SCIM-brukerklargjøring (EntraID/AzureAD)

For å integrere SCIM må du gå til administrasjonssenteret i GoBright og til integrasjonene.

Åpne din allerede opprettede O365-integrasjon, og nederst finner du Behandlingsinnstillinger.

Under Behandlingsinnstillinger må vi aktivere automatisk brukeroppretting og SCIM.

Når du aktiverer automatisk brukeroppretting, må du velge en brukerrolle. Denne rollen vil bli brukt på alle synkroniserte brukere med SCIM hvis du ikke bruker rollekartlegging (trinn 5). Hvis du vil bruke rollekartlegging med SCIM-konfigurasjonen, spiller det ingen rolle hvilken brukerrolle du velger i Automatisk brukeroppretting.

Under SCIM vil du trenge klargjørings-/leieadressen kopiert et sted da den vil bli brukt senere.

Deretter må du generere et token ved å trykke på Generer-knappen. Dette vil utløse en melding som ber om å legge til utløpstiden for tokenet. Som standard er den satt til 24 måneder, og den kan gå opptil 48 måneder. Etter utløpet må du regenerere tokenet.

Når det er generert, kopier tokenet et sted, da det vil bli brukt senere.

Etter at tokenet er generert, lukk og lagre integrasjonen !

Gå til EntraID/Azure til Enterprise Applications-delen og trykk på "Lag din egen applikasjon"-knappen øverst.

Skriv navnet på hvordan du vil at SCIM-applikasjonen skal kalles og velg "Integrer alle andre applikasjoner du ikke finner i galleriet".

Nå som applikasjonen er opprettet, må du åpne den opprettede SCIM-applikasjonen.

Gå til Brukere og grupper på venstre side av applikasjonen og trykk på Legg til bruker/gruppe-knappen øverst.

Du kan velge så mange brukere og grupper du vil, og tilordne dem på slutten.

Merk: Nestede grupper (gruppe i en gruppe) kan ikke klargjøres med SCIM.

Når du har en permisjonsansatt eller du trenger å fjerne noen fra å bruke GoBright , vær oppmerksom på at det er et par scenarier du må se etter:

• Når brukeren er slettet fra GoBright – Brukeren vil ikke bli slettet fra SCIM og vil bli gjenskapt i GoBright når neste SCIM-synkroniseringsintervall skjer.
• Når brukeren er fjernet fra de tilordnede brukerne for klargjøring i SCIM eller fra gruppen som er tilordnet i SCIM – vil brukeren bli deaktivert i GoBright .
• Når brukeren er slettet fra EntraID/AzureAD, men den fortsatt er i delen Slettede brukere i EntraID/AzureAD – brukeren vil ikke bli deaktivert eller slettet fra GoBright i 30 dager til brukeren automatisk slettes permanent fra EntraID/AzureAD etter oppbevaringsperioden på 30 dager.
• Når brukeren er permanent slettet fra EntraID/AzureAD – vil brukeren bli slettet i GoBright .
• Når brukeren er deaktivert i EntraID/AzureAD – blir brukeren deaktivert i GoBright .
• Når brukeren er deaktivert i EntraID/AzureAD og deretter slettet – brukeren vil bli deaktivert i 30 dager til brukeren automatisk blir permanent slettet fra EntraID/AzureAD etter 30 dagers oppbevaringsperiode og slettes i GoBright også.

Etter å ha lagt til brukerne/gruppene du vil klargjøre, må du konfigurere klargjøringen.

Gå til Provisioning- fanen på venstre side av applikasjonen.

Når du er i Provisioning-fanen, må du trykke på den blå knappen " Kom i gang " midt på skjermen.

Du vil bli tatt til å konfigurere klargjøringen, velg som følger:

• Klargjøringsmodus er automatisk

• Administratorlegitimasjon er leierens URL og token som du genererte og kopierte før i GoBright Portal. Du har også en mulighet til å teste tilkoblingen, hvis alt var riktig konfigurert skulle det stå "Den medfølgende legitimasjonen er autorisert til å aktivere klargjøring"

• Trykk på Lagre øverst

Du må åpne Provisioning-fanen igjen, da du må gjøre endringer i tilordningene og innstillingene.

