Brukersynkronisering via Entra ID (Azure AD) og SCIM 2.0 Følg
Hva er SCIM 2.0
SCIM (System for Cross-Domain Identity Management) er en metode onVisit (5.8) bruker til automatisk synkronisering av brukere direkte fra Entra ID. På denne måten kan man benytte eksisterende grupper og enkeltbrukere i katalogen til å oppdatere brukere per firma i onVisit.
Noen av fordelene med SCIM 2.0 er:
-
Forenklet brukeradministrasjon: SCIM 2.0 gjør det mulig for organisasjoner å integrere ulike systemer og tjenester, slik at brukerdata kan opprettes, oppdateres, og slettes sentralt. Dette eliminerer behovet for manuell synkronisering av brukerdata mellom ulike systemer.
-
Standardisert format: Med SCIM 2.0 følger en standard modell for brukeridentiteter og gruppemedlemskap. Dette betyr at uavhengig av system eller leverandør, så vil dataene være konsistente.
-
Bedre sikkerhet: Når en ansatt slutter eller endrer rolle, kan endringene reflekteres umiddelbart over alle tilknyttede systemer. Dette reduserer risikoen for uautorisert tilgang.
-
Støtte for skalerbarhet: SCIM 2.0 er designet for å kunne håndtere tusenvis av brukerendringer per sekund, noe som gjør det til en løsning som kan vokse med organisasjonens behov.
-
Reduserte kostnader: Ved å eliminere manuelle prosesser og mulige feil som følge av disse, kan organisasjoner spare både tid og penger.
-
Fleksibilitet: SCIM 2.0 støtter både JSON og XML, noe som gir bedrifter fleksibilitet når det gjelder integrasjon med forskjellige systemer.
-
Bred støtte i industrien: Som en åpen standard, har SCIM 2.0 mottatt bred støtte fra mange store teknologileverandører, noe som betyr at integrasjon ofte er smidigere og mer sømløs.
Etter fullført oppsett henter onVisit automatisk informasjon fra Entra ID og gjennomfører følgende operasjoner i onVisit:
- Legger inn nye brukere
- Oppdaterer endrede brukere
- Deaktiverer brukere som har blitt fjernet eller 'Disabled'
Synkroniseringen fra Entra ID via SCIM foregår cirka en gang hvert 40. minutt, så brukere vil raskt være oppdatert i onVisit.
onVisit krever følgende felter på brukere som skal synkroniseres fra Entra ID via SCIM:
- Fornavn
- Etternavn
Ettersom SCIM-synkroniseringen ikke krever mobil eller epost, er det opp til firma selv å sørge for at brukerne har enten epost eller mobilnummer. Dersom man synkroniserer brukere som mangler både epost og mobil i Entra ID, vil de ikke motta varslinger fra onVisit.
Teknisk informasjon
SCIM-provisjonering via en 'non-Gallery' 'Enterprise Application' i Entra ID støtter kun én type autentisering: registering av en langtlevende JWT-token med provisjoneringsapplikasjonen og deretter validering av dette tokenet i onVisit.
Dermed må kunder som ønsker å bruke provisjonering via SCIM til onVisit først generere en slik token i onVisit, og deretter registrere den i provisjoneringsapplikasjonen i Entra ID. Dette er tilsvarende til å sikre APIer med en hemmelig nøkkel per applikasjon som er vanligvis brukt til APIer som ikke krever direkte brukerinteraksjon.
Den hemmelige nøkkelen er unik til kunden, privat og må ikke deles, vises fram eller publiseres. Kunden bestemmer varigheten på den hemmelige nøkkelen og kan når som helst slette eksisterende, eller opprette ny hemmelig nøkkel.
