PowerDMARC prend désormais en charge l'affectation de groupes de domaines via SCIM, ce qui vous permet de contrôler les groupes de domaines auxquels appartient un utilisateur directement depuis votre fournisseur d'identité. Ce guide vous explique comment configurer le mappage des groupes de domaines dans Azure Entra ID afin que les affectations de groupes soient automatiquement synchronisées avec PowerDMARC lors de la création et de la mise à jour des comptes utilisateurs.
Étape 1 : Ajouter l'attribut « Groupes de domaines personnalisés »
- Dans le portail Azure, accédez à Accueil > Applications d'entreprise et ouvrez votre application PowerDMARC.
- Cliquez sur « Provisioning » dans le volet de gauche, puis sur « Mappage des attributs ».
- Cliquez sur le lien « Provisionner des utilisateurs Microsoft Entra ID ».
- Au bas de la page, cochez la case « Afficher les options avancées », puis cliquez sur le lien « Modifier la liste des attributs pour customappsso ».
- Faites défiler jusqu'à la fin de la liste des attributs, saisissez la valeur suivante dans la première colonne vide, puis cliquez sur « Enregistrer »:
urn:ietf:params:scim:schemas:extension:custom:2.0:User:domainGroups
Étape 2 : Associer l'attribut à un champ source
- Une fois l'enregistrement effectué, vous serez redirigé vers la page « Mappage des attributs ». Cliquez sur le lien « Ajouter un nouveau mappage ».
- Dans le Modifier l'attribut Dans le formulaire, configurez le mappage comme suit :
- Attribut cible :
urn:ietf:params:scim:schemas:extension:custom:2.0:User:domainGroups - Attribut « Source » : sélectionnez n'importe quel champ de type chaîne de caractères dans lequel vous prévoyez de saisir des valeurs de groupe de domaines — par exemple, « service ».
- Attribut cible :
Attribution de groupes de domaines à un utilisateur
Selon l'attribut de source que vous avez choisi, il existe deux façons d'attribuer des groupes de domaines :
via un attribut utilisateur standard (par exemple, le service)
- Dans le portail Azure, accédez à Accueil > Utilisateurs, puis cliquez sur l'utilisateur que vous souhaitez mettre à jour.
- Cliquez sur le bouton « Modifier les propriétés ».
- Recherchez le champ que vous avez sélectionné comme attribut source et saisissez les groupes de domaines séparés par des virgules — par exemple :
Groupe 1, Groupe 2.
Groupe 1, Groupe 2 pas Groupe 1, Groupe 2.Via un attribut d'extension (extensionAttribute1–15)
Si vous avez sélectionné l'une des attribut d'extension 1 à 15 champs comme attribut source, mettez-le à jour à l'aide de l'API Azure Graph. L'autorisation requise est Utilisateur.LectureÉcriture.Tout.
Dans cet exemple, extensionAttribute1 est utilisé comme attribut source :
PATCH https://graph.microsoft.com/v1.0/users/{user-id}
{ "onPremisesExtensionAttributes": { "extensionAttribute1": "Group1,Group2" } }
Supprimer tous les groupes de domaine d'un utilisateur
PowerDMARC n'effectuera aucune action si la valeur des groupes de domaines est vide. Si vous souhaitez supprimer tous les groupes de domaines attribués à un utilisateur, définissez la valeur sur -1 au lieu de le laisser vide. Cela s'applique aussi bien au champ d'attribut utilisateur standard qu'au corps de la requête de l'API Azure Graph.
-1 C'est la bonne méthode pour désaffecter complètement tous les groupes de domaines d'un utilisateur. Un champ vide sera ignoré par PowerDMARC.