SCIM in Microsoft Entra ID einrichten

Verfügbar ab Version: 8.10

Benötigte Berechtigungen: IT Admin

SCIM ist ein Akronym für System for Cross-Domain Identity Management.

Das ist eine Standardmethode, die verwendet wird, um Benutzerinformationen automatisch bereitzustellen.

Im Gegensatz zum Directory Sync werden Informationen nicht aktiv angefordert, sondern automatisch bereitgestellt, sobald sich Änderungen an den übertragenen Informationen ergeben.

SCIM bietet die folgenden Vorteile:

  • empower® benötigt keine Zugriffsrechte auf das Benutzerverzeichnis.

  • Die Filter werden direkt im Verzeichnisdienst verwaltet.

  • Der Verzeichnisdienst wird nicht regelmäßig geladen, solange keine Änderungen vorgenommen werden.

Wichtig

Bevor Sie Microsoft Entra ID für die Verwendung von SCIM als Bereitstellungsmethode einrichten, muss die App-Registrierung in Microsoft Entra ID ausgeführt werden.

Verwenden Sie für diese App-Registrierung das von empower bereitgestellte Skript. Folgen Sie hierzu den Anweisungen auf der folgenden Seite:

Skript für die App-Registrierung in Microsoft Entra ID 

Stellen Sie sicher, dass die Einstellung useSCIM auf true gesetzt ist.

Die App-Registrierung für SCIM anpassen

Um SCIM verwenden zu können, muss die bestehende App-Registrierung angepasst werden.

Für SCIM ist ein anderes Set an Berechtigungen in der App-Registrierung erforderlich als für den Directory Sync.

Wenn Sie das von empower bereitgestellte Skript verwende haben, um die App-Registrierung auszuführen, und wenn Sie die Einstellung useSCIM auf true gesetzt haben, sollten die Berechtigungen nach Ausführung des Skripts bereits korrekt gesetzt sein.

Wichtig

Die App-Registrierung muss vor der Installation des empower® Backends ausgeführt werden.

Um zu überprüfen, ob die Berechtigungen korrekt gesetzt wurden, gehen Sie wie folgt vor:

  1. Wählen Sie unter App registrations die App-Registrierung aus, die Sie für empower® erstellt haben.

  2. Navigieren Sie zum Tab API permissions.

  3. Prüfen Sie unter Configured Permissions, ob die Berechtigung User.Read mit dem Typ Delegated ist.

    1. Wenn zusätzliche Berechtigungen gesetzt sind, entfernen Sie diese.

Wichtig

Prüfen Sie die Berechtigungen vor Installation des empower® Backends.

Wenn Sie nicht in der empower® Cloud hosten, können Sie dann mit der Installation des empower® Backends fortfahren.

Für weitere Informationen zur Installation des empower® Backends siehe Das empower® Backend installieren (Version >= 9.7).

Wenn Sie in der empower® Cloud hosten, kümmert sich der empower® Support um die Backend-Installation.

Anmerkung

Die Benutzeroberfläche im Azure-Portal kann sich jederzeit ändern. Wenn Sie sich bei einem Aspekt unsicher sind, konsultieren Sie die Microsoft-Dokumentation.

Die obenstehenden Anweisungen beziehen sich auf die englische Benutzeroberfläche im Azure-Portal.

Weitere Einstellungen für SCIM anpassen

Nachdem die App-Registrierung ausgeführt wurde und das empower® Backend installiert wurde, müssen weitere Einstellungen in Microsoft Entra ID vorgenommen werden.

Wichtig

Die folgenden Einstellungen dürfen erst angepasst werden, nachdem das empower® Backend installiert wurde.

Um diese Anpassungen vorzunehmen, gehen Sie wie folgt vor:

  1. Navigieren Sie zur anwendungsspezifischen Übersicht.

  2. Öffnen Sie den Tab Provisioning.

  3. Wählen Sie in dem Drop-Down-Menü neben Provisioning Mode die Option Automatic aus.

    Das ist die empfohlene Einstellung. Ihre Einstellung kann je nach Vorgaben Ihres Unternehmens variieren.

  4. Geben Sie in dem Eingabefeld neben Tenant URL die URL für den SICM-Endpunkt ein.

    Dieser Endpunkt wurde während der Installation des empower® Backends generiert.

    Sie liegt im folgenden Format vor:

    https://[DNS-NAME]/empower/scimapi/scim  

    Ersetzen Sie den Platzhalter für den DNS-Namen. Wenn Sie in der empower® Cloud hosten, wird der DNS-Name von empower® bereitgestellt.

  5. Geben Sie in den Eingabefeld neben Secret Token das Token ein, das während der Installation des empower® Backends generiert wurde.

  6. Um die Verbindung zu testen, klicken Sie auf den Button Test Connection.

    Wenn der Test fehlschlägt, erscheint eine Fehlermeldung.

    1. Wenn der Test fehlschlägt, prüfen Sie die Werte und korrigieren Sie sie, wenn nötig.

  7. Wenn der Test erfolgreich ist, klicken Sie auf den Button Save.

Ihre Enterprise Application inklusive App-Registrierung sollte nun für SCIM eingerichtet sein.

Anmerkung

Die Benutzeroberfläche im Azure-Portal kann sich jederzeit ändern. Wenn Sie sich bei einem Aspekt unsicher sind, konsultieren Sie die Microsoft-Dokumentation.

Die obenstehenden Anweisungen beziehen sich auf die englische Benutzeroberfläche im Azure-Portal.

Mappings für SCIM anpassen

Um SCIM einzurichten, müssen die Attribut-Mappings angepasst werden.

In dem Bereich Mappings gibt es zwei Attribut-Mappings: Eins für Benutzer und eins für Gruppen. Um empower® zu verwenden, muss das Standard-Mapping für Benutzer angepasst werden.

Gehen Sie hierzu wie folgt vor:

  1. Klicken Sie im Bereich Manage Provisioning und Provisioning auf den Button Edit Mappings.

  2. Klicken Sie dann im Bereich Mappings auf den Link Provision Azure Directory Users.

  3. Tauschen Sie die Zuordnung von externalId und objectId.

    Als Standardwert für externalId wird normalerweise ein E-Mail-Präfix verwendet.

    1. Klicken Sie hierzu für die jeweilige Zuordnung auf den Button Edit.

    2. Setzen Sie dann objectId als Quellattribut und externalId als Zielattribut.

    3. Klicken Sie auf den Button Ok.

  4. Schalten Sie nach dieser Konfiguration den Provisioning Status auf An.

  5. Um den Entra ID-Bereitstellungsdienst zu aktivieren, klicken Sie auf den Button Save.

Anmerkung

Die Benutzeroberfläche im Azure-Portal kann sich jederzeit ändern. Wenn Sie sich bei einem Aspekt unsicher sind, konsultieren Sie die Microsoft-Dokumentation.

Die obenstehenden Anweisungen beziehen sich auf die englische Benutzeroberfläche im Azure-Portal.

War dieser Beitrag hilfreich?

/

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.