Passer au contenu
Français
Portail client Se connecter
Contacter le support
  • Il n'y a aucune suggestion car le champ de recherche est vide.

Configurer la synchronisation des utilisateurs avec Azure AD

La synchronisation des utilisateurs entre Azure Active Directory (Azure AD) et BlueSecure repose sur la mise en place d’une application d’entreprise personnalisée au sein du locataire Azure. Cette application, une fois enregistrée, se voit attribuer un certificat ou un secret client permettant une authentification sécurisée via OAuth 2.0. Des autorisations spécifiques sur l’API Microsoft Graph, telles que User.Read.All, sont ensuite octroyées afin de permettre l’interrogation programmatique de l’annuaire.

  • Création de l’application
  • Création d’un certificat et d’un secret
  • Assignation des permissions
  • Activation de la synchronisation sur l’application Bluesecure
  • Suppression des utilisateurs non synchronisés sur Bluesecure
  • Questions fréquentes

 

Ce guide à pour but de présenter la création d’une application d’entreprise connectée à Azure Active Directory afin de permettre la synchronisation des listes d’utilisateurs avec BlueSecure.

https://youtu.be/t_wF76AHBPQ

Création de l’application

Pour créer une application entreprise connectée à votre Azure AD, connectez vous sur le portail d’Azure et accédez à l’onglet “Inscription d’application” dans le menu sur votre gauche.

Les informations à nous transmettre par conteneur sécurisé seront les suivantes :

  • Client ID / ID d’application
  • Secret
  • Tenant ID / ID de l’annuaire
  • Création de l’application

Cliquez sur “+ Inscrire une application

Remplissez les options suivantes et validez :

 

Vous arrivez désormais sur l’écran suivant, notez les informations contenues dans la
zone en rouge car il faudra nous les transmettre :

Création d’un certificat et d’un secret

Toujours sur la même page, cliquez sur “Ajouter un certificat ou un secret” :

Sur la nouvelle page, cliquez sur “Nouveau secret client” puis sélectionnez une date d’expiration recommandée de 24 mois.

Notez ensuite également la ”valeur” générée dans “Secret client” afin de nous les transmettre.

Assignation des permissions

Afin de pouvoir lire les informations des utilisateurs, l’application à besoin des permissions suivantes :

  • Group.Read.All
  • GroupMember.Read.All
  • User.Read.All

Afin de les affecter à votre application cliquez sur “+ Ajouter une autorisation” :

Sélectionnez “Microsoft Graph”

Puis sélectionnez “Autorisations de l’application” :

Enfin sélectionnez les permissions suivantes (voir ci dessus pour la liste complète) :

Group : Group.Read.

Group Member: All GroupMember.Read.All

User: User.Read.All

Puis validez en cliquant sur “Ajouter des autorisations”.

Pour terminer, cliquez sur “Accorder un consentement d’administrateur pour ….” afin de valider les permissions.

Activation de la synchronisation sur l’application Bluesecure

Après avoir achevé la synchronisation, nous vous recommandons de connecter vos groupes AD à vos listes BlueSecure afin de tirer le meilleur parti de cette fonctionnalité.

Voici les étapes à suivre pour configurer la synchronisation avec votre annuaire via Bluesecure :

Etape 1 : Connectez-vous à votre compte Bluesecure.

Etape 2: Dans le menu, cliquez sur « Organisation », puis sur « Synchroniser » (icône 🔄).

Etape 3: Cliquez sur le bouton « Ajouter un service » pour configurer votre fournisseur d’annuaire. Les options disponibles sont :

  • Azure Active Directory
  • Google Workspace
  • Okta
  • LDAP

Etape 4: Cliquez sur « Suivant » pour passer à l’étape de connexion.

Etape 5 : Remplissez les champs requis selon le fournisseur sélectionné, puis cliquez sur « Suivant ».

Etape 6 : Sélectionnez les groupes que vous souhaitez synchroniser.

Etape 7 : Visualisez les logs dans le menu « Journaux » . Confirmez votre sélection pour lancer la synchronisation.

