Dieses Dokument enthält eine ausführliche Beschreibung, darüber wie man Nutzer und Gruppen in einem bestehenden Identitätsmanagementsystem (IDM) via SCIM in SIGNL4 automatisiert bereitstellen kann.
1. Konfiguration in SIGNL4
Öffne den Menüpunkt Einstellungen und scrollen sie zur Kachel „SCIM-Nutzerbereitstellung“
Aktivieren die Option „Nutzer-/Team-Bereitstellung über SCIM aktivieren“
Drücken sie anschließend auf Speichern. Es wird nun ein API Key generiert, den du zusammen mit der SCIM-Endpunkt URL notieren und später in deinem IDM-System konfigurieren musst.
Konfigurationseinstellungen
| SIGNL4 Nutzerattribut | Beschreibung |
| Nutzer-/Team-Bereitstellung über SCIM aktivieren |
Aktiviert die automatische Nutzer-/Teambereitstellung in SIGNL4 via SCIM. Ein vorhandenes, SCIM fähiges IDM-System kann anschließend Nutzer-/Teams automatisiert in SIGNL4 anlegen, ändern und entfernen.
|
| Gruppen nicht als einzelne SIGNL4-Teams erstellen |
Wenn Gruppen im Identitätsmanagementsystem (IDM) in die SCIM-Provisionierung für SIGNL4 einbezogen werden, werden sie automatisch als Teams in SIGNL4 erstellt. Die Mitglieder dieser Gruppen werden dabei ebenfalls zu Mitgliedern der entsprechenden Teams in SIGNL4. Wenn dieses Verhalten nicht erwünscht ist, zum Beispiel, weil die vorhandenen Gruppen im IDM-System nicht sinnvoll als Teams in SIGNL4 abgebildet werden können, kann diese Option aktiviert werden.
In diesem Fall werden alle Nutzer, unabhängig von ihren Gruppenmitgliedschaften, in ein einziges Team in SIGNL4 provisioniert (Name: „SCIM-Synchronisiert“). Von dort aus können sie manuell auf Teams verteilt werden, die ausschließlich in SIGNL4 verwaltet werden.
|
| Bearbeiten von synchronisierten Telefonnummern erlauben |
Wenn diese Option aktiviert ist, können Telefonnummern von Nutzern in SIGNL4 auch manuell eingetragen werden. Dies ist dann sinnvoll, wenn zwar Telefonnummern im IDM-System vorhanden, aber nicht aktuell sind oder Nutzer sehr kurzfristig Gerätewechsel vornehmen, neue Telefonnummern aber erst nach einem längeren Prozess im IDM-System hinterlegt werden können.
|
| SCIM-Endpunkt-URL |
Dieses Feld zeigt die URL des SIGNL4-SCIM-Endpunkts an. Gib diese URL in der SCIM-Konfiguration der SIGNL4-Anwendung in deinem Identitätsmanagementsystem ein. (Siehe nächstes Kapitel) |
| SCIM-Endpunkt-Authentifizierungsschlüssel* |
Der Authentifizierungsschlüssel wird nach dem Speichern der Konfiguration generiert. Er muss zusammen mit der Endpunkt-URL in den SCIM-Einstellungen der SIGNL4-Anwendung in deinem Identitätsmanagementsystem konfiguriert werden. (Siehe nächstes Kapitel)
|
* SIGNL4 unterstützt derzeit ausschließlich die Bearer Token Authentifizierung. Der Token ist defacto unbegrenzt gültig und muss vom Administrator nach unternehmensinternen regelmäßig manuell erneuert werden.
2. Konfiguration für die Synchronisation von Nutzern/Gruppen im IDM-System am Beispiel Microsoft EntraID
Die nachfolgende Konfigurationsanleitung ist von EntraID-Administratoren auszuführen. Es wird erläutert, wie EntraID-Nutzer gruppenbasiert nach SIGNL4 synchronisiert werden können. Das Synchronisationsziel in SIGNL4 sind dabei reguläre Nutzer und wahlweise auch die Teams.
