Azure Directory appropriée. Le nœud d'orchestration « Réinitialiser le mot de passe utilisateur » lit les attributs des cartes de données concernées et exécute la commande API vers Azure Directory. Les attributs « Personne » et « Mot de passe » doivent pointer vers le modèle où le nœud d'orchestration trouve les données de l'utilisateur.

À partir de la version 2022.3 d'EPE, nous avons mis en place la possibilité de choisir si le mot de passe doit être modifié lors de la première connexion. Les administrateurs peuvent effectuer cette sélection directement depuis le nœud d'orchestration « Réinitialiser le mot de passe utilisateur » du workflow.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Groupe de mise à jour

Dans l'illustration ci-dessus, les mappages d'attributs de droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible Azure Directory appropriée et peuvent consulter les mappages de droits d'accès configurés pour les tâches Azure sélectionnées.

Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si des modifications aux mappages sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches Pro .

Le nœud d’orchestration du groupe de mise à jour lit les attributs des cartes de données en question et exécute l’appel API vers Azure .

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Mettre à jour l'utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs choisissent la cible Azure Directory appropriée et peuvent consulter les mappages d'identité configurés pour les tâches Azure sélectionnées. Dans cette vue d'orchestration, les administrateurs ne sont pas autorisés à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si des modifications sont nécessaires, elles doivent être effectuées dans la vue de configuration des tâches de Pro .

Le nœud d’orchestration utilisateur de mise à jour lit les attributs des cartes de données en question et exécute l’appel API vers Azure AD .

La mise à jour du mot de passe utilisateur n'est pas prise en charge sur cette activité d'orchestration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Vérifier le groupe

Dans l'illustration ci-dessus, les mappages d'attributs des droits d'accès sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent l'annuaire Azure approprié dans « Cible » et peuvent visualiser les mappages de droits d'accès configurés pour la tâche Azure sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin de pouvoir être modifiés dans le nœud d'orchestration.

Dans le panneau d'administration des mappages de droits d'accès, les administrateurs peuvent saisir une expression « IF », qui génèrera un appel API pour vérifier l'existence du groupe. Il est possible de sélectionner autant d'attributs que nécessaire dans la carte de données pour confirmer l'unicité d'un groupe. Lorsqu'une action est effectuée, ces attributs sont lus depuis la carte de données concernée et comparés aux attributs Azure appropriés, conformément à la configuration Azure Directory « Target* ». Les administrateurs peuvent également choisir d'utiliser « equal » ou « different equal » pour l'attribut Azure correspondant en modifiant l'expression « IF ». Le champ « Save result* » permet de définir l'emplacement d'enregistrement des résultats de l'appel API réussi : « true » si le groupe a été trouvé, « false » dans le cas contraire.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Vérifier l'appartenance au groupe

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent l'annuaire Azure approprié dans « Cible » et peuvent visualiser les mappages d'identité configurés pour la tâche Azure sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin d'être modifiés dans le nœud d'orchestration.

Le champ « Enregistrer le résultat* » permet de définir où les résultats de l'appel API réussi sont enregistrés, « true » si l'utilisateur a été trouvé ou « false » dans le cas contraire.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Vérifier l'utilisateur

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent l'annuaire Azure approprié dans « Cible » et peuvent visualiser les mappages d'identité configurés pour la tâche Azure sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin d'être modifiés dans le nœud d'orchestration.

Dans le panneau d'administration des mappages d'identités, les administrateurs peuvent saisir une expression « IF », qui formera un appel API pour vérifier l'existence de l'utilisateur. Il est possible de sélectionner autant d'attributs que nécessaire dans la fiche de données personnelles pour confirmer l'unicité d'un utilisateur. Lorsqu'une action est effectuée, ces attributs sont lus depuis la fiche de données en question et comparés aux attributs Azure appropriés, conformément à la configuration Azure « Target* ». Les administrateurs peuvent également choisir d'utiliser « equal » ou « different equal » pour l'attribut Azure correspondant en modifiant l'expression « IF ». Le champ « Save result* » permet de définir l'emplacement d'enregistrement des résultats de l'appel API réussi : « true » si l'utilisateur a été trouvé, « false » dans le cas contraire.

