Introductie
In deze handleiding leer je hoe je de Azure SCIM-client voor je Workspace-omgeving instelt. We raden aan om geautomatiseerde gebruikersprovisioning via SCIM buiten kantooruren in te stellen en te activeren.
Voordat je begint, lees het inleidende artikel voor de vereisten, beperkingen en benodigdheden.
Instructies
Stap 1. SCIM API inschakelen in Workspace
In deze stap moeten we de SCIM API in Workspace inschakelen. Het inschakelen van de API genereert een SCIM API-toegangstoken (API-sleutel). Dit is nodig voor authenticatie tussen Workspace en Microsoft Entra ID (voorheen Azure AD).
Ga naar de beheerinstellingen van Workspace.
Navigeer naar Gebruikers & groepen.
Selecteer Gebruikersprovisioning.
Kies Automatische gebruikersprovisioning (SCIM) als methode voor gebruikersprovisioning.
Zorg ervoor dat het vakje 'Synchronisatie inschakelen met SCIM' is aangevinkt. We raden aan om de synchronisatie ingeschakeld te houden.
Kies een Standaardstatus voor gesynchroniseerde gebruikers. Let op, dit heeft invloed op de maandelijkse factuur, die gebaseerd is op actieve gebruikers. Voor meer informatie, zie Over facturering en facturatie.
Inactief: gebruikers worden standaard als inactief gemarkeerd, je moet ze handmatig activeren na synchronisatie.
(Aanbevolen) Actief: gebruikers worden standaard als actief gemarkeerd en kunnen direct de workspace gebruiken.
Klik op Gereed.
Een dialoogvenster 'API-sleutel gegenereerd' wordt getoond. Kopieer de API-sleutel. Deze sleutel wordt slechts eenmaal getoond.
Noteer de API-sleutel. We hebben dit nodig in de volgende stap.
Stap 2. SCIM-client instellen in Azure
Ga naar Microsoft Entra ID.
Navigeer naar Enterprise-applicaties.
Klik op Nieuwe applicatie.
Klik op Create your own application (Maak je eigen applicatie).
Vul de naam van de app in, bijvoorbeeld "Workspace 365 SCIM sync".
Selecteer Integrate any other application you don't find in the gallery (Non-gallery).
Klik op Creeer.
In het menu aan de linkerkant, onder Beheer, klik op Provisioning.
Klik op Get started.
Selecteer de 'Provisioning Mode' op Automatic.
Vul onder 'Tenant URL' de SCIM API URL in. Gebruik het volgende formaat:
Vul onder Secret Token' het toegangstoken in.
Het toegangstoken wordt opgehaald uit de laatste stap in stap 1 "SCIM API in Workspace inschakelen".
Klik op Test Connection. De Azure SCIM Client zal proberen verbinding te maken met de opgegeven URL en toegangstoken en zal het resultaat melden met een notificatie.
Opmerking: Als de verbinding mislukt (403-fout), controleer dan of SCIM is ingeschakeld in de beheerinstellingen van Workspace en/of zorg ervoor dat de sleutel geldig is. Probeer het daarna opnieuw.
Klik op Save.
Ga terug naar de sectie Provisioning.
Klik op Edit provisioning.
Onder **'Mappings'** klik op **Provision Microsoft Entra ID Users**.
Scroll naar beneden naar de onderkant van de pagina en vink het vakje Show advanced options aan.
Klik op de link Review your schema here onderaan de pagina.
Vervang het schema door ons aangepaste schema, dat het schema.json-bestand is. Je kunt dit doen door de inhoud van ons schema.json-bestand te kopiëren en deze in het schemabewerkingsvenster te plakken.
Download: Schema.json
Wachtwoord: qQNNbccGwkZj
Klik op Save. Je zou "Schema updated successfully" moeten zien.
Ververs de pagina.
Ga terug naar de pagina Provisioning.
Onder Manage provisioning, klik op Edit attribute mappings.
Selecteer Mappings.
Kies uit de drop-down lijst Provision Azure Active Directory Users.
Controleer of de 'Attribute Mappings' overeenkomen met de schermafbeeldingen die hieronder zijn afgebeeld.
Onder 'Mappings' klik op Provision Azure Active Directory Groups.
Controleer of de 'Attribute Mappings' eruitzien zoals op de onderstaande screenshot.
Stap 3. Definieer de gebruikersscope
Je kunt ervoor kiezen om alle gebruikers en/of groepen van Microsoft Entra ID naar Workspace te synchroniseren, of slechts geselecteerde (toegewezen) gebruikers en/of groepen.
Ga naar de SCIM enterprise-applicatie.
Selecteer Provisioning.