1 Enterprise Application erstellen
- Öffne EntraID und navigiere zu „Enterprise application“
- Klicke auf „New application“ um SIGNL4 als neue Application in EntraID anzulegen, zu welcher Nutzer/Gruppen übermittelt werden sollen
- In der darauffolgenden Seite klicke auf „Create your own application“
- Gebe einen Namen für die Applikation ein, z.B. „SIGNL4 PROD“ und stelle sicher das „ Integrate any other application you don't find in the gallery (Non-gallery)“ ausgewählt ist.
- Drücke nun auf „Create“ um die Application anzulegen.
2 Enterprise Application konfigurieren
Nachdem die Enterprise Application erstellt wurde, werden ihre Details angezeigt. Klicke nun im Menü auf „Provisioning“
Klicke nun auf der angezeigten „Get started“ Seite auf „Connect your application“
Trage in der danach angezeigten Seite tragen die SCIM-Endpunkt URL sowie den SCIM-Authentifizierungsschlüssel aus SIGNL4 ein. Nehmen diese Einstellungen vor:
- Select authentication method: Bearer Authentication
- Tenant URL: SCIM-Endpunkt URL
- Secret token: den SCIM-Authentifizierungsschlüssel
Durch Drücken auf die Schaltfläche „Test connection“, kannst du testen, ob EntraID prinzipiell auf den SCIM-Endpunkt von SIGNL4 zugreifen kann. Wird hierbei eine Erfolgsmeldung angezeigt, kann die Konfiguration im letzten Schritt abgespeichert werden.
3 Zu übertragene Entitäten und Attribute Mappings konfigurieren
Als nächstes kann im „Provisioning“ Menü der Enterprise Application das Mapping eingestellt werden. Es ist hierbei möglich, nur Microsoft Entra ID Users oder aber auch Microsoft Entra ID Groups nach SIGNL4 zu übertragen.
Wenn nur Users übertragen werden, wird in SIGNL4 ein zentrales Team erstellt, in die alle von EntraID empfangenen Nutzer hinzugefügt werden. Der SIGNL4 Application Owner kann diese Nutzer anschließend in eigens erstellte SIGNL4 Teams verschieben.
Wenn Nutzer und Gruppen übertragen werden, dann wird im Standardfall jede Gruppe, die von EntraID nach SIGNL4 übertragen wird, als Team in SIGNL4 angelegt und die Gruppenmitglieder auch als Teammitglieder übernommen.
Nutzermapping
-
Drücke unter Mappings auf „Provision Microsoft Entra ID Users“
- Stelle sicher das „Enabled“ aktiviert ist und passe bei Bedarf den Source Object Scope an, falls nur bestimmte Nutzer von EntraID inkludiert werden sollen
- Stelle ebenfalls sicher, dass die Target Object Actions „Create“, „Update“ und “Delete” aktiviert sind
- Die von SIGNL4 unterstützten, bzw. benötigen Nutzerattribute sind in der nachfolgenden Tabelle aufgelistet. Dort wird auch beschrieben, wie SIGNL4 den entsprechenden Wert verwendet, so dass du besser ermessen kannst, welche Microsoft Entra Objekt-Attribute du in diese von SIGNL4 unterstützen Nutzerattribute mappst
| SIGNL4 Nutzerattribut | Beschreibung | Typisches Entra ID Attribut |
| userName | Kann zur Identifikation des Nutzers herangezogen werden. Wird derzeit nicht genutzt und ist für die spätere Verwendung vorgesehen. |
userPrincipalName |
| active | Bestimmt ob der Nutzer in SIGNL4 deaktiviert ist | Switch([IsSoftDeleted], , "False", "True", "True", "False") |
| displayName | Anzeigename des Nutzers in SIGNL4 | displayName |
| emails[type eq "work"].value |
Emailadresse des Nutzers
|
|
| preferredLanguage | Anzeigesprache des SIGNL4 Web Portals für diesen Nutzer | preferredLanguage |
| phoneNumbers[type eq "mobile"].value | Telefonnummer des Nutzers die für Alarmierungen via SMS/RCS und Sprachanrufe genutzt wird. | mobile |