Suppression des utilisateurs non synchronisés sur Bluesecure

La suppression automatique des utilisateurs non synchronisés permet de purger les comptes utilisateurs de BlueSecure dont les identifiants n’ont pas été synchronisés depuis un certain nombre de jours. Lorsqu’un utilisateur n’est plus présent dans la source d’annuaire configurée (comme Entra ID) ou que sa synchronisation échoue de manière continue, son compte est considéré comme obsolète. Une fois le seuil de jours dépassé (ex. : 365 jours), BlueSecure supprime automatiquement cet utilisateur de la base interne. Cette opération s’exécute quotidiennement et permet de garantir la cohérence entre les utilisateurs référencés dans l’annuaire source et ceux présents dans BlueSecure. Un rapport de suppression peut être envoyé par e-mail aux administrateurs configurés.

Cette suppression implique :

  • La désactivation du compte avant suppression.
  • La revocation des accès associés à ce compte (rôles, droits, groupes).
  • L’envoi d’un rapport de suppression aux adresses e-mail configurées.

Un e‑mail automatique est envoyé 7 jours avant la purge des utilisateurs synchronisés via le LDAP. Ce message prévient les administrateurs que certains comptes inactifs ou déconnectés du répertoire seront prochainement supprimés de la plateforme. Il est recommandé de vérifier la liste des comptes concernés dans le tableau de bord d’administration et de rétablir, si nécessaire, les utilisateurs devant être conservés avant la date de purge effective.

 

Vérifications préalables en cas d’incident de synchronisation AD sur Bluesecure

En cas de dysfonctionnement constaté lors de la synchronisation Active Directory avec Bleusecure, il est recommandé d’effectuer les vérifications suivantes afin d’identifier rapidement l’origine du problème et de s’assurer que la configuration Azure AD répond à toutes les exigences techniques.

  • Vérifier que les groupes utilisés sont bien des groupes de sécurité Azure AD, et non des groupes Microsoft 365 ou des groupes dynamiques non pris en charge.

  • S’assurer que les autorisations API requises, notamment Group.Read.All, ont été correctement accordées dans Azure.

  • Confirmer que le consentement administrateur a bien été accordé.

  • Examiner l’éventuelle présence de restrictions sur le tenant Azure pouvant limiter l’accès aux groupes (filtres, rôles, périmètres ou scopes API Graph, etc.).

  • Procéder, si possible, à un test direct de l’appel à l’API Microsoft Graph afin de vérifier l’accessibilité des groupes concernés.

FAQ - Synchronisation

A quelle fréquence à lieu la synchronisation de LDAP ?
Les synchronisations se produisent automatiquement toutes les 24 heures ou lorsque l’on appuie sur le bouton « Mise à jour » dans l’onglet Gestion > Entreprise, généralement en quelques minutes.
 
 
Est-ce que la plateforme m’avertit lorsqu’une synchronisation risque d’expirer ?
Oui. Lorsqu’une synchronisation (ex. : Entra ID, Google) approche de l’expiration ou devient invalide, la plateforme génère une notification automatique par email.
 
 
Pourquoi n’ai-je pas reçu d’alerte avant une suppression d’utilisateurs ?
L’envoi d’une notification la veille d’une suppression d’utilisateurs n’est possible que si l’adresse de contact est correctement renseignée dans la configuration de votre organisation, dans la section Synchronisation. Si ce champ est vide, aucune alerte ne peut être envoyée.
 
Où puis-je vérifier ou modifier l’adresse de notification ?
Vous pouvez à tout moment mettre à jour l’adresse de contact dans :
Organisation → Paramètres →Synchronisation → « Envoyez des e-mails de rapports sur la suppression automatique des utilisateurs
 
Comment éviter de supprimer manuellement des utilisateurs tout en conservant l’historique ?
Vous pouvez activer l’anonymisation automatique des utilisateurs expirés.
Cette fonctionnalité supprime les données personnelles tout en conservant l’intégralité des statistiques, et ne consomme aucun crédit supplémentaire.
 
Pourquoi certains groupes apparaissent-ils sans utilisateurs ?
En général, cela signifie qu’un consentement administrateur ou certaines permissions nécessaires n’ont pas encore été accordés. Assurez-vous de valider le consentement administrateur et de vérifier les permissions associées.
 
Pourquoi le nombre d’utilisateurs dans mon groupe BlueSecure est-il inférieur à celui affiché sur Azure ?
BlueSecure ne synchronise pas les utilisateurs désactivés. Ceux-ci peuvent donc continuer à apparaître dans le décompte Azure, ce qui explique la différence entre les deux interfaces.