Ce guide explique les étapes requises pour configurer l'authentification unique à l'aide de SAML 2.0 (Security Assertion Markup Language) et le provisionnement à l'aide de SCIM 2.0 (System for Cross-domain Identity Management) pour Udemy for Business.
Si vous avez déjà configuré l'authentification unique à l'aide de SAML dans Azure AD pour Udemy for Business et souhaitez simplement activer le provisionnement à l'aide de SCIM, accédez à l'authentification unique d'Udemy for Business dans Azure AD et suivez les instructions de la section 2 ci-dessous (après la configuration de l'authentification unique).
Remarques :
- L'authentification unique et le provisionnement sont disponibles pour les clients disposant d'un abonnement Enterprise Plan à Udemy for Business.
- Les utilisateurs provisionnés par Azure AD doivent se connecter pour la première fois sur l'application Udemy for Business pour obtenir une licence.
- Les modifications de provisionnement SCIM ne peuvent être synchronisées que dans le sens Azure AD vers Udemy for Business.
- Les utilisateurs et groupes gérés par SCIM dans Azure AD ne peuvent pas être modifiés dans l'application Udemy for Business. SCIM représente le référentiel unique de contenus concernant les données sur les utilisateurs et les groupes.
- Vous pouvez toujours créer des groupes manuellement dans Udemy for Business si vous n'avez pas besoin de certains utilisateurs ou ne souhaitez pas qu'ils soient transférés depuis Azure AD, comme les fournisseurs et les employés temporaires.
1. Configuration de l'authentification unique avec Azure
Connectez-vous au portail Azure et cliquez sur Azure Active Directory.
Cliquez ensuite sur Applications d'entreprise.
Puis cliquez sur + Nouvelle application dans la barre supérieure.
Sélectionnez Application ne figurant pas dans la galerie.
Saisissez le nom de la nouvelle application puis cliquez sur Ajouter en bas de la fenêtre.
Ensuite, sélectionnez Configurer l'authentification unique.
Pour le mode Authentification unique, sélectionnez Authentification basée sur SAML.
Suivez les 4 étapes qui s'affichent sur l'écran d'authentification unique avec SAML. Pour obtenir de l'aide supplémentaire, consultez le guide de configuration détaillé d'Azure AD situé en haut de la page.
Étape 1 : configuration SAML de base :
- Dans le champ Identificateur (ID d'entité), saisissez PingConnect.
- Dans le champ URL de réponse, saisissez cette valeur : https://sso.connect.pingidentity.com/sso/sp/ACS.saml2
- Dans le champ URL de connexion saisissez : https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=PingConnect
Étape 2 : attributs et revendications des utilisateurs :
Dans le champ Identificateur d'utilisateur, saisissez user.mail.
Udemy for Business prend en charge les attributs SAML suivants (tous les attributs sont sensibles à la casse).
Attributs requis
- SCIM.email
Adresse e-mail unique de l'utilisateur
Attributs facultatifs
- SCIM.name.givenName
Prénom de l'utilisateur - SCIM.name.middleName
Deuxième prénom (le cas échéant) de l'utilisateur - SCIM.name.familyName
Nom de famille de l'utilisateur - SCIM.name.formatted
Nom complet de l'utilisateur mis en forme - groups
Liste des groupes dont l'utilisateur fait partie - externalID
ID utilisateur unique spécifié par le client
Pour modifier un attribut, cliquez sur la ligne correspondante.
Saisissez le nom de l'attribut comme indiqué dans le tableau ci-dessus, sélectionnez la valeur correspondante et supprimez la valeur Espace de noms (laissez-la vide) puis cliquez sur OK.
Pour ajouter d'autres attributs à votre assertion SAML, cliquez sur Ajouter un attribut et répétez le processus.
Lorsque vous avez fini d'ajouter des attributs, cliquez sur Enregistrer pour terminer la configuration.
Étape 3 : dans la section Certificat de signature SAML, copiez l'URL des métadonnées de fédération d'application ou cliquez sur Télécharger des métadonnées de fédération XML pour exporter le fichier de métadonnées.
Accédez à l'onglet Authentification Unique (SSO) de votre compte Udemy for Business. Cliquez sur Commencer la configuration et choisissez votre Fournisseur d'identité. Sur la page de configuration, choisissez la méthode de configuration de métadonnées appropriée et suivez les instructions pour créer la connexion SSO avec votre Fournisseur d'identité et Udemy for Business.