| externalId | Die eindeutige Objekt-ID im IDM System wird im Rahmen der SSO-Anmeldung genutzt, um diesen Nutzer identifizieren zu können | objectId |
| timezone | Die Zeitzone des Nutzers. Wenn dieses Feld nicht gemappt wird, wird sie anhand des Geräts bestimmt, welches der Nutzer bei der Anmeldung verwendet. Datenformat muss hier eine IANA Zeitzone sein. | europe/berlin |
Gruppenmapping
- Drücke unter Mappings auf „Provision Microsoft Entra ID Groups“
- Stelle sicher das „Enabled“ aktiviert ist und passe bei Bedarf den Source Object Scope an, falls nur bestimmte Nutzer von EntraID inkludiert werden sollen
- Stelle ebenfalls sicher, dass die Target Object Actions „Create“, „Update“ und “Delete” aktiviert sind
-
Die von SIGNL4 unterstützten, bzw. benötigen Nutzerattribute sind in der nachfolgenden Tabelle aufgelistet. Dort wird auch beschrieben, wie SIGNL4 den entsprechenden Wert verwendet, so dass du besser ermessen kannst, welche Microsoft Entra Objekt-Attribute du in diese von SIGNL4 unterstützen Nutzerattribute mappst
| SIGNL4 Gruppenattribut | Beschreibung | Typisches Entra ID Attribut |
| displayName | Anzeigename des Teams in SIGNL4 |
displayName |
| externalId | Dient zur eindeutigen Identifikation der Gruppe in SIGNL4 | objectId |
| members | Teammitglieder in SIGNL4 | members |
| description | Beschreibung (z.B. Zuständigkeit) des Teams in SIGNL4 | description |
5. Speichere dein Mapping um diese Konfiguration abzuschließen
Für den Fall, dass ein Attribut noch nicht am Attribute Schema definiert ist, also nicht als Mapping Ziel ausgewählt werden kann, klickst du einfach im Attribute Mapping auf „Show advanced options“ und anschließend auf „Edit attribute list for customappsso“. Anschließend können neue Attribute im Editor hinzugefügt werden, auf die dann EntraID Schema Attribute gemappt werden können.
4 Zu übertragene Gruppen auswählen
Zuletzt muss noch ausgewählt werden, welche Gruppen nach SIGNL4 übertragen werden sollen.
Einzelne Nutzer können nicht nach SIGNL4 übertragen werden, es müssen zwingend alle zu synchronisierenden Nutzer Mitglieder von Gruppen sein und diese Gruppen für die Provisionierung zugewiesen werden. Details können sie dem FAQ-Punkt 4 entnehmen.
Im Menüpunkt „Provisioning“ der Enterprise Application empfehlen wir dazu unter Settings als scope „Sync only assigned users and groups“ auszuwählen und in jedem Fall nicht sofort das gesamte Verzeichnis zu übertragen.
Klicke anschließend im Menü der Enterprise Application auf „Users and Groups“ und füge die zu übertragenen Gruppen hinzu. Im Beispiel werden hier nachfolgend 2 Gruppen übertragen, wobei ein Nutzer, Mitglied in beiden Gruppen ist.
5. SCIM Provisionierung starten
Abschließend kann die SCIM Provisionierung gestartet werden. Drücke dazu im Overview Bereich der Enterprise Application auf „Start provisioning“.
Auf der gleichen Seite kann im Bereich Provisioning Details eingesehen werden, ob die Provisionierung bereits einmal durchgelaufen ist und welche Resultate es gab.
In SIGNL4 kann finden sich, sobald Entra ID eine Übertragung durchgeführt hat, im Bereich Audits, ebenfalls Informationen zum Übertragungsvorgang und den Ergebnissen dazu in SIGNL4.
4. Konfiguration für die Synchronisation von Stakeholdern im IDM-System am Beispiel Microsoft EntraID
Die nachfolgende Konfigurationsanleitung ist von EntraID-Administratoren auszuführen. Es wird erläutert, wie EntraID-Nutzer gruppenbasiert nach SIGNL4 synchronisiert werden können. Das Synchronisationsziel in SIGNL4 sind hierbei die Stakeholder.
