Tillhandahållande av SCIM-användare (EntraID/AzureAD)

För att integrera SCIM måste du gå till Admin Center i GoBright och till Integrations.

Öppna din redan skapade O365-integration och längst ner hittar du Processing Settings.

Under Processing Settings måste vi aktivera Automatic User Creation och SCIM.

När du aktiverar Automatic User Creation måste du välja en användarroll. Denna roll kommer att tillämpas på alla synkroniserade användare med SCIM om du inte använder Role Mapping (steg 5). Om du kommer att använda Role Mapping i din SCIM-konfiguration spelar det ingen roll vilken användarroll du väljer i Automatic User Creation.

Under SCIM behöver du URL:en för Provisioning / Tenant kopieras någonstans eftersom den kommer att användas senare.

Därefter måste du generera en Token genom att trycka på knappen Generera. Detta kommer att utlösa en prompt som ber om att lägga till utgångstiden för token. Som standard är den inställd på 24 månader, och den kan gå upp till 48 månader. Efter utgången måste du regenerera token.

Kopiera token någonstans när den har genererats, eftersom den kommer att användas senare.

När Token har genererats stänger du och sparar integrationen!

Gå till EntraID/Azure till avsnittet Enterprise Applications och tryck på knappen "Skapa din egen applikation" högst upp.

Skriv namnet på det du vill att SCIM-applikationen ska heta och välj "Integrera någon annan applikation som du inte hittar i galleriet".

Nu när applikationen är skapad måste du öppna den skapade SCIM-applikationen.

Gå till Användare och grupper på vänster sida i programmet och tryck på knappen Lägg till användare/grupp högst upp.

Du kan välja så många användare och grupper som du vill och tilldela dem i slutet.

Observera: Nested Groups (grupp inom en grupp) kan inte provisioneras med SCIM.

Om du har en anställd som slutar eller om du behöver ta bort någon från GoBright, observera att det finns ett par scenarier du behöver titta efter:

• När användaren raderas från GoBright - Användaren kommer inte att raderas från SCIM och kommer att återskapas i GoBright när nästa SCIM-synkroniseringsintervall inträffar.
• När användaren tas bort från de tilldelade användarna för provisionering i SCIM eller från den grupp som är tilldelad i SCIM - kommer användaren att inaktiveras i GoBright.
• När användaren raderas från EntraID / AzureAD, men det fortfarande finns i avsnittet Borttagna användare i EntraID / AzureAD - Användaren kommer inte att inaktiveras eller raderas från GoBright på 30 dagar förrän användaren automatiskt raderas permanent från EntraID / AzureAD efter 30 dagars lagringsperiod.
• När användaren är permanent borttagen från EntraID/AzureAD - kommer användaren att tas bort i GoBright.
• När användaren är inaktiverad i EntraID/AzureAD - kommer användaren att vara inaktiverad i GoBright.
• När användaren är inaktiverad i EntraID/AzureAD och sedan raderad - Användaren kommer att vara inaktiverad i 30 dagar tills användaren automatiskt raderas permanent från EntraID/AzureAD efter 30 dagars lagringsperiod och kommer också att raderas i GoBright .

När du har lagt till de användare/grupper som du vill provisionera måste du konfigurera Provisioning.

Gå till fliken Provisioning på vänster sida i programmet.

När du befinner dig på fliken Provisioning måste du trycka på den blå knappen "Get started" mitt på skärmen.

Du kommer att få konfigurera Provisioning, välj enligt följande:

• Provisioning Mode är automatiskt

• Admin Credentials är den Tenant URL och Token som du genererade och kopierade tidigare i GoBright Portal. Du har också möjlighet att testa anslutningen, om allt konfigurerades korrekt bör det stå "De angivna referenser är auktoriserade för att aktivera provisionering"

• Tryck på Spara på den övre kanten

Du måste öppna fliken Provisioning en gång till eftersom du måste göra ändringar i Mappings och Settings.

