Tilvejebringelse af SCIM-brugere (EntraID/AzureAD)

For at integrere SCIM skal du gå til Admin Center i GoBright og til Integrationer.

Åbn din allerede oprettede O365-integration, og i bunden kan du finde Processing Settings.

Under Processing Settings skal vi aktivere Automatic User Creation og SCIM.

Når du aktiverer automatisk brugeroprettelse, skal du vælge en brugerrolle. Denne rolle vil blive anvendt på alle de synkroniserede brugere med SCIM, hvis du ikke bruger Role Mapping (trin 5). Hvis du vil bruge Role Mapping i din SCIM-konfiguration, er det ligegyldigt, hvilken brugerrolle du vælger i Automatisk brugeroprettelse.

Under SCIM skal du have kopieret URL'en til Provisioning / Tenant et sted, da den vil blive brugt senere.

Dernæst skal du generere et token ved at trykke på knappen Generér. Dette vil udløse en prompt, hvor du bliver bedt om at tilføje tokenets udløbstid. Som standard er det indstillet til 24 måneder, og det kan gå op til 48 måneder. Efter udløbet skal du regenerere tokenet.

Når det er genereret, skal du kopiere tokenet et sted, da det skal bruges senere.

Når tokenet er genereret, skal du lukke og gemme integrationen!

Gå til EntraID/Azure til sektionen Enterprise Applications og tryk på knappen "Create your own application" øverst.

Skriv navnet på, hvad SCIM-applikationen skal hedde, og vælg "Integrer enhver anden applikation, du ikke finder i galleriet".

Nu hvor applikationen er oprettet, skal du åbne den oprettede SCIM-applikation.

Gå til Brugere og grupper i venstre side af programmet, og tryk på knappen Tilføj bruger/gruppe øverst.

Du kan vælge så mange brugere og grupper, som du vil, og tildele dem til sidst.

Bemærk: Indlejrede grupper (gruppe inden for en gruppe) kan ikke klargøres med SCIM.

Når du har en medarbejder, der stopper, eller du skal fjerne nogen fra at bruge GoBright, skal du være opmærksom på, at der er et par scenarier, du skal kigge efter:

• Når brugeren slettes fra GoBright , slettes brugeren ikke fra SCIM og genskabes i GoBright , når det næste SCIM-synkroniseringsinterval finder sted.
• Når brugeren fjernes fra de tildelte brugere til provisionering i SCIM eller fra den gruppe, der er tildelt i SCIM, bliver brugeren deaktiveret i GoBright.
• Når brugeren slettes fra EntraID/AzureAD, men den stadig er i sektionen Slettede brugere i EntraID/AzureAD, vil brugeren ikke blive deaktiveret eller slettet fra GoBright i 30 dage, før brugeren automatisk slettes permanent fra EntraID/AzureAD efter 30 dages opbevaringsperiode.
• Når brugeren slettes permanent fra EntraID/AzureAD, vil brugeren blive slettet i GoBright.
• Når brugeren er deaktiveret i EntraID/AzureAD - vil brugeren være deaktiveret i GoBright.
• Når brugeren deaktiveres i EntraID/AzureAD og derefter slettes - vil brugeren være deaktiveret i 30 dage, indtil brugeren automatisk slettes permanent fra EntraID/AzureAD efter 30 dages opbevaringsperiode og vil også blive slettet i GoBright .

Når du har tilføjet de brugere/grupper, du vil provisionere, skal du konfigurere Provisioning.

Gå til fanen Provisioning i venstre side af applikationen.

Når du er på fanen Provisioning, skal du trykke på den blå knap "Get started" midt på skærmen.

Du kommer til at konfigurere Provisioning, vælg som følger:

• Provisioneringstilstand er automatisk

• Administratoroplysningerne er den lejer-URL og det token, som du genererede og kopierede før i GoBright . Du har også mulighed for at teste forbindelsen, og hvis alt er konfigureret korrekt, bør der stå "De angivne legitimationsoplysninger er godkendt til at aktivere provisionering".

• Tryk på Gem i toppen

Du bliver nødt til at åbne fanen Provisioning igen, da du skal foretage ændringer i Mappings og Settings.