1. App registration
S4Stakeholder App role anlegen:
(https://entra.microsoft.com/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/AppRoles/appId/cedfd648-f378-40f8-a579-88b9da529966/isMSAApp~/false)
2. User Mapping
- Advanced options – create “roles” attribute
- Add Mapping for AssertiveAppRoleAssignmentsComplex([appRoleAssignments]) to roles
3. Group Assignment
Assign a Group with s4Stakeholder role
5. Frequently Asked Questions
1.Werden bestehende, manuell in SIGNL4 angelegte Nutzer, welche nicht im IDM-System existieren, bei der Übertragung gelöscht?
Nein, diese Nutzer bleiben erhalten. SIGNL4 lässt SCIM-fremde Teams und Nutzer im System. Es werden nur die vom IDM-System über SCIM eingestellten Nutzer/Gruppen automatisch verwaltet.
2. Werden bestehende, manuell in SIGNL4 angelegte Nutzer, welche auch im IDM-System existieren, bei der Übertragung verändert?
SIGNL4 kann bereits bestehende Nutzer erkennen und zuordnen. Diese Erkennung basiert ausschließlich auf der E-Mail-Adresse des Nutzers.
Das bedeutet, wenn es beispielsweise bereits einen Nutzer in SIGNL4 mit der E-Mail-Adresse „john.doe@company.com“ gibt und sie einen SCIM-Nutzer mappen, der als E-Mail (der Wert von „emails[type eq "work"].value“) ebenfalls „john.doe@company.com“ enthält, dann wir der bestehende Nutzer schlicht in die SCIM-Synchronisation übernommen.
Das bedeutet, dass an dem Nutzer Eigenschaftswerte mit den via SCIM erhaltenen Werten aktualisiert werden. Welche Eigenschaften das sind, hängt vom konfigurierten Mapping ab. Typischerweise betrifft das den Namen, eventuell die Sprache oder die Telefonnummer.
Es kann erforderlich sein, dass der Nutzer anschließend seine Telefonnummer neu validieren muss.
Alle anderen Nutzerdaten, wie eingeplante Schichten, etc. werden nicht verändert. Ebenso die Login-Methode des Nutzers wird nicht verändert im Rahmen der SCIM-Synchronisation.
3.Was passiert, wenn nicht genug Nutzerlizenzen in SIGNL4 vorhanden sind?
Für den Fall, dass mehr Nutzer in SIGNL4 provisioniert werden sollen als Lizenzen vorhanden sind, werden nur die Menge an Nutzern synchronisiert, die in SIGNL4 lizensiert ist. Die restlichen Nutzer werden übersprungen und nicht in SIGNL4 verarbeitet. Den Audit-Logs von SIGNL4 werden nach jeder Synchronisation detaillierte Informationen hierzu angezeigt.
4.Warum müssen Nutzer ihre Telefonnummer validieren, obwohl diese über SCIM importiert wurde?
Dies ist nötig, um die Alarmierbarkeit des Nutzers zu gewährleisten. Oftmals sind Daten im IDM-System nicht aktuell gepflegt oder der Nutzer hat auf dem Gerät eine Konfiguration, die SMS-Nachrichten blockt, etc. Auch wird die Unterstützung des jeweiligen Carriers des Nutzers seitens SIGNL4 somit sichergestellt.
5. Warum können nur Gruppen und nicht einzelne Nutzer bei SIGNL4 provisioniert werden?
Die Ursache hierfür liegt darin begründet, dass im Falle von einzelnen Nutzern nicht klar unterschieden werden kann, wann ein Nutzer
- aus dem Directory zum Löschen markiert wurde (Organisation verlassen), „soft-delete“
- temporär deaktiviert ist (z.B. Elternzeit)
- oder aber innerhalb der Organisation seine Rolle geändert hat und ihm die Applikation daher komplett entzogen werden soll
Entra ID beispielsweise sendet hier im Fall a) zunächst die gleiche Benachrichtigung an SIGNL4 wie im Fall c). Um den Nutzer nun aber im Fall c) dennoch zuverlässig und sofort von SIGNL4 zu entfernen zu können, werden die Gruppenmitgliedschaften herangezogen. Ist ein Nutzer in keiner synchronisierten Gruppe mehr vorhanden, wird er in SIGNL4 entfernt, d.h. ihm wird dann die Applikation zuverlässig entzogen.