Under fliken Mappningar måste du först klicka för att öppna "Provision Microsoft Entra ID Groups". Här måste du ändra statusen Enabled till NO och spara den.

Efter det måste du klicka för att öppna "Provision Microsoft Entra ID Users". Under Attribute Mappings måste du ta bort flera attribut och bara lämna ett par som visas.

Du behöver bara gå:

• Användarnamn
• aktiv
• visningsnamn
• emails[typ eq "arbete"].värde
• phoneNumbers[type eq "mobile"].value
• urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
• Tryck på Save när du har rätt attribut.

Under fliken Inställningar kan du om du vill aktivera alternativet "Skicka ett e-postmeddelande" som skickar ett e-postmeddelande när det uppstår ett fel med provisioneringen, och du kan lägga till vilken e-postadress du behöver.

I slutet aktiverar du Provisioning Status till "ON" längst ner på fliken Provisioning.

OBS: Dessa attribut mappas i separata fält, så det är inte nödvändigt att mappa alla tre på en gång. Om du t.ex. bara vill mappa NFC-id kan du mappa bara det attributet och i framtiden, om det behövs, kan du mappa de andra två attributen också.

För att lägga till anpassade attribut, öppna Exchange Admin Center, välj Mailboxes från menyn till vänster, sök efter användarens brevlåda och välj den.

OBS: De anpassade attribut som mappas kommer inte att beaktas vid den första provisioneringscykeln. De beaktas endast vid användaruppdatering.

När menyn på höger sida visas väljer du Övriga och sedan Anpassade attribut.

För varje användare finns det 15 fält att välja för de anpassade attributen.

Det spelar ingen roll vilka fält som väljs så länge de matchar de tilläggsattribut som vi kommer att mappa senare i Azure/Entra ID.

Det finns några saker att tänka på när du lägger till anpassade attribut:

• Pin-koden måste vara ett numeriskt värde
• NFC-id kan vara ett alfanumeriskt värde och ska ha ett korrekt HEX-format
• Kostnadsställe ska innehålla namnet på ett giltigt kostnadsställe i GoBright . Detta fält är skiftlägeskänsligt och om det valda kostnadsstället inte är unikt eller om det inte finns i GoBright, kommer SCIM att visa ett valideringsfel.

När de anpassade attributen har fyllts i för en användare i Exchange admin center kan vi fortsätta med att mappa tilläggsattributen i Azure/Entra ID.

För att göra det, följ nästa steg:

1. Öppna SCIM-företagsapplikationen
2. Klicka på Provisioning till vänster och sedan på Attribute mapping (Förhandsgranskning)
3. Klicka på Tillhandahålla Microsoft Entra ID-användare
4. Klicka på kryssrutan "Visa avancerade alternativ" längst ner
5. Välj "Redigera attributlista för anpassad applikation"

Här måste vi skapa de attribut som kommer att innehålla de värden som redan har lagts till i Exchange admin center.

Detta gör du genom att bläddra nedåt och i nästa tomma rad i datagallret lägga till attributen i följande format:

• urn:ietf:params:scim:schemas:extension:gobright:pinCode
• urn:ietf:params:scim:schemas:extension:gobright:nfcId
• urn:ietf:params:scim:schemas:extension:gobright:costCenter

Klicka på Spara när du är klar.

När de har sparats kan vi göra den faktiska mappningen. Detta innebär att mappningen hämtar det värde som vi redan har ställt in för varje attribut i Exchange Admin center och ställer in det på de attribut som vi har skapat här.

För att göra det måste vi på samma sida klicka på "Lägg till ny mappning", och på den nya sidan måste vi välja källattribut och målattribut:

extensionAttribute1 - mappar till målattributet urn:ietf:params:scim:schemas:extension:gobright:pinCode

extensionAttribute2 - mappar till målattributet urn:ietf:params:scim:schemas:extension:gobright:nfcId

extensionAttribute3 - mappar till målattributet urn:ietf:params:scim:schemas:extensiongobright:costCenter

När mappningen är klar klickar du bara på spara.

