Fragen? Wir haben die Antworten.

Suche

  1. MindBridge: German (Germany)
  2. Erste Schritte
  3. Lernen Sie die Grundlagen
  4. Verwalten Sie Ihr MindBridge-Konto

Implementierung der Benutzerbereitstellung aus Azure Active Directory unter Verwendung von SCIM

  • Aktualisiert

Zusammenfassung

Azure AD kann Benutzer in Ihrem MindBridge-Mieter automatisch mithilfe einer ausgehenden SCIM-Integration erstellen. SCIM ist ein Protokoll zum automatischen Erstellen, Deaktivieren und Löschen von Benutzern.

Voraussetzungen

Gehen Sie zunächst die Schritte in Implement Single Sign-On (SSO) durch, einschließlich des Abschnitts zur Implementierung zusätzlicher Sicherheitsbeschränkungen. Insbesondere sollten alle Ihre Benutzer in der Lage sein, sich mit der Microsoft-Schaltfläche anzumelden.

Alle Benutzer sollten eine E-Mail-Adresse haben, die mit ihrem Azure AD-Konto verknüpft ist.

Sie sollten eine Sicherheitsgruppe in Azure AD für reguläre MindBridge-Benutzer und eine zweite für MindBridge App-Administratoren einrichten. Füllen Sie die Gruppen mit einigen Benutzern zum Testen. Jeder MindBridge-Benutzer sollte nur in einer dieser Gruppen sein.

  • Verschachtelte Gruppen werden von der Azure AD-Bereitstellung nicht unterstützt; alle Benutzer müssen direkte Mitglieder einer dieser Gruppen sein.
  • Dynamische Gruppen werden unterstützt. 

Kontaktieren Sie Ihren Kundenbetreuungsmanager (CSM), um API-Zugriff für Ihren MindBridge-Mieter zu aktivieren.

Überprüfen Sie die Microsoft-Anleitung zur Anwendungsbereitstellung für Hintergrundinformationen.

Erstellen eines API-Tokens für SCIM

  1. Melden Sie sich als App-Admin bei Ihrem MindBridge-Mieter an.
  2. Wählen Sie in der Seitenleiste ( Sidebar_open-close_icon.svg ) auf der linken Seite Admin ( Admin_icon.svg ) und gehen Sie dann zur API Registerkarte.
  3. Wählen Sie Token erstellen.mceclip7.png

  4. Geben Sie dem Token einen Namen, wie SCIM 2023-06-30.
  5. Wählen Sie ein Ablaufdatum.
  6. Unter Berechtigungen, wählen Sie SCIM.mceclip8.png

  7. Wählen Sie Token erstellen und kopieren Sie das Token in Ihren Passwort-Manager. Sie werden es im nächsten Schritt benötigen.
Tipp: Wir empfehlen, eine Gruppen-Kalendererinnerung zu erstellen, um das Token zu erneuern. Sie können einen Link zu diesem Artikel in die Ereignisbeschreibung aufnehmen.

Erstellen einer Unternehmensanwendung für die Bereitstellung

  1. Gehen Sie in Azure AD zu Enterprise-Anwendungen > Hinzufügen > Unternehmensanwendung.
  2. Wählen Sie die Option Erstellen Sie Ihre eigene Anwendung. mceclip4.png

  3. Geben Sie einen Namen wie "MindBridge-Bereitstellung" ein und wählen Sie die nicht-galerie Integrationsoption.
  4. Klicken Sie auf Erstellen.
    mceclip5.png
     
  5. Nachdem sie erstellt wurde, gehen Sie unter Verwalten (links) zu Bereitstellung  und wählen Sie Erste Schritte.mceclip6.png

  6. Ändern Sie den Bereitstellungsmodus auf Automatisch.
  7. Setzen Sie die Mieter-URL auf die URL Ihres MindBridge-Mieters, plus /scim/v2.
    Beispielsweise, wenn Ihre Mieter-URL https://exampletenant.mindbridge.ai ist, verwenden Sie https://exampletenant.mindbridge.ai/scim/v2.
  8. Setzen Sie das geheime Token auf das Token, das Sie im vorherigen Schritt generiert haben.mceclip9.png
  9. Wählen Sie Verbindung testen.
    mceclip10.png