Under Mappings -fanen må du først klikke for å åpne " Provision Microsoft Entra ID Groups ". Her må du endre Aktivert status til NEI og lagre den.

Etter det må du klikke for å åpne " Provision Microsoft Entra ID-brukere ". Under Attributttilordninger må du slette flere attributter og bare legge igjen et par som vist.

Du trenger bare å forlate:

• brukernavn
• aktiv
• displayName
• e-poster[type eq "arbeid"].verdi
• phoneNumbers[type eq "mobil"].verdi
• urn:ietf:params:scim:schemas:extension:enterprise:2.0:Bruker:avdeling
• Trykk Lagre etter at du har de riktige attributtene.

Under Innstillinger- fanen, hvis du vil, kan du aktivere alternativet " Send en e-postvarsling " som vil sende en e-post når det er en feil med klargjøringen, og du kan legge til hvilken e-postadresse du trenger.

På slutten aktiverer du klargjøringsstatus til "PÅ" nederst på klargjøringsfanen.

MERK: Disse attributtene er kartlagt i separate felt, så det er ikke nødvendig å kartlegge alle tre samtidig. Hvis du for eksempel bare vil kartlegge NFC-ID-en, kan du kartlegge bare den attributten, og senere kan de to andre attributtene også kartlegges om nødvendig.

Hvis du vil legge til egendefinerte attributter, åpner du Exchange Admin Center, velger Postbokser fra menyen til venstre, søker etter brukerens postboks og velger den.

MERK: De tilpassede attributtene som er tilordnet, vil ikke bli vurdert i den første klargjøringssyklusen. De blir bare vurdert ved brukeroppdatering.

Når menyen på høyre side vises, velger du Andre og deretter Tilpassede attributter.

For hver bruker er det 15 felt å velge mellom for de tilpassede attributtene.

Det spiller ingen rolle hvilke felt som velges så lenge de samsvarer med utvidelsesattributtene som vi skal tilordne senere i Azure/Entra ID.

Det er et par ting du bør vurdere når du legger til egendefinerte attributter:

• PIN-koden må være en numerisk verdi
• NFC-ID-en kan være en alfanumerisk verdi og skal ha et korrekt heksadesimalt format.
• Kostnadssenteret skal inneholde navnet på et gyldig kostnadssenter i GoBright portal. Dette feltet skiller mellom store og små bokstaver, og hvis det valgte kostnadssenteret ikke er unikt eller ikke finnes i GoBright , SCIM vil vise en valideringsfeil.

Når de egendefinerte attributtene er fylt ut for en bruker i Exchange-administrasjonssenteret, kan vi fortsette med å tilordne utvidelsesattributtene i Azure/Entra ID.

For å gjøre dette, følg disse trinnene:

1. Åpne SCIM-bedriftsapplikasjonen
2. Klikk på Provisionering til venstre og deretter Attributttilordning (forhåndsvisning)
3. Klikk på Klargjør Microsoft Entra ID-brukere
4. Klikk på avmerkingsboksen «Vis avanserte alternativer» nederst
5. Velg «Rediger attributtliste for customappsso»

Her må vi opprette attributtene som skal inneholde verdiene som allerede er lagt til i Exchange-administrasjonssenteret.

For å gjøre dette, bla nedover og legg til attributtene i følgende format i den neste tomme raden i datarutenettet:

• urn:ietf:params:scim:schemas:extension: gobright :PIN-kode
• urn:ietf:params:scim:schemas:extension: gobright :nfcId
• urn:ietf:params:scim:schemas:extension: gobright :kostnadssenter

Klikk på Lagre når du er ferdig.

Når de er lagret, kan vi gjøre selve tilordningen. Dette betyr at tilordningen vil få verdien vi allerede har angitt for hvert attributt i Exchange Admin Center og sette den til attributtene vi har opprettet her.

For å gjøre det, må vi på samme side klikke på «Legg til ny tilordning», og på den nye siden må vi velge kildeattributtet og målattributtet:

extensionAttribute1 – tilordnes til målattributtet urn:ietf:params:scim:schemas:extension: gobright :PIN-kode

extensionAttribute2 – tilordnes til målattributtet urn:ietf:params:scim:schemas:extension: gobright :nfcId

extensionAttribute3 – tilordnes til målattributtet urn:ietf:params:scim:schemas:extension: gobright :kostnadssenter

Etter at kartleggingen er ferdig, klikker du bare på lagre.