Nu i nästa cykel av provisionering kommer de värden som ställts in för de tre anpassade attributen i Exchange att tas och genom mappningen kommer SCIM-provisioneringsprocessen att skicka dem till GoBright , som kommer att hantera dem och spara dessa värden i respektive fält för användaren.

Om du vill mappa vissa användare eller grupper till vissa användarroller i GoBright kan du göra det med alternativet Role Mapping i SCIM.

Du kan göra det genom att följa stegen:

• Skapa det antal användarroller som behövs i SCIM App Registration

I Azure måste du gå till App Registrations och till All Applications, här måste du öppna App Registration för din SCIM-applikation.

När SCIM App Registration har öppnats måste du öppna App Roles från den vänstra sidopanelen.

Här måste du skapa lika många roller som du vill använda som användarroller i GoBright. Rollerna kan skapas en efter en, eller så kan du skapa 999 roller med ett PowerShell-skript.

Dessa roller med sina motsvarande nummer måste matchas med användarrollerna i GoBright.

För att skapa en roll måste du trycka på knappen Create app role högst upp.

• Visningsnamnet kan vara samma som värdet eller en beskrivning av rollen, t.ex. GB Admins.
• Tillåtna medlemstyper måste vara Users/Groups.
• Värdet måste vara role001-999 , t.ex. role001
• Beskrivning kan fyllas i med vad som passar dig
• Markera för att aktivera rollen

PowerShell-skriptet för att lägga till 999 roller i SCIM App Registration:

Connect-AzureAD Install-Module -Name AzureAD -Scope CurrentUser -Force 
 # Create an Azure AD role of given name and description
 Function CreateAppRole([string] $Name, [string] $Description)
 {
 $appRole = New-Object Microsoft.Open.MSGraph.Model.AppRole
 $appRole.AllowedMemberTypes = New-Object System.Collections.Generic.List[string] $appRole.AllowedMemberTypes.Add(“User”);
 # $appRole.AllowedMemberTypes.Add(“Application”);
 $appRole.DisplayName = $Name
 $appRole.Id = New-Guid
 $appRole.IsEnabled = $true
 $appRole.Description = $Description
 $appRole.Value = $Name;
 return $appRole
 } # ObjectId for application from App Registrations in your AzureAD
 $appObjectId = “ed919fd1-a146-4ce0-93b5-5603db6e30cb”
 $app = Get-AzureADMSApplication -ObjectId $appObjectId Write-Host “App Roles before addition of new role..”
 Write-Host $appRoles $appRoles = $app.AppRoles
 for (($i = 1); $i -lt 1000; $i++) { $rolename = "role" + '' -f $i
 $newRole = CreateAppRole -name $rolename -description $rolename if (!($appRoles | where { $_.Value -eq $newRole.Value })) {
 $appRoles.Add($newRole)
 }
 } Set-AzureADMSApplication -ObjectId $app.Id -AppRoles $appRoles 

• Lägg till rollattribut i SCIM Enterprise APP

Nästa steg är att aktivera rollattributet i SCIM Enterprise APP.

För att göra detta måste du öppna SCIM-appen och gå till Provisioning. Under Provisioning måste du klicka på Provisioning igen till vänster och välja Mappings. Under Mappings måste du välja Provision Microsoft Entra ID Users.

Först måste du klicka på och expandera kryssrutan Visa avancerade alternativ längst ner på sidan och öppna Redigera attributlista för customappsso.

I listan Redigera attribut måste du bläddra längst ned och skriva i det tomma fältet Första:

• "roller",
• lämna referens som ska vara sträng
• markera den 3:e kryssrutan till höger, som på bilden:

Tryck sedan på Save högst upp så kommer du tillbaka till Attribute Mapping.

Nu måste du välja Add New Mapping under Attribute Mappings.

