Notre application Microsoft Entra ID Enterprise peut être installée par un administrateur Azure AD via le lien suivant. Lors de l'installation, les autorisations suivantes doivent être accordées à tous les utilisateurs:
Les autorisations requises sont les suivantes:
- User.ReadBasic.All : Permet aux utilisateurs de se connecter à deskbird et permet à deskbird de lire les profils des utilisateurs connectés. Notez que deskbird n'a pas accès aux données de profil des utilisateurs qui ne se sont jamais connectés.
- Group.Read.All : Permet à deskbird de lire tous les groupes d'utilisateurs. Ceci est utilisé, par exemple, pour importer des groupes d'utilisateurs dans le portail d'administration ou pour synchroniser les groupes lorsque les utilisateurs se connectent.
Il existe quatre autorisations standard supplémentaires qui sont automatiquement ajoutées et ne nécessitent pas l'accord de l'administrateur.
- offline_access : Permet à deskbird d'utiliser des jetons de rafraîchissement pour récupérer des données via l'API Microsoft Graph.
- email, openid et profil : Permissions ajoutées automatiquement qui accordent à deskbird des permissions similaires à user.read mais avec moins d'informations sur le profil.
- Le type de permission est délégué, ce qui signifie que deskbird accède à l'API Graph en tant qu'utilisateur connecté mais avec un accès limité par la permission sélectionnée.
Restriction de l'étendue des autorisations via l'affectation d'application
Les entreprises peuvent limiter les autorisations de leur application Azure AD Enterprise aux seuls utilisateurs et groupes d'utilisateurs spécifiés. Pour ce faire, elles peuvent attribuer des utilisateurs et des groupes d'utilisateurs spécifiques à Azure AD Enterprise Application.
- L'affectation à notre application peut être créée dans les paramètres "Propriétés" en modifiant "Affectation requise" sur "Oui".
- Par la suite, seuls les utilisateurs ajoutés à la section "Utilisateurs et groupes" auront la permission de se connecter à deskbird avec leurs comptes Microsoft.
- Note : ceci n'affectera pas les utilisateurs et groupes d'utilisateurs sélectionnés à deskbird. Pour provisionner des utilisateurs et des groupes d'utilisateurs, vous aurez besoin d'une application Azure AD séparée pour une synchronisation "SCIM".