Nå, i neste provisioneringssyklus, vil verdiene som er satt for de tre tilpassede attributtene i Exchange bli tatt, og gjennom tilordningen vil SCIM-provisioneringsprosessen sende dem til GoBright portalen, som vil håndtere dem og lagre disse verdiene i de respektive feltene for brukeren.

Hvis du ønsker å tilordne bestemte brukere eller grupper til bestemte brukerroller i GoBright , kan du gjøre det med alternativet Rollekartlegging med SCIM.

Du kan gjøre det ved å følge trinnene:

• Opprette antall brukerroller som trengs i SCIM-appregistreringen

I Azure må du gå til App-registreringer og til Alle applikasjoner , her må du åpne App-registrering for SCIM-applikasjonen din.

Når SCIM-appregistrering er åpnet, må du åpne approllene fra venstre sidepanel.

Her må du opprette så mange roller som du vil bruke som brukerroller i GoBright . Rollene kan opprettes én etter én, eller du kan lage 999 roller med et PowerShell-skript.

Disse rollene med tilhørende nummer må matches med brukerrollene i GoBright .

For å opprette en rolle, må du trykke på knappen Opprett approlle øverst.

• Visningsnavnet kan være det samme som verdien eller en beskrivelse av rollen, f.eks. GB Admins.
• Tillatte medlemstyper må være brukere/grupper.
• Verdien må være role001-999 , f.eks. role001
• Beskrivelse kan fylles med det som passer deg
• Merk av for å aktivere rollen

PowerShell-skriptet for å legge til 999 roller i SCIM-appregistreringen:

Connect-AzureAD Install-Module -Name AzureAD -Scope CurrentUser -Force 
 # Create an Azure AD role of given name and description
 Function CreateAppRole([string] $Name, [string] $Description)
 {
 $appRole = New-Object Microsoft.Open.MSGraph.Model.AppRole
 $appRole.AllowedMemberTypes = New-Object System.Collections.Generic.List[string] $appRole.AllowedMemberTypes.Add(“User”);
 # $appRole.AllowedMemberTypes.Add(“Application”);
 $appRole.DisplayName = $Name
 $appRole.Id = New-Guid
 $appRole.IsEnabled = $true
 $appRole.Description = $Description
 $appRole.Value = $Name;
 return $appRole
 } # ObjectId for application from App Registrations in your AzureAD
 $appObjectId = “ed919fd1-a146-4ce0-93b5-5603db6e30cb”
 $app = Get-AzureADMSApplication -ObjectId $appObjectId Write-Host “App Roles before addition of new role..”
 Write-Host $appRoles $appRoles = $app.AppRoles
 for (($i = 1); $i -lt 1000; $i++) { $rolename = "role" + '' -f $i
 $newRole = CreateAppRole -name $rolename -description $rolename if (!($appRoles | where { $_.Value -eq $newRole.Value })) {
 $appRoles.Add($newRole)
 }
 } Set-AzureADMSApplication -ObjectId $app.Id -AppRoles $appRoles 

• Legg til rolleattributt i SCIM Enterprise APP

Neste trinn er å aktivere rolleattributtet i SCIM Enterprise APP.

For å gjøre dette må du åpne SCIM-appen og gå til Provisioning . Under Provisioning må du klikke på Provisioning igjen til venstre og velge Mappings . Under Mappings må du velge Provision Microsoft Entra ID Users .

Først må du klikke og utvide avmerkingsboksen Vis avanserte alternativer nederst på siden og åpne Rediger attributtliste for customappsso .

I Rediger attributtlisten må du bla til bunnen og til det første tomme feltet for å skrive:

• "roller",
• la referanse være streng
• merk av i den tredje avmerkingsboksen til høyre, som på bildet:

Deretter trykker du på Lagre øverst og du kommer tilbake til attributtkartleggingen.

Nå, under Attributttilordninger må du velge Legg til ny kartlegging .