Le point clé pour comprendre la mécanique de ce nœud est le suivant : lors de la formation de l’expression IF, l’administrateur doit utiliser les attributs du modèle, mais en fait, les valeurs lues à partir d’eux seront traduites (mappées) vers les attributs Azure Directory appropriés, conformément à la configuration du mappage d’identité et seront transmises à Azure Directory en tant que requête de recherche.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Créer un objet personnalisé

Depuis la version 2022.2, Efecte Provisioning Engine (EPE) introduit une nouvelle activité de workflow : « Créer un objet personnalisé ». Par exemple, il est désormais possible de créer des appareils, des contacts et des applications avec EPE vers Azure AD . Notez que cette action est sous licence IGA . Cela signifie que la création d'objets personnalisés est possible dans les installations IGA .

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent l'annuaire Azure approprié dans « Cible » et peuvent visualiser les mappages d'identité configurés pour la tâche Azure sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin d'être modifiés dans le nœud d'orchestration.

La classe d'objet personnalisée définit l'objet créé par EPE. Dans cet exemple, EPE crée des contacts.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Mettre à jour l'objet personnalisé

Depuis la version 2023.1, Efecte Provisioning Engine (EPE) introduit une nouvelle activité de workflow : « Mettre à jour un objet personnalisé ». Par exemple, les appareils, les contacts et les applications peuvent désormais être mis à jour avec EPE vers Azure AD . Notez que cette action est sous licence IGA . Cela signifie que la création d'objets personnalisés est possible dans les installations IGA .

Dans l'illustration ci-dessus, les mappages d'attributs d'identité sont renseignés à partir des tâches de Pro . Les administrateurs sélectionnent l'annuaire Azure approprié dans « Cible » et peuvent visualiser les mappages d'identité configurés pour la tâche Azure sélectionnée. Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement afin d'être modifiés dans le nœud d'orchestration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Supprimer l'objet personnalisé

Depuis la version 2023.1, Efecte Provisioning Engine (EPE) introduit une nouvelle activité de workflow : « Supprimer un objet personnalisé ». Par exemple, les appareils, les contacts et les applications peuvent désormais être supprimés avec EPE vers Azure AD . Notez que cette action est sous licence IGA . Cela signifie que la création d'objets personnalisés est possible dans les installations IGA .

Dans l'illustration ci-dessus, l'attribut Nom de l'objet définit l'objet supprimé par EPE. Dans cet exemple, EPE supprime des contacts.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Lire les données utilisateur

Depuis la version 2022.2, Efecte Provisioning Engine (EPE) introduit une nouvelle activité de workflow : « Lire les données utilisateur ». Les informations peuvent être mises à jour après référence, par exemple, les données de compte IGA peuvent être mises à jour depuis le stockage d'identité.

Dans l'illustration ci-dessus, l'attribut personne est utilisé pour mettre à jour les informations de compte appropriées du répertoire vers ESM.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Exécuter la tâche de provisionnement

Cette activité est utilisée lorsque toutes les informations du répertoire sont immédiatement nécessaires.

Dans l'illustration ci-dessus, les administrateurs peuvent choisir le répertoire cible approprié. Exécutez la tâche de provisionnement pour lire les attributs du nœud d'orchestration depuis Azure Directory vers les comptes IGA .

Les exigences pour la tâche EPE « Cible » sont :

• La tâche doit être de type « Tâche planifiable » et non basée sur un événement
• Le modèle de workflow doit être identique au modèle de mappage d'identité
• La tâche doit être planifiée à un moment donné - elle marque une tâche à « activer » puis
• Les mappages doivent être distincts, pas de mappages dupliqués dans la tâche

Dans cette vue d'orchestration, vous n'êtes pas autorisé à modifier les mappages ; ceux-ci sont présentés uniquement à titre d'aide visuelle. Si vous devez modifier les mappages d'attributs, ces attributs doivent être définis dans la vue de configuration de la tâche de provisionnement pour pouvoir être modifiés dans le nœud d'orchestration.

L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.

Appel REST générique

Ajoutez le nœud Orchestration à votre flux de travail et configurez les éléments suivants.

