Recherche

Guide de configuration personnalisée SAML SCIM via Entra ID

Une application SAML personnalisée créée dans Microsoft Entra ID, précédemment nommée Azure, offre un approvisionnement automatique limité, y compris la création et la suppression d'utilisateurs.

Ce dont vous aurez besoin

  • Avant de pouvoir configurer le provisionnement, vous devez activer le SAML personnalisé pour votre environnement de travail.
  • Seuls les administrateurs Entra ID peuvent configurer Entra ID SCIM.

Configurer une application SAML personnalisée Microsoft Entra ID

Pour configurer l’application SAML personnalisé :

  1. Créez une nouvelle application SAML personnalisée dans Microsoft Entra ID.

    Ceci n'est pas l'application officielle de la galerie d'identifiants Microsoft Entra de ClickUp Plateforme de Productivité.

    Capture d'écran montrant quelqu'un configurant une nouvelle application SAML personnalisée dans Microsoft Entra ID.

  2. Dans ClickUp, dans le coin supérieur gauche, cliquez sur l'avatar de votre environnement de travail. 
  3. Sélectionnez Paramètres.
  4. Dans la barre latérale Tous les paramètres, cliquez sur Sécurité & Permissions.
  5. Dans la section authentification unique (SSO), sélectionnez SAML.
    Capture d'écran de l'option SAML dans les paramètres de Sécurité et Permissions de ClickUp.
  6. Pour une nouvelle application Microsoft Entra ID, copiez l'ID de l'entité SP depuis ClickUp.
    capture d’écran de l’identifiant de l’entité SP à partir de ClickUp.
  7. Collez l'ID d'entité SP de ClickUp dans le champ Identifiant (ID d'entité) dans Microsoft Entra ID.
    Capture d'écran montrant quelqu'un collant l'ID d'entité SP dans le champ Identifiant.
  8. Copiez l'URL d'authentification unique (URL ACS) depuis ClickUp et collez-la dans le champ URL de réponse (URL du service consommateur d'assertion) dans Microsoft Entra ID.
  9. Cliquez sur Enregistrer dans Microsoft Entra ID.
    Capture d'écran du bouton de sauvegarde dans Microsoft Entra.

Lier l'authentification unique dans ClickUp

Maintenant que l’application est configurée, vous pouvez effectuer la SSO connexion dans ClickUp:

  1. Assurez-vous que la personne configurant l'intégration SSO soit désignée dans l'application Microsoft Entra ID. D’autres peuvent être ajoutés ultérieurement.
  2. Copiez l'URL de connexion et le certificat public IDP depuis Microsoft Entra ID.
    Capture d'écran de l'URL de connexion et du certificat public IDP dans Microsoft Entra ID.
  3. Collez ces valeurs en texte simple dans les champs ClickUp correspondants lors de la sélection du connecteur SAML.
    • Pour obtenir le certificat en texte brut, téléchargez et faites un clic droit sur le fichier pour l'ouvrir avec l'éditeur de texte de votre choix. Le texte commence par -----BEGIN CERTIFICATE-----. coller l’intégralité du texte valeur sans aucune modification dans le champ du certificat public IDP .
      Capture d'écran d'un certificat. 
  4. Sélectionnez Enregistrer les métadonnées.
    Capture d'écran du bouton Enregistrer les métadonnées.
  5. Une authentification unique vous sera demandée pour compléter le lien. Si l'opération est réussie, vous serez redirigé vers ClickUp.
  6. Sur la page Sécurité & Permissions dans ClickUp, vous trouverez trois nouvelles options :
    • URL de base SCIM : Vous saisirez ces informations à l'étape suivante. 
    • Jeton API SCIM : Vous saisirez ces informations à l'étape suivante. 
    • Politique de connexion : Choisissez l'une de ces quatre options :
      • Tous les utilisateurs doivent utiliser l'authentification SAML : Tous les utilisateurs de type membre et invité doivent utiliser l'authentification SAML.
      • Tous les utilisateurs sauf les invités doivent utiliser l'authentification SAML : Les utilisateurs de type invité ne sont pas tenus d'utiliser l'authentification SAML. 
      • Tous les utilisateurs, sauf les membres avec accès limité et les invités, doivent utiliser l'authentification SAML : Membres avec accès limité, membres avec accès limité en lecture seule, et tous les utilisateurs de type invité ne sont pas tenus d'utiliser l'authentification SAML. 
      • L'utilisation de l'authentification SAML est facultative : L'utilisation de l'authentification SAML est facultative pour tous les utilisateurs. 
  7. Passez à l'étape suivante pour provisionner les autres personnes de votre environnement de travail. 