Klik op Edit provisioning.
Onder 'Instellingen' selecteer je de scope.
(AANBEVOLEN) Sync only assigned users and groups. Alleen gebruikers en groepen die zijn toegewezen aan de SCIM-scope (geconfigureerd in de volgende stap) worden gesynchroniseerd met de workspace.
Sync all users and groups. Alle gebruikers en groepen aanwezig in Microsoft Entra ID worden gesynchroniseerd. Let op dat dit de prestaties kan beïnvloeden, afhankelijk van de grootte van je Entra ID.
(OPTIONEEL) Indien gewenst kun je 'Send an email notification when a failure occurs' (Stuur een e-mailmelding bij een fout) en/of 'Prevent accidental deletion' (Voorkom per ongeluk verwijderen) aanvinken. Geen van beide opties is vereist voor de werking van de SCIM-synchronisatie.
Klik op Opslaan.
Stap 4. Het beheren van de gebruikersscope vanuit Microsoft Entra ID
Als je SCIM is ingesteld op de aanbevolen instelling 'Sync only assigned users and groups', moet je de scope van gebruikers en groepen die gesynchroniseerd moeten worden definiëren.
Ga naar de SCIM enterprise-applicatie.
Selecteer Gebruikers en groepen.
Klik op + Toevoegen gebruiker/groep.
Klik op Geen geselecteerd, dit opent een menu aan de rechterkant van je scherm.
Zoek en selecteer de gebruikers en/of groepen die je aan de SCIM-scope wilt toevoegen.
We raden aan om de SCIM-scope in te stellen met behulp van groepen in plaats van individuele gebruikers.
Klik op Selecteren.
Klik op Toewijzen. De geselecteerde gebruiker (en/of groepen) zijn nu toegewezen aan de SCIM enterprise-applicatie.
Je kunt op Vernieuwen klikken in de sectie 'Provisioning' om te zien of je de juiste gebruiker (en/of groepen) hebt toegewezen.
Geneste groepen
Geneste groepen moeten afzonderlijk aan de SCIM-scope worden toegevoegd. Als alleen de overkoepelende groep aan de scope is toegevoegd, zal SCIM's automatische synchronisatie eventuele geneste groepen synchroniseren, maar gebruikers in de geneste groepen zullen niet worden toegevoegd aan de overeenkomstige groepen in de Workspace. Provision on demand zal niet werken voor groepen die niet in de scope zijn opgenomen.
Om ervoor te zorgen dat leden van geneste groepen worden gesynchroniseerd, volg je deze instructies:
Ga naar de SCIM enterprise-applicatie.
Selecteer Gebruikers en groepen.
Klik op + Toevoegen gebruiker/groep.
Klik op None selected onder 'Gebruikers en groepen'.
Zoek naar de geneste groepen en selecteer ze. Deze groepen moeten afzonderlijk verschijnen onder 'Geselecteerde items'.
Klik op Select.
Klik op Assign.
Stap 5. Start automatische gebruikersprovisioning
De SCIM-applicatie en de scope zijn gedefinieerd, wat betekent dat de synchronisatie nu kan worden gestart.
Ga terug naar de Provisioning-pagina.
Klik op Start provisioning.
Na de eerste synchronisatie zal SCIM automatisch elke 40 minuten draaien en eventuele gedetecteerde wijzigingen verwerken. Dit interval kan niet worden gewijzigd. Je kunt de auditlogs in Azure controleren om te zien of de gebruikersprovisioning is geslaagd.
Provision on demand
Je kunt geforceerd gebruikers provisionen (synchroniseren) voor maximaal 5 gebruikers tegelijk. Voor nieuwe gebruikers zal dit altijd werken, voor bestaande gebruikers moet een attribuut dat we synchroniseren worden gewijzigd (d.w.z. SCIM moet een wijziging detecteren die moet worden gesynchroniseerd).
Ga naar de SCIM enterprise-applicatie.
Selecteer Provisioning.
Klik op Provision on demand.
Je hebt twee opties:
Zoek naar een groep en selecteer 5 leden binnen deze groep.
Zoek naar en selecteer 5 gebruikers.
Klik op Provision.
Azure zal aangeven of en waarom de provisioning succesvol was of niet.
Stap 6. Deactiveer de synctool (OPTIONEEL)
Als je eerder onze Azure AD-synctool gebruikte om gebruikers van Azure naar de Workspace te synchroniseren, kun je deze verwijderen zodra je hebt geverifieerd dat de SCIM-synchronisatie correct werkt. Na het wijzigen van de gebruikersprovisioningmethode naar SCIM tijdens Stap 1, "luistert" de Workspace niet langer naar de synctool.