Forutsetninger for oppsett
Følgende kreves for å gjennomføre oppsett av Provisioning i Entra ID via SCIM til onVisit:
- Global Administrator og/eller Application Administrator i eget Entra ID
- Rollen Firmaadministrator (eller Administrator) i onVisit
- For å importere grupper fra Entra ID kreves det P1 eller P2-lisens på brukeren som administrerer SCIM-applikasjonen i Entra ID. Har man ikke P1/2-lisens, kan man importere enkeltbrukere eller alle ansatte i stedet for grupper.
- Dersom man allerede har en Enterprise Application for onVisit (for eksempel for SSO), anbefales det å opprette en egen Enterprise Application til provisjonering av brukere via SCIM.
Oppsett
Vi starter i Azure AD-portalen
- I menyen på venstre side velger du 'Azure Active Directory'
- Trykk deretter på 'Enterprise applications' i menyen til venstre
- Nå er du på siden 'All applications'. Øverst velger du 'New application':
- Trykk på 'Create your own application':
- I vinduet som dukker opp legger du inn navn. Bruk gjerne onVisit og navn på firmaet som skal synkroniseres. I dette tilfellet: 5802.onVisit.AdaptiveAS
- I bildet over sørger du for at det nederste valget er aktivert 'Integrate any other application you don't find in the gallery (Non-gallery)', trykk deretter på 'Create'-knappen nederst.
- Etter å ha trykket 'Create' i steget over, kommer du til applikasjonen du nettopp opprettet. Trykk på 'Provisioning' i menyen til venstre:
- I menyen til venstre under 'Manage' velger du 'Provisioning' på nytt. Deretter velger du Provisioning mode 'Automatic':
- Utvid 'Admin credentials'-feltet som dukket opp etter du gjennomførte steget over.
- I feltet Tenant URL oppgir du URL til din onVisit-side, slik: 'https://<kundenummer>.onVisit.net/onvisitservice/SCIM' hvor <kundenummer> byttes ut med nummeret på din onVisit-instans, altså siden brukerne går til for å bruke onVisit:
- Secret Token genereres og hentes fra onVisit -> Kontrollpanel -> Firma -> Rediger aktuelt firma -> Provisjoneringsnøkkel, se dokumentasjon for generering og henting av nøkkel her.
- . Lim så inn Provisjoneringsnøkkelen fra steget over i feltet Secret Token i Entra ID:
- Deretter trykker du 'Test Connection' under Secret Token-feltet. Oppe til høyre i skjermbildet skal du nå få opp melding om vellykket autorisering:
- Trykk 'Save' øverst i vinduet, deretter skal du motta tilsvarende melding:
- Etter innstillingene har blitt lagret i steget over, skal det nå ha dukket opp et 'Mappings'-felt som kan utvides. Dersom feltet ikke automatisk dukker opp kan du refreshe siden:
- Åpne 'Provision Entra ID Groups' i skjermbildet over.
- Sett denne til 'Enabled: No' og trykk deretter 'Save' og deretter 'Yes' for å godta lagringen:
- Gå tilbake til forrige skjembildet ved å trykke på krysset øverst til høyre.
Velg deretter 'Provision Microsoft Entra ID Users':
- Under Attribute Mappings trykker du på Edit-knappen for 'userPrincipalName':
- Sett 'Matching Presedence' til '2' og trykk 'OK':
- I mapping-lista under 'Microsoft Entra ID Attribute' blar du deretter ned til 'mailNickname', og trykker på Edit-knappen:
- Endre 'Source attribute' til 'objectId':
- Endre 'Match objects using this attribute' til 'Yes':
- Endre 'Matching precedence' til '1':
- Trykk 'OK' nederst på siden.
- La resten av feltene under Attribute Mapping være uendret.
Attribute Mapping skal nå se slik ut:
- Trykk deretter 'Save' etterfulgt av 'Yes' øverst på 'Attribute Mapping'-siden.
- Trykk på krysset øverst til høyre i Entra ID for å lukke 'Attribute-mapping' siden, og trykk deretter 'Overview' øverst i menyen til venstre.