Configurez la provision automatique avec ClickUp

Nous supportons le provisionnement des utilisateurs individuels et des groupes avec SCIM. Lors de la création de groupes sur ClickUp, de nouveaux utilisateurs sont désignés individuellement, et les nouveaux et les utilisateurs existants sont ajoutés à une équipe ClickUp. Si vous ne souhaitez pas que ces utilisateurs soient ajoutés à une équipe, supprimez l’équipe après provisionnement.

En ajoutant un profil utilisateur à l’application SAML personnalisée, il n’est pas un utilisateur ClickUp tant que vous ne l’avez pas provisionné via SCIM.

Le provisionnement automatique peut être effectué à la demande ou en cycles, qui durent par défaut 30 minutes. Les utilisateurs assignés à l’application ne seront ajoutés que lorsque le prochain cycle de provisionnement automatique sera lancé. En savoir plus sur le fonctionnement du provisionnement d’applications dans Microsoft Entra ID. 

Capture d'écran du bouton de provision à la demande.

Pour configurer le provisionnement automatique :

  1. Dans Microsoft Entra ID, ouvrez l'onglet Provisioning et changez le menu déroulant de Manuel à Automatique. Cela provoquera l'apparition de la fenêtre Identifiants Admin dans l'onglet Provisioning.
    • Si vous souhaitez provisionner manuellement jusqu'à cinq utilisateurs à la fois, dans l'onglet Provisionnement, sélectionnez Provisionnement à la demande.
      Capture d'écran de la fenêtre des identifiants administrateur dans l'onglet Provisioning.
  2. Entrez l'URL de base SCIM de votre page Sécurité & Permissions de ClickUp dans le champ URL du locataire.
  3. Entrez le SCIM API de votre de ClickUp sécurité et d’autorisation page dans le Secret jeton champ.
  4. Cliquez sur Tester la connexion.
    Capture d'écran du bouton de test de connexion.
  5. Une fois le test réussi, SCIM est configuré dans votre environnement de travail. Les utilisateurs peuvent se connecter à ClickUp en utilisant Microsoft Entra ID.

Sélectionnez les rôles d'utilisateur ClickUp que vous souhaitez provisionner

Le rôle de l'utilisateur est par défaut membre à moins que vous ne sélectionniez les rôles d'utilisateur ClickUp que vous souhaitez provisionner. 

Pour mapper l'ID Microsoft Entra aux rôles d'utilisateur ClickUp :

  1. En tant qu'administrateur, connectez-vous au centre d'administration Microsoft Entra. 
  2. Sélectionnez Identité, Applications, puis Applications d'entreprise.
  3. Depuis la page des applications d'entreprise, sélectionnez votre application SAML.
  4. Depuis la page d'aperçu dans la barre latérale gauche, sélectionnez Provisionnement.
  5. Depuis la page de provisionnement, cliquez sur Correspondances.
  6. Sélectionnez Provisionner les utilisateurs ID Microsoft Entra pour voir une liste d'attributs.
  7. Faites défiler jusqu'en bas de la page et cliquez sur la case à cocher Afficher les options avancées.
  8. Cliquez sur Modifier la liste des attributs.
    Capture d'écran de quelqu'un sélectionnant Afficher les options avancées et Modifier la liste des attributs
  9. Faites défiler jusqu’à la dernière ligne de la colonne Nom , et entrez cet attribut urne pour les rôles utilisateur : urn:ietf:params:scim:schemas:extension:ClickUp:2.0:User:role.
  10. Dans le menu déroulant de la colonne Type, assurez-vous que Chaîne est sélectionné. 
  11. Dans le coin supérieur gauche, cliquez sur Enregistrer
    • Si le nom n'est pas enregistré, sélectionnez Annuler et essayez de nouveau. Si vous constatez toujours que le nom ne se sauvegarde pas, essayez de réinitialiser vos mappages aux valeurs par défaut.
  12. Vous êtes redirigé vers la page Mapping des attributs .
  13. Sélectionnez Ajouter un nouveau mappage.
  14. Depuis la page Modifier l'attribut , pour le type de mappage, sélectionnez Constant.
    • Pour cartographier dynamiquement, voir la section Provisionner dynamiquement les rôles utilisateurs ci-dessous.
  15. Pour la valeur constante, entrez l’une des valeurs suivantes:
    • pour les administrateurs.
    • 3 pour les membres.
    • 4 pour les invités. 
    • 100 pour les membres limités.
    • {custom_role_id} pour des rôles personnalisés.
  16. Pour l’attribut Cible, entrez urn:ietf:params:scim:schemas:extension:ClickUp:2.0:User:role.
  17. Cliquez sur OK et Enregistrer.
  18. Tout utilisateur que vous provisionnez sera provisionné en tant que ce rôle d'utilisateur ClickUp.  
    • Pour mapper un autre rôle utilisateur, commencez à l’étape 5 et sélectionnez une autre Valeur Constante. Pour cartographier dynamiquement, voir la section Provisionner dynamiquement les rôles utilisateurs ci-dessous.