Nom - définir un nom descriptif

Description - définir une description descriptive

Orchestrer - sélectionner le moteur de Pro

Source de données - sélectionnez Microsoft Graph API

Activité - sélectionner un appel REST générique

Cible - sélectionnez votre tâche basée sur les événements (vous pouvez utiliser la même tâche pour plusieurs nœuds d'orchestration)

Action : sélectionnez l'action en fonction de REST API appelée (consultez la documentation API pour connaître l'action appropriée). Les actions prises en charge sont : POST, PUT, PATCH, DELETE et GET.

URL REST : point de terminaison de l'API que vous appelez. Il peut s'agir de l'URL complète ou du suffixe de l'URL. Si vous utilisez un suffixe, l'URL à appeler sera concaténée en utilisant les éléments suivants : URL de l'hôte du connecteur + requête de la tâche + URL du nœud d'orchestration. Vous pouvez utiliser les variables d'attribut de modèle de la même manière que pour le nœud de messagerie, en utilisant une syntaxe dollar comme : $attribute_code$ et $reference:attribute_code$.

Remarque ! Si votre URL contient des espaces ou des symboles $, pensez à les encoder. Ainsi, $ correspond à %24, et l'espace à %20.
Par exemple, cette URL : users?%24count=true&$filter=userprincipalname eq 'test' est codée ainsi : users?$count=true&%24filter=userprincipalname%20eq%20'test'

Rest Body : corps JSON pour l'appel d'API. Peut être vide si API appelée n'a pas besoin de corps. Vous pouvez également utiliser {} si quitter le corps n'est pas compatible avec Microsoft. Consultez les détails du corps dans la documentation API . Vous pouvez utiliser des variables d'attribut de modèle de la même manière que dans le nœud de messagerie, en utilisant une syntaxe dollar comme : $attribute_code$ et $reference:attribute_code$.

Par exemple, dans ce corps, nous avons deux variables : $firstname$ et $lastname$
{"nom": {
"givenName": "$prénom$",
"familyName": "$nom$"}}

Si vous devez créer un corps JSON complexe pour un appel API , vous pouvez d'abord construire ce JSON complet avec l'attribut somedatacard. Ensuite, insérer uniquement le code de cet attribut dans le corps, comme ceci : $generated_json_body_attributecode$

import json

if onPremisesExtensionAttributes:
  _data = this.get("onPremisesExtensionAttributes")
  _obj = json.loads(_data)
  _value = _obj["extensionAttribute14"]
  this.set("extensionAttribute14code",_value)

Attribut de réponse REST : le résultat JSON de l'appel API sera écrit dans cet attribut. Toutes API ne renvoient pas de réponse JSON. Voir les détails dans la documentation API .

import json

if onPremisesExtensionAttributes:
  _data = this.get("onPremisesExtensionAttributes")
  _obj = json.loads(_data)
  _value = _obj["extensionAttribute14"]
  this.set("extensionAttribute14code",_value)

Exception Pro - S'il y a un problème lors de l'appel REST API , une erreur sera écrite dans cet attribut.

Gestion des exceptions pour les appels REST génériques :

• L'exception de Pro est une propriété facultative sur ce nœud de workflow. Les administrateurs peuvent configurer cette propriété pour qu'elle puisse être utilisée et générer des exceptions si des exceptions surviennent pendant les actions de provisionnement.
• Le résultat d’un nœud sera à l’état « Terminé » si le code de réponse http Microsoft Graph API est 200 ou supérieur et inférieur à 400.
• Les détails sur les appels réussis/infructueux Microsoft Graph API peuvent être trouvés dans les journaux.

Dans ce chapitre sont décrites les options de dépannage,

• En cas d'utilisation d'un modèle d'échec, vérifiez la carte de données correcte
• Vérifier l'historique des tâches planifiées à partir de la gestion des connecteurs
• Vérifier les journaux Efecte Provisioning Engine
• Actuellement, EPE ne prend pas en charge le mappage du même attribut Entra ID à plusieurs attributs ESM. Cependant, l'interface utilisateur autorise toujours cette configuration, ce qui peut entraîner des erreurs.