- Trykk 'Start provisioning':
- Etter provisioning har blitt startet kan du trykke 'Refresh' til høyre, og deretter utvide 'View provisioning details':
- Nå er oppsettet fullført, og vi kan legge til brukere i AAD-applikasjonen vi opprettet. Under 'Manage' i menyen til venstre velger du 'Users and groups':
- Velg 'Add user/group':
- Trykk på 'None selected' under 'Users and groups':
- I feltet som dukker opp på venstre side kan du søke etter og legge til enkeltbrukere og grupper (trykk her for egen dokumentasjon til opprettelse av gruppe som kan synkroniseres til onVisit via SCIM i Azure AD):
Dersom man har P1 eller P2 lisens på brukeren som administrerer oppsettet i Azure AD vil man kunne legge til grupper i skjembildet over.
Dersom man har lavere lisens i Azure AD, kan man legge til enkeltbrukere i skjermbildet over. - Velg 'Select' i bildet over og trykk deretter 'Assign'.
- Tilbake på siden for 'Users and groups' skal grupper og brukere som du la til over nå vises:
Detaljert mapping av attributter fra Entra ID til onVisit
Det anbefales å følge guiden i sin helhet slik den fremstår over for mapping av attributter. Dersom man ønsker detaljert informasjon og oppsett følger en oversikt over mappingen av attributter under.
Attributt i Entra ID | Attributt i onVisit |
---|---|
First name* | First Name* |
Last name* | Last Name* |
Department | Department (Avdeling) |
Email** | Email** |
Mobile phone*** | Mobile (Mobil)*** |
Business phone | Phone (Telefon) |
User Principal Name | Linked account (UserPrincipalName) |
* obligatoriske felter
** der det er registrert flere epostadresser så er det alltid den som er markert som "primary" i Entra ID som benyttes
*** det er feltet Mobil som benyttes til å sende ut SMS fra onVisit
Etter oppsett er fullført - oppdatering av brukere
Kunden har tidligere hatt aktive brukere opprettet på annet vis
Dersom kunden tidligere har hatt brukere hentet på annet vis enn via SCIM må overgangen til SCIM koordineres med Support hos Adaptive for å unngå kluss i systemet med tidligere innlagte brukere når SCIM skal aktiveres. Ta kontakt med Support ved behov for assistanse i oppsett av provisjonering, eller når oppsettet for provisjoneringen er fullført. Da kan Support-teamet ordne så det blir en sømløs overgang mellom eksisterende og nye brukere fra SCIM.
Kunden er ny og har få eller ingen brukere fra før av
Dersom kunden er ny og det ikke ligger inne brukere som kan komme i konflikt med brukere provisjonert via SCIM fra Entra ID, kan kunden selv sette opp og starte provisjoneringen uten problemer. Da skal det ikke oppstå konflikter mellom brukere.
Hvor lang tid tar det før brukerne er synkronisert fra Entra ID?
Etter å ha fulgt stegene over er oppsett for SCIM fra Entra ID til onVisit fullført. Synkronisering vil nå skje ca en gang hvert 40. minutt, noe som medfører at brukere bør begynne å dukke opp i onVisit etter ca en times tid. Den første synkroniseringen etter å ha gjennomført oppsett i Entra ID med brukere kan ta opptil noen timer, avhengig av hvor mange brukere som blir synkronisert.
Når synkroniserte brukere endres i Entra ID vil endringene reflekteres i onVisit etter neste sync, man skal med andre ord kunne forvente å se endringer etter det har gått en times tid.
Dersom man har deaktivert brukere i onVisit vil ikke disse automatisk oppdateres av SCIM før det skjer en endring på brukerne i azure. Den enkleste måten å tvinge brukere til å bli sykroniserte på nytt via SCIM er ved å legge de til i en midlertidig gruppe i Entra ID, deretter kan man fjerne dem igjen. Dette vil Entra ID se på som en endring av brukerne, og dermed vil brukerne bli synkronisert ved neste kjøring av SCIM.