Les attributs de rôle utilisateur suivants peuvent également être mappés :

Modèle Attributs de rôle utilisateur
Base

ID

Nom d’utilisateur

Nom : {givenName and familyName}

actif

E-mails

Tableau d'e-mails avec propriété de valeur et propriété principale (booléen)

Titre

Responsable
Extension

Rôle

customRoleId : Entrez l'identifiant de rôle personnalisé ClickUp.

Pour trouver l'ID de rôle personnalisé, envoyez la requête Obtenir l'utilisateur depuis l'API ClickUp. Ce point de terminaison est uniquement disponible sur les forfaits Enterprise.

customRoleName : Entrez le nom du Rôle personnalisé ClickUp.
Enterprise Responsable

Provisionner dynamiquement les rôles utilisateurs

Gérez dynamiquement les rôles utilisateurs dans ClickUp en fonction des rôles utilisateur assignables dans Entra. Cela sera accompli en partageant dynamiquement les valeurs de rôle avec l’attribut cible. Le résultat vous permettra d’attribuer des rôles dans Entra qui correspondent aux rôles ClickUp, ce qui simplifie le provisionnement.

Pour ajuster le mappage de l’attribut cible de constante à une expression afin de fournir dynamiquement les rôles utilisateur :

  1. Depuis la page Aperçu dans la barre latérale gauche, sélectionnez Provisionnement.
  2. Depuis la page de provisionnement, cliquez sur Mappings, puis sur Provisionner les utilisateurs de Microsoft Entra ID.
    • Si ce n’est pas déjà fait, faites défiler jusqu’à la dernière ligne de la colonne Nom , et entrez cet attribut urne pour les rôles utilisateur : urn:ietf:params:scim:schemas:extension:ClickUp:2.0:User:role.
  3. Sélectionnez Modifier à droite de l’attribut urne.
  4. Choisissez le type de correspondance d’expression et ajoutez cette expression : Switch(SingleAppRoleAssignment([appRoleAssignments]), "3", "ClickUpAdmin", "2", "ClickUpGuest", "4", "ClickUpLimitedMember", "100").
    • Dans cette expression, 3 est la valeur par défaut, suivie des paires de clés et de valeurs correspondantes pour le rôle Entra / ClickUp. En savoir plus sur l’écriture d’expressions pour les correspondances d’attributs dans Microsoft Entra ID. 
    • Vous pouvez nommer ces rôles Entra comme vous le souhaitez lors de la création dans la section inscription aux applications. Tant que l’argument suivant correspond à la bonne valeur du rôle utilisateur ClickUp, et que vous sélectionnez ces rôles Entra lors de l’attribution des utilisateurs à ClickUp, ils seront correctement provisionnés.
    • Vous pouvez choisir d’autres expressions logiques si vous préférez, tant que l’attribut de l’urne ClickUp reçoit un numéro valide correspondant à un rôle utilisateur.
  5. Cliquez sur Enregistrer.
  6. Maintenant, lorsque vous assignez des utilisateurs ou des groupes sous Utilisateurs et groupes, sélectionnez le rôle correspondant que vous souhaitez que cet utilisateur soit dans ClickUp.

  7. Lorsque vous provisionnez cet utilisateur, il se verra attribuer le rôle approprié.

    Si un utilisateur est provisionné en tant qu’utilisateur unique et également dans un groupe, assurez-vous que l’utilisateur n’est pas assigné à deux rôles différents dans l’application, car cela entraînera des erreurs.