Under fanen Mappings skal du først klikke for at åbne "Provision Microsoft Entra ID Groups". Her skal du ændre Enabled Status til NO og gemme den.

Derefter skal du klikke for at åbne "Provision Microsoft Entra ID Users". Under Attribute Mappings skal du slette flere attributter og kun efterlade et par stykker som vist.

Du behøver kun at gå:

• Brugernavn
• aktiv
• Visningsnavn
• emails[type eq "work"].value
• phoneNumbers[type eq "mobile"].value
• urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
• Tryk på Gem, når du har de rigtige attributter.

Under fanen Indstillinger kan du, hvis du vil, aktivere indstillingen "Send en e-mailnotifikation", som sender en e-mail, når der opstår en fejl i klargøringen, og du kan tilføje den e-mailadresse, du har brug for.

Til sidst skal du sætte Provisioning Status til "ON" nederst på fanen Provisioning.

BEMÆRK: Disse attributter kortlægges i separate felter, så det er ikke nødvendigt at kortlægge alle tre på én gang. Hvis du f.eks. kun vil kortlægge NFC-id, kan du nøjes med at kortlægge den attribut, og i fremtiden kan de to andre attributter også kortlægges, hvis det er nødvendigt.

For at tilføje brugerdefinerede attributter skal du åbne Exchange Admin Center, vælge Postkasser i menuen til venstre, søge efter brugerens postkasse og vælge den.

BEMÆRK: De brugerdefinerede attributter, der er kortlagt, vil ikke blive taget i betragtning i den første forsyningscyklus. De tages kun i betragtning ved brugeropdatering.

Når menuen i højre side vises, skal du vælge Others og derefter Custom attributes.

For hver bruger er der 15 felter at vælge til de brugerdefinerede attributter.

Det er ligegyldigt, hvilke felter der vælges, så længe de matcher de udvidelsesattributter, som vi senere skal kortlægge i Azure/Entra ID.

Der er et par ting, man skal overveje, når man tilføjer brugerdefinerede attributter:

• Pinkoden skal være en numerisk værdi
• NFC-id'et kan være en alfanumerisk værdi og skal have et korrekt HEX-format.
• Omkostningsstedet skal indeholde navnet på et gyldigt omkostningssted i GoBright . Dette felt skelner mellem store og små bogstaver, og hvis det valgte omkostningssted ikke er unikt eller ikke findes i GoBright, vil SCIM vise en valideringsfejl.

Når de brugerdefinerede attributter er udfyldt for en bruger i Exchange admin center, kan vi fortsætte med at kortlægge udvidelsesattributterne i Azure/Entra ID.

Følg de næste trin for at gøre det:

1. Åbn SCIM-virksomhedsapplikationen
2. Klik på Provisioning til venstre og derefter på Attribute mapping (Preview)
3. Klik på Tilvejebringelse af Microsoft Entra ID-brugere
4. Klik på afkrydsningsfeltet "Vis avancerede indstillinger" i bunden
5. Vælg "Rediger attributliste for brugerdefinerede apps"

Her skal vi oprette de attributter, der skal indeholde de værdier, der allerede er tilføjet i Exchange admin center.

For at gøre det skal du rulle ned og i den næste tomme række i datagitteret tilføje attributterne i følgende format:

• urn:ietf:params:scim:schemas:extensiongobright:pinCode
• urn:ietf:params:scim:schemas:extensiongobright:nfcId
• urn:ietf:params:scim:schemas:extensiongobright:costCenter

Klik på Gem, når du er færdig.

Når de er gemt, kan vi foretage den faktiske mapping. Det betyder, at mappingen henter den værdi, vi allerede har indstillet for hver attribut i Exchange Admin Center, og indstiller den til de attributter, vi har oprettet her.

For at gøre det skal vi på den samme side klikke på "Tilføj ny mapping", og på den nye side skal vi vælge kildeattribut og målattribut:

extensionAttribute1 - mapper til målattributten urn:ietf:params:scim:schemas:extensiongobright:pinCode

extensionAttribute2 - mapper til målattributten urn:ietf:params:scim:schemas:extensiongobright:nfcId

extensionAttribute3 - mapper til målattributten urn:ietf:params:scim:schemas:extensiongobright:costCenter

Når kortlægningen er færdig, skal du bare klikke på Gem.