Vous pouvez désormais donner accès à Udemy for Business à vos utilisateurs.
Cliquez sur Azure Active Directory.
Cliquez ensuite sur Applications d'entreprise.
Sélectionnez l'application récemment créée dans la liste.
Cliquez sur Utilisateurs et groupes.
Cliquez ensuite sur Ajouter un utilisateur -> Utilisateurs et groupes.
Sélectionnez tous les utilisateurs que vous souhaitez ajouter à l'application puis cliquez sur Sélectionner.
Vous avez terminé la configuration de l'authentification unique pour Udemy for Business avec Azure AD.
2. Configuration du provisionnement SCIM avec Azure AD
Une fois l'authentification unique configurée, vous pouvez paramétrer le provisionnement SCIM dans Azure AD avec Udemy for Business. Cette configuration vous permet de provisionner, déprovisionner, créer des groupes, gérer les appartenances aux groupes et modifier les détails d'un profil utilisateur comme son nom et son adresse e-mail. Ces informations seront ensuite automatiquement mises à jour sur Udemy for Business. Vous n'aurez plus besoin de mettre à jour séparément Azure et Udemy for Business avec ces actions, car tout sera synchronisé depuis Azure.
Pour activer le provisionnement SCIM dans Udemy for Business, connectez-vous d'abord à votre compte Udemy for Business et accédez à Gérer > Paramètres > Provisionnement (SCIM).
Cliquez sur Commencer la configuration, choisissez votre Fournisseur d'identité et suivez les instructions pour générer le jeton confidentiel (jeton du porteur) que vous devrez ensuite saisir dans Azure AD.
Accédez ensuite à votre compte Azure AD, allez dans l'application d'authentification unique Udemy for Business et suivez les étapes ci-dessous pour la configurer. Pour plus d'informations, vous pouvez également consulter le guide de configuration de Microsoft sur le provisionnement SCIM avec Azure AD.
Accédez à l'onglet Provisionnement sur votre portail Azure.
(Remarque : udemyazure est le nom du test utilisé dans les captures d'écran ci-dessous pour illustrer la configuration SCIM. Vous devez le remplacer par le nom d'application choisi par votre équipe lors de la configuration d'authentification unique.) 
Choisissez Automatique comme mode de provisionnement.
Dans la section Informations d'identification de l'administrateur :
L'URL de locataire est : https://votredomaine.udemy.com/scim/v2 (votredomaine est l'URL de votre compte Udemy for Business).
Jeton secret : il s'agit d'un jeton du porteur que vous générez ou visualisez depuis votre compte Udemy for Business. (Allez dans Gérer > Paramètres > Accès utilisateur pour obtenir le jeton secret.)
Cliquez sur Tester la connexion pour vérifier que la connexion fonctionne correctement.
Facultatif : vous pouvez saisir une adresse e-mail si vous souhaitez recevoir des alertes d'Azure sur les erreurs.
Dans Mappages :
Vérifiez le mappage d'attributs. L'e-mail de l'utilisateur doit être mappé à emails[type eq "work"].value.
Dans Paramètres :
Basculez le bouton État de la configuration sur Activé.
Choisissez l'Étendue de la synchronisation de vos utilisateurs et groupes.
Vous pouvez synchroniser uniquement les utilisateurs et groupes auxquels l'application Udemy for Business a été attribuée si vous devez limiter l'accès à certains employés ou services. Vous pouvez aussi synchroniser tous les utilisateurs et groupes si tous les employés ont accès.
Pour fournir un accès à Udemy for Business à un plus grand nombre d'utilisateurs et de groupes :
Cliquez sur Utilisateurs et groupes.
Cliquez sur Ajouter un utilisateur (ce qui vous permet d'ajouter des utilisateurs et des groupes).
Sélectionnez tous les utilisateurs ou groupes que vous souhaitez ajouter à l'application puis cliquez sur Sélectionner.
Dépannage
Concernant les Mappages :
Si l'erreur suivante se produit lors du provisionnement :
{"schemas":["urn:ietf:params:scim:api:messages:2.0:Error"],"status":400,"detail":"{'emails': ['This field is required.']}"}
Vous devez modifier le mappage de l'utilisateur.
emails[type eq "work"].value doit être mappé à userPrincipalName si userPrincipalName est l'emplacement où se trouve l'e-mail.
Si vous consultez le profil utilisateur, vous pouvez voir quel champ contient cet e-mail.