  10. Speichern.
    Zwei neue Abschnitte für Zuordnungen und Einstellungen werden auf demselben Bildschirm angezeigt.

Deaktivieren der Gruppenbereitstellung

  1. Erweitern Sie Zuordnungen.mceclip11.png

  2. Deaktivieren Sie die Option zur Bereitstellung von Azure Active Directory Gruppen, indem Sie sie auswählen und den Aktiviert-Schalter auf Nein ändern.
  3. Speichern Sie die Attributzuordnung.mceclip14.png

  4. Klicken Sie auf die Schaltfläche Schließen, um zum Bereitstellungsbearbeitungsbildschirm zurückzukehren.
    Die Zuordnungen sollten wie folgt angezeigt werden:mceclip15.png

Konfigurieren der Benutzerbereitstellung

  1. Bearbeiten Sie die Einstellungen für "Azure Active Directory-Benutzer bereitstellen", um die displayName Attributzuordnung zu löschen. Es wird von MindBridge nicht verwendet.mceclip17.png

  2. Wählen Sie unten auf dem Bildschirm das Kontrollkästchen Erweiterte Optionen anzeigen.
  3. Klicken Sie auf den Link Attributliste bearbeiten für customappsso.mceclip18.png

  4. Verwenden Sie unten auf der Seite das Eingabefeld, um ein neues Attribut hinzuzufügen.
    • Name: Rollen
    • Typ: Zeichenkette
  5. Lassen Sie alle Kontrollkästchen deaktiviert.mceclip0.png

  6. Speichern, und Sie kehren zur Hauptseite der Attributzuordnung für "Azure Active Directory-Benutzer bereitstellen" zurück.
  7. Klicken Sie auf den Link Neue Zuordnung hinzufügen.
    mceclip20.png
    • Zuordnungstyp: Ausdruck
    • Ausdruck: SingleAppRoleAssignment([appRoleAssignments])
    • Standardwert, falls null: leer lassen
    • Zielattribut: Rollen
    • Objekte mit diesem Attribut abgleichen: Nein (Standard)
    • Diese Zuordnung anwenden: Immer (Standard)
  8. Klicken Sie auf Ok, um die Attributzuordnung zu speichern und zu schließen.
  9. Speichern, und klicken Sie dann auf die Schaltfläche Schließen, um zum Bereitstellungsbearbeitungsbildschirm zurückzukehren. 

Abschließen der Bereitstellungseinstellungen

  1. Wählen Sie unter Einstellungen zuerst das Kontrollkästchen, um E-Mail-Benachrichtigungen bei Fehlern zu aktivieren, und geben Sie dann eine E-Mail-Adresse an.
  2. Wählen Sie das zweite Kontrollkästchen, um die Verhinderung versehentlicher Löschungen mit einem geeigneten Schwellenwert zu aktivieren (zum Beispiel 10 Benutzer).
    Wenn das Bereitstellungssystem glaubt, dass es mehr als 10 Benutzer gleichzeitig löschen muss, wird es zuerst in einen Quarantänestatus zur Genehmigung versetzt.
  3. Lassen Sie das Scope Feld auf der Standardeinstellung, um nur zugewiesene Benutzer und Gruppen zu synchronisieren.
  4. Lassen Sie den Bereitstellungsstatus Schalter vorerst auf Aus.
  5. Speichern und schließen.

mceclip16.png

Ausblenden der Bereitstellungsanwendung für Benutzer

Die Bereitstellungsanwendung wird nicht für SSO verwendet und sollte nicht im O365-App-Launcher erscheinen. Gehen Sie in der Unternehmensanwendung zu Eigenschaften und ändern Sie den Sichtbar für Benutzer Schalter auf Nein, dann speichern.

mceclip22.png

Rollen definieren

Rollendefinitionen werden unter App-Registrierungen eingerichtet, nicht unter Unternehmensanwendungen. Um die Rollen einzurichten, gehen Sie zu Azure AD > App-Registrierungen > Alle Anwendungen und suchen Sie nach der MindBridge-Bereitstellungs-App.

mceclip23.png

Innerhalb der App-Registrierung gehen Sie zu App-Rollen, App-Rolle erstellen.