I den næste provisioneringscyklus vil de værdier, der er indstillet for de tre brugerdefinerede attributter i Exchange, blive taget, og gennem mappingen vil SCIM-provisioneringsprocessen sende dem til GoBright , som vil håndtere dem og gemme disse værdier i de respektive felter for brugeren.

Hvis du vil tilknytte bestemte brugere eller grupper til bestemte brugerroller i GoBright, kan du gøre det med indstillingen Role Mapping i SCIM.

Det kan du gøre ved at følge disse trin:

• Oprettelse af det nødvendige antal brugerroller i SCIM-appregistreringen

I Azure skal du gå til App Registrations og til All Applications, hvor du skal åbne App Registration for din SCIM-applikation.

Når SCIM App Registration er åbnet, skal du åbne App Roles i venstre side af panelet.

Her skal du oprette lige så mange roller, som du vil bruge som brugerroller i GoBright. Rollerne kan oprettes en efter en, eller du kan oprette 999 roller med et PowerShell-script.

Disse roller med deres tilsvarende nummer skal matches med brugerrollerne i GoBright.

For at oprette en rolle skal du trykke på knappen Opret app-rolle øverst.

• Visningsnavnet kan være det samme som værdien eller en beskrivelse af rollen, f.eks.
• Tilladte medlemstyper skal være Users/Groups.
• Værdien skal være role001-999 , f.eks. role001
• Beskrivelse kan udfyldes med, hvad der passer dig
• Sæt flueben for at aktivere rollen

PowerShell-scriptet til at tilføje 999 roller i SCIM-appregistreringen:

Connect-AzureAD Install-Module -Name AzureAD -Scope CurrentUser -Force 
 # Create an Azure AD role of given name and description
 Function CreateAppRole([string] $Name, [string] $Description)
 {
 $appRole = New-Object Microsoft.Open.MSGraph.Model.AppRole
 $appRole.AllowedMemberTypes = New-Object System.Collections.Generic.List[string] $appRole.AllowedMemberTypes.Add(“User”);
 # $appRole.AllowedMemberTypes.Add(“Application”);
 $appRole.DisplayName = $Name
 $appRole.Id = New-Guid
 $appRole.IsEnabled = $true
 $appRole.Description = $Description
 $appRole.Value = $Name;
 return $appRole
 } # ObjectId for application from App Registrations in your AzureAD
 $appObjectId = “ed919fd1-a146-4ce0-93b5-5603db6e30cb”
 $app = Get-AzureADMSApplication -ObjectId $appObjectId Write-Host “App Roles before addition of new role..”
 Write-Host $appRoles $appRoles = $app.AppRoles
 for (($i = 1); $i -lt 1000; $i++) { $rolename = "role" + '' -f $i
 $newRole = CreateAppRole -name $rolename -description $rolename if (!($appRoles | where { $_.Value -eq $newRole.Value })) {
 $appRoles.Add($newRole)
 }
 } Set-AzureADMSApplication -ObjectId $app.Id -AppRoles $appRoles 

• Tilføj rolleattribut i SCIM Enterprise APP

Næste skridt er at aktivere rolleattributten i SCIM Enterprise APP.

For at gøre dette skal du åbne SCIM-appen og gå til Provisioning. Under Provisioning skal du klikke på Provisioning igen til venstre og vælge Mappings. Under Mappings skal du vælge Provision Microsoft Entra ID Users.

Først skal du klikke på og udvide afkrydsningsfeltet Show Advanced Options nederst på siden og åbne Edit attribute list for customappsso.

I listen Rediger attributter skal du rulle til bunden og skrive i det første tomme felt:

• "roller",
• Lad referencen være en streng
• Sæt kryds i det tredje afkrydsningsfelt til højre, som på billedet:

Tryk derefter på Save øverst, og du kommer tilbage til Attribute Mapping.

Under Attribute Mappings skal du nu vælge Add New Mapping.