• Kartleggingstype: Uttrykk
• Uttrykk: AssertiveAppRoleAssignmentsComplex([appRoleAssignments])
• Standardverdi: "la stå tomt"
• Målattributt: roller
• Matchobjekter: Nei
• Bruk denne tilordningen: Alltid

Trykk OK nederst.

• Opprette/endre brukerrollen i GoBright

Neste trinn er å opprette/endre GoBright Brukerrolle.

Gå til GoBright portal, trykk på Innstillinger-fanen, trykk på Brukere og velg Roller fra venstre panel.

Hvis du trenger å opprette en ny brukerrolle som skal brukes som en SCIM-rolle, kan du trykke på Legg til-knappen for å opprette en ny brukerrolle.

Eller du kan velge en allerede opprettet brukerrolle og endre SCIM-tilpasningen.

For å aktivere SCIM-matching, må du bla ned til bunnen av rollen du oppretter/endre og merke av i boksen under SCIM som sier Aktiver rollematching.

Når det er aktivert, må du velge en samsvarende verdi (rolle med et tall, f.eks. 001).

Verdien du velger her, må huskes under hvilket brukerrollenavn som ble lagret, da rolleverdien må samsvare med rollen som er valgt i SCIM Azure Enterprise-applikasjonen for den valgte brukeren eller gruppen (neste punkt).

Verdiene du velger på dette trinnet tilsvarer rollene du opprettet på de forrige trinnene i appregistreringen.

• Tilordne en rolle til en bruker eller en gruppe i SCIM

Det siste trinnet er å legge til rollen til en bruker eller en gruppe du vil ha rollekartlegging.

Du må åpne SCIM Enterprise Application i Azure/Entra og gå til Users and Groups fra venstre sidepanel.

Velg med avmerkingsboksen foran navnet en bruker eller en gruppe du vil legge til en bestemt rolle i, og velg Rediger tilordning fra topppanelet.

Fra fanen Rediger tildeling må du velge alternativet Velg en rolle der det står Ingen valgt og velge en rolle fra høyre sidepanel.

MERK at denne rollen samsvarer med brukerrollen i GoBright og samsvarer med verdien du valgte for den brukerrollen.

Når rollen er valgt kan du trykke på Tildel nederst og neste gang klargjøringen kjører vil gruppen eller brukeren bli oppdatert/opprettet med rollen i GoBright som du matchet med rollen i SCIM.

For flere brukerroller i GoBright for en bestemt gruppe brukere må du opprette flere grupper og tilordne dem til de tilsvarende matchende rollene i GoBright .

SCIM har ikke muligheten til å kartlegge flere roller for individuelle brukere eller grupper.

Nå som du har konfigurert applikasjonen, er det også veldig viktig å sjekke om selve klargjøringen har startet.

Du kan gjøre det ved å gå til oversikten over din opprettede SCIM-applikasjon.

Gå til Provisioning-fanen til venstre, og du vil se alternativet for å starte, stoppe eller starte klargjøringen på nytt.

Forsyning på forespørsel

Hvis du ønsker å teste SCIM etter oppsettet og du ønsker å teste for en eller et par brukere, er den beste måten å gjøre dette på via funksjonen Provision on Demand i Provisioning.

Dette kan gjøres før provisjoneringen startes for å brukes til testing.

Dessuten, når du leverer en bruker på forespørsel, kan det hende du må vente rundt 5 minutter før brukeren dukker opp GoBright , det er fast synkroniseringsintervall hvert 5. minutt for å se etter nye brukere.

Du kan få tilgang til klargjøringen på basissiden til SCIM Enterprise Application som det tredje alternativet på venstre panel.

Når du klikker på den, vil den gi deg muligheten til å søke etter en bruker eller gruppe. Ikke bruk dette for grupper, da det vil mislykkes, bare brukere én etter én.

Etter at du har valgt brukeren, trykk på Provision-knappen nederst, og den vil prøve å klargjøre brukeren. Det vil enten være vellykket, mislykket eller hoppet over. For feil er det en forklaring på hvorfor det mislyktes i feilmeldingen.

Etter det har du muligheten til å prøve klargjøringen på nytt eller klargjøre et annet objekt.