Im Fall c) wird seitens EntraID niemals ein „final-delete“ gesendet werden, so dass dem Nutzer die Applikation niemals automatisiert entzogen werden könnte.
In diesem nachfolgenden EntraID-Beispiel wird der Nutzer „René Bormann“ nur in SIGNL4 provisioniert, wenn er in mind. einer der Gruppen „SCIM Office Management“ und „SCIM Billing“ ist. Anderenfalls wird die direkte Nutzerzuweisung von SIGNL4 verworfen.
6. Wann wird ein Nutzer in SIGNL4 entfernt, weil ihm die Applikation entzogen werden soll (z.B. Rollenwechsel in der Organisation)?
Um dem Nutzer die Applikation zu entziehen, muss er aus allen Gruppen, die in SIGNL4 provisioniert werden, entfernt werden. Ist er in keiner der Applikation zugewiesenen Gruppe mehr vorhanden, wird er aus SIGNL4 entfernt.
7. Wann wird ein Nutzer in SIGNL4 entfernt, weil er die Organisation verlassen und er im IDM-System gelöscht wurde?
Der Nutzer wird in diesem Fall aus SIGNL4 gelöscht, wenn das IDM-System diese Löschung an SIGNL4 überträgt. Im Fall von EntraID passiert dies erst nach Ablauf einer gewissen Wartezeit, um einen versehentlichen Datenverlust vorzubeugen und den Nutzer ggf. wiederherstellen zu können. Zum Zeitpunkt, an dem der Nutzer in EntraID in den Papierkorb verschoben, bzw. zum Löschen markiert wird, wird er in SIGNL4 lediglich zunächst deaktiviert.
Der Nutzer kann in diesem Zustand in SIGNL4 bereits vom Applikations-Owner (Administratoren) gelöscht, jedoch nicht bearbeitet werden. Dies kann hilfreich sein, wenn seine Nutzerlizenz bereits wieder freigegeben werden soll. Alternativ kann der Nutzer im IDM-System ggf. auch schneller endgültig gelöscht werden.
8. Erhalten aus dem IDM-System neu übertragene Nutzer automatisch Informationen von SIGNL4 und wenn ja welche?
Ja. Nutzer, die aus dem IDM-System kommend via SCIM in SIGNL4 angelegt werden, erhalten eine Einladungsemail zu dieser neuen Applikation, die ihnen ihre Organisation bereitgestellt hat.
Der Nutzer muss zudem einen Aktivierungslink anklicken, welcher sich in der E-Mail befindet, um die Bereitstellung abzuschließen. Dieser Mechanismus ist für zwei Dinge wichtig:
- Der Nutzer weiß, dass ihm eine neue Unternehmensanwendung bereitgestellt wurde und kann anschließend beginnen sie zu nutzen. Insbesondere wenn sich vorhergehende Antragsprozesse länger hinziehen, ist dies sehr nützlich.
- Der Nutzer muss einen Aktivierungslink in der E-Mail anklicken, um die Bereitstellung abzuschließen. Dieser Mechanismus dient dazu sicherzustellen, dass Zugriff auf die Email Adresse besteht und eine nicht autorisierte Person in SIGNL4 keine fremden Nutzerkonten aktivieren kann.
9. Ist es möglich, den Namen des zentralen Teams, in welches SCIM Nutzer importiert werden, umzubenennen?
Ja. Der Standardname „SCIM Synchronisiert“ kann beliebig umbenannt werden, ohne das dies die SCIM Integration beschädigt.
10. Werden Gruppen, die keine Nutzer enthalten, als leere Teams in SIGNL4 angelegt?
Nein. Leere Gruppen werden nicht als Teams angelegt. Es werden nur Gruppen als Teams angelegt, die auch Nutzer enthalten.
11. Warum werden Gruppen nicht als Feeds erstellt, sondern nur als Teams?
Aufgrund von technischen Einschränkungen ist hier keine klare Unterscheidung möglich auf welche Entity eine Gruppe im IDM-System in der Applikation gemappt werden sollte. Daher werden nur Stakeholder importiert und keine Feeds automatisiert angelegt.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.