• Kortlægningstype: Udtryk
• Udtryk: AssertiveAppRoleAssignmentsComplex([appRoleAssignments])
• Standardværdi: "efterlad tom"
• Målattribut: roller
• Matchende objekter: Nej
• Anvend denne kortlægning: Altid

Tryk på OK i bunden.

• Oprettelse/ændring af brugerrollen i GoBright

Næste skridt er at oprette/ændre GoBright .

Gå til GoBright , tryk på fanen Indstillinger, tryk på Brugere, og vælg Roller i venstre panel.

Hvis du har brug for at oprette en ny brugerrolle, der skal bruges som SCIM-rolle, kan du trykke på knappen Tilføj for at oprette en ny brugerrolle.

Eller du kan vælge en allerede oprettet brugerrolle og ændre SCIM-matchningen.

For at aktivere SCIM-matchning skal du rulle ned i bunden af den rolle, du opretter/ændrer, og sætte kryds i boksen under SCIM, hvor der står Enable Role Matching.

Når det er aktiveret, skal du vælge en matchende værdi (rolle med et tal, f.eks. 001).

Den værdi, du vælger her, skal huskes, under hvilken brugerrolle navnet blev gemt, da rolleværdien skal svare til den rolle, der er valgt i SCIM Azure Enterprise Application for den valgte bruger eller gruppe (næste punkt).

De værdier, du vælger i dette trin, svarer til de roller, du oprettede i de foregående trin i app-registreringen.

• Tilknytning af en rolle til en bruger eller en gruppe i SCIM

Det sidste trin er at tilføje rollen til en bruger eller en gruppe, som du ønsker skal have rolletilknytning.

Du skal åbne SCIM Enterprise Application i Azure/Entra og gå til Users and Groups i venstre side.

Vælg med afkrydsningsfeltet foran navnet en bruger eller en gruppe, som du vil tilføje en bestemt rolle til, og vælg Edit Assignment i det øverste panel.

På fanen Rediger opgave skal du vælge indstillingen Vælg en rolle, hvor der står Ingen valgt, og vælge en rolle i højre side af panelet.

BEMÆRK, at denne rolle svarer til brugerrollen i GoBright og matcher den værdi, du har valgt for den pågældende brugerrolle.

Når rollen er valgt, kan du trykke på Assign i bunden, og næste gang Provisioning kører, vil gruppen eller brugeren blive opdateret/oprettet med den rolle i GoBright , som du matchede med rollen i SCIM.

Hvis du vil have flere brugerroller i GoBright for en bestemt gruppe brugere, skal du oprette flere grupper og tilknytte dem til de tilsvarende matchende roller i GoBright.

SCIM har ikke mulighed for at tilknytte flere roller til den enkelte bruger eller gruppe.

Nu hvor du har konfigureret applikationen, er det også meget vigtigt at kontrollere, om den faktiske provisionering er startet.

Det kan du gøre ved at gå til oversigten over din oprettede SCIM-applikation.

Gå til fanen Provisioning til venstre, og du vil se muligheden for at starte, stoppe eller genstarte provisioneringen.

Levering efter behov

Hvis du vil teste SCIM efter opsætningen, og du vil teste for en eller et par brugere, er den bedste måde at gøre det på via Provision on Demand-funktionen i Provisioning.

Dette kan gøres, før Provisioning startes for at blive brugt til test.

Når du Provision on Demand en bruger, skal du muligvis vente omkring 5 minutter på, at brugeren dukker op i GoBright, da der er et fast synkroniseringsinterval hvert 5. minut for at tjekke for nye brugere.

Du kan få adgang til provisioneringen på basissiden i SCIM Enterprise Application som den tredje mulighed i venstre panel.

Når du klikker på den, får du mulighed for at søge efter en bruger eller en gruppe. Brug ikke dette til grupper, da det vil mislykkes, gør det kun til brugere en efter en.

Når du har valgt brugeren, skal du trykke på knappen Provision i bunden, og den vil forsøge at provisionere brugeren. Det vil enten lykkes, mislykkes eller springes over. For Failure er der en forklaring på, hvorfor det mislykkedes, i fejlmeddelelsen.

Derefter har du mulighed for at prøve provisioneringen igen eller at provisionere et andet objekt.