• Typ av kartläggning: Uttryck
• Uttryck: AssertivAppRoleAssignmentsComplex([appRoleAssignments])
• Standardvärde: "lämna tomt"
• Målattribut: roller
• Matchande föremål: Nej
• Tillämpa denna kartläggning: Alltid

Tryck på OK längst ner på sidan.

• Skapa/ändra användarrollen i GoBright

Nästa steg är att skapa/ändra GoBright User Role.

Gå till GoBright , tryck på fliken Inställningar, tryck på Användare och välj Roller i den vänstra panelen.

Om du behöver skapa en ny användarroll som ska användas som en SCIM-roll kan du trycka på knappen Add för att skapa en ny användarroll.

Eller så kan du välja en redan skapad användarroll och ändra SCIM Matching.

För att aktivera SCIM-matchningen måste du bläddra ner till botten av den roll du skapar / ändrar och markera rutan under SCIM som säger Enable Role Matching.

När detta är aktiverat måste du välja ett matchande värde (roll med ett nummer, t.ex. 001).

Det värde som du väljer här måste komma ihåg under vilken användarroll namnet sparades eftersom rollvärdet måste motsvara den roll som valts i SCIM Azure Enterprise Application för den valda användaren eller gruppen (nästa punkt).

De värden som du väljer i det här steget motsvarar de roller som du skapade i de föregående stegen i App Registration.

• Mappning av en roll till en användare eller en grupp i SCIM

Det sista steget är att lägga till rollen för en användare eller en grupp som du vill ha rollmappning för.

Du måste öppna SCIM Enterprise Application i Azure/Entra och gå till Användare och grupper från den vänstra sidopanelen.

Markera med kryssrutan framför namnet en användare eller en grupp som du vill lägga till en viss roll till och välj Edit Assignment i den övre panelen.

På fliken Redigera uppdrag måste du välja alternativet Välj en roll där det står Ingen vald och välja en roll från panelen till höger.

OBSERVERA att denna roll motsvarar användarrollen i GoBright och matchar det värde som du valde för den användarrollen.

När rollen är vald kan du trycka på Assign längst ner och nästa gång Provisioning körs kommer gruppen eller användaren att uppdateras/skapas med den roll i GoBright som du matchade med rollen i SCIM.

För flera användarroller i GoBright för en viss grupp av användare måste du skapa flera grupper och mappa dem till motsvarande matchade roller i GoBright.

SCIM har inte möjlighet att tilldela flera roller för en enskild användare eller grupp.

Nu när du har konfigurerat applikationen är det också mycket viktigt att kontrollera om den faktiska provisioneringen har startat.

Du kan göra det genom att gå till översikten över din skapade SCIM-applikation.

Gå till fliken Provisioning till vänster och du kommer att se alternativet att starta, stoppa eller starta om provisioneringen.

Tillhandahållande på begäran

Om du vill testa SCIM efter installationen och du vill testa för en eller ett par användare, är det bästa sättet att göra detta via funktionen Provision on Demand i Provisioning.

Detta kan göras innan Provisioning börjar användas för testning.

När du Provision on Demand en användare kan du behöva vänta cirka 5 minuter innan användaren dyker upp i GoBright, det finns ett fast synkroniseringsintervall var 5:e minut för att kontrollera om det finns nya användare.

Du kan komma åt provisioneringen på grundsidan i SCIM Enterprise Application som det tredje alternativet i den vänstra panelen.

När du klickar på den kommer du att ge dig möjlighet att söka efter en användare eller grupp. Använd inte detta för grupper eftersom det kommer att misslyckas, gör bara användare en efter en.

När du har valt användaren trycker du på knappen Provision längst ner så försöker systemet provisionera användaren. Det kommer antingen att vara framgångsrikt, misslyckat eller hoppat över. För Failure finns det en förklaring till varför det misslyckades i felmeddelandet.

Därefter har du möjlighet att göra om provisioneringen eller att provisionera ett annat objekt.