  • Anzeigename: ADMIN
  • Zulässige Mitgliedstypen: Benutzer/Gruppen
  • Wert: ADMIN
  • Beschreibung: MindBridge App-Administratoren
  • Rolle aktivieren: Aktiviert (Standard)

Wiederholen Sie den Vorgang, um eine weitere Rolle hinzuzufügen:

  • Anzeigename: ORGANIZATION_CREATOR
  • Zulässige Mitgliedstypen: Benutzer/Gruppen
  • Wert: ORGANIZATION_CREATOR
  • Beschreibung: MindBridge-Benutzer mit Berechtigung zum Erstellen neuer Organisationen.
  • Rolle aktivieren: Aktiviert (Standard)

Wiederholen Sie den Vorgang für eine dritte Rolle:

  • Anzeigename: USER
  • Zulässige Mitgliedstypen: Benutzer/Gruppen
  • Wert: USER
  • Beschreibung: MindBridge-Benutzer, die keine neuen Organisationen erstellen können.
  • Rolle aktivieren: Aktiviert (Standard)

mceclip25.png

Gruppen der Bereitstellungsanwendung zuweisen

  1. Kehren Sie zur Unternehmensanwendung zurück. Gehen Sie in Azure AD zu Unternehmensanwendungen und suchen Sie nach der MindBridge-Bereitstellungs-App.
  2. Gehen Sie in der Unternehmensanwendung zu Benutzer und Gruppen > Benutzer/Gruppe hinzufügen.
  3. Wählen Sie Ihre MindBridge App-Administratoren-Gruppe aus.
  4. Wählen Sie für die Rolle ADMIN, dann Zuweisen.
  5. Fügen Sie eine weitere Zuweisung hinzu.
  6. Wählen Sie Ihre MindBridge-Benutzergruppe aus.
  7. Wählen Sie für die Rolle eine der folgenden Optionen (alle Großbuchstaben):
    • ORGANIZATION_CREATOR, wenn alle Benutzer neue Organisationen erstellen können sollen (empfohlen);
    • USER, wenn Benutzer keine neuen Organisationen erstellen sollen.mceclip26.png
  8. Überprüfen Sie Ihre Zuweisungen.mceclip27.png

Checkliste

Bevor Sie fortfahren, bestätigen Sie, dass Sie:

  • Gruppen für MindBridge App-Administratoren und reguläre Benutzer erstellt haben. Die Gruppenmitgliedschaften müssen sich gegenseitig ausschließen (jeder Benutzer kann nur in einer von ihnen sein). Die Gruppen dürfen keine verschachtelten Gruppen enthalten.
  • Eine Unternehmensanwendung erstellt haben.
  • Die Verbindung mit "Verbindung testen" getestet haben.
  • "Azure Active Directory-Gruppen bereitstellen" deaktiviert haben.
  • "Azure Active Directory-Benutzer bereitstellen" konfiguriert haben:
    • Das Attribut "displayName" Zuordnung gelöscht haben.
    • Ein Attribut für "Rollen" hinzugefügt haben.
    • Eine Attributzuordnung für "Rollen" hinzugefügt haben.
  • App-Rollen in der App-Registrierung erstellt haben.
  • Gruppen der Unternehmensanwendung zugewiesen haben.
  • Die Anwendung unter Eigenschaften unsichtbar gemacht haben.

Bereitstellung aktivieren

  1. Gehen Sie zu Bereitstellung > Bereitstellung bearbeiten.
  2. Ändern Sie den Bereitstellungsstatus auf Ein, dann speichern.mceclip28.png
  3. Schließen Sie, um zur Hauptbereitstellungsseite zurückzukehren.
  4. Warten Sie ein paar Sekunden, dann klicken Sie auf Aktualisieren.
    Ein erfolgreicher Bereitstellungszyklus sollte gelaufen sein.
    mceclip29.png

  5. Verwenden Sie die Option, um Bereitstellungsprotokolle anzuzeigen, um Fehler zu untersuchen.
  6. Überprüfen Sie die Benutzerrollen in MindBridge (öffnen Sie die Seitenleiste, klicken Sie auf Admin ( Admin_icon.svg ), gehen Sie dann zur Benutzerverwaltung Registerkarte, um sicherzustellen, dass die richtigen Rollen zugewiesen wurden.

Fortsetzung der Gruppenpopulation

Füllen Sie Ihre MindBridge-Benutzer- und App-Admin-Gruppen mit den verbleibenden Benutzern. Stellen Sie sicher, dass jeder Benutzer nur in einer dieser Gruppen ist.

Der Bereitstellungszyklus läuft periodisch im auf der Bereitstellungsseite angezeigten Intervall. Überprüfen Sie die Protokolle nach dem nächsten Zyklus, um zu bestätigen, dass Ihre Benutzer bereitgestellt wurden.

Haben Sie noch etwas auf dem Herzen? Chatten Sie mit uns oder senden Sie eine Anfrage für weitere Unterstützung.

War dieser Beitrag hilfreich?