SCIM-Verzeichnisintegration mit Microsoft Entra ID

Voraussetzungen

• Führen Sie die Schritte aus, die im Supportartikel zur SCIM-Verzeichnisintegration beschrieben sind, um ein neues SCIM-Benutzerverzeichnis in Ihrem Kandji Mandanten einzurichten. Sie müssen das SCIM-Zugriffstoken und die API-URL abrufen.

• Kopieren und speichern Sie das bereitgestellte Token, das im Artikel SCIM-Verzeichnisintegration beschrieben wird. Sobald Sie auf Fertig klicken, ist das Token nicht sichtbar und wird in einem späteren Schritt benötigt.

• Überprüfen Sie unbedingt die unterstützten Benutzer- und Gruppenattribute, die in der SCIM-Verzeichnisintegration aufgeführt sind.

• Stellen Sie sicher, dass geschachtelte Gruppen nicht in SCIM enthalten sind, da Microsoft diese Funktion nicht unterstützt.

Erstellen der SCIM-Integration in Microsoft Entra ID

1. Melden Sie sich beim Microsoft Entra Admin Center an.

2. Öffnen Sie das Portalmenü, und wählen Sie dann Entra ID aus.

3. Wählen Sie im Menü Entra ID unter Unternehmens-Apps aus.

4. Wählen Sie im Abschnitt Verwalten die Option Alle Anwendungen aus.

5. Wählen Sie Neue Anwendung aus. Wenn Sie bereits eine SAML-Anwendung für einmaliges Anmelden erstellt haben, können Sie diese Anwendung auswählen und SCIM hinzufügen.  

6. Wählen Sie Eigene Anwendung erstellen aus.

7. Geben Sie der Anwendung einen Namen.

8. Wählen Sie Alle anderen Anwendungen integrieren, die Sie nicht in der Galerie finden (Nicht-Galerie).

9. Klicken Sie auf Erstellen.

10. Sie gelangen auf die Übersichtsseite für die neu erstellte App.

11. Wählen Sie unter Verwalten die Option Bereitstellung aus.

12. Klicken Sie auf Neue Konfiguration.

13. Fügen Sie die Kandji SCIM-API-URL, die Sie zuvor kopiert haben, in das Feld Mandanten-URL ein.

14. Fügen Sie das API-Token, das Sie zuvor kopiert haben, in das Feld Geheimes Token ein.

15. Klicken Sie auf Verbindung testen. Es sollte eine Benachrichtigung über den erfolgreichen Test angezeigt werden.

16. Klicken Sie auf Erstellen.

17. Klicken Sie im Abschnitt Verwalten auf Provisioning .
    

18. Erweitern Sie das Einblendendreieck "Zuordnungen", und stellen Sie sicher, dass sowohl "Gruppen" als auch "Benutzer" aktiviert sind.
    

19. Erweitern Sie das Einblendendreieck "Einstellungen ".

20. Wählen Sie für Scope (Bereich) die Option Nur zugewiesene Benutzer und Gruppen synchronisieren (Nur zugewiesene Benutzer und Gruppen synchronisieren) aus.

21. Legen Sie den Bereitstellungsstatus auf Ein fest.

22. Klicken Sie auf Speichern.

23. Klicken Sie auf das X in der oberen rechten Ecke, um die Einstellungen zu schließen.

Zuweisen von Benutzern und Gruppen

1. Wählen Sie unter Verwalten die Option Benutzer und Gruppen aus.

2. Wählen Sie im Menü Benutzer/Gruppe hinzufügen aus.

3. Wählen Sie im Dialogfeld Zuweisung hinzufügen den Link unter Benutzer und Gruppen aus.

4. Eine Liste der Benutzer und Sicherheitsgruppen wird angezeigt. Sie können nach einem bestimmten Benutzer oder einer bestimmten Gruppe suchen oder mehrere Benutzer und Gruppen auswählen, die in der Liste angezeigt werden.

5. Wählen Sie den/die Benutzer(n) und die Gruppe(n) aus, die Sie zuweisen möchten.

6. Klicken Sie auf Auswählen. Wenn die folgende Meldung angezeigt wird, bedeutet dies, dass ein kostenloser Tarif verwendet wird, was bedeutet, dass Sie der SCIM Enterprise-App nur Benutzer (keine Gruppen) hinzufügen können.

7. Wählen Sie Zuweisen aus, um die Zuweisung von Benutzern und Gruppen zur App abzuschließen.

8. Vergewissern Sie sich, dass die Benutzer und Gruppen, die Sie hinzugefügt haben, in der Liste Benutzer und Gruppen angezeigt werden.

Betrachtungen

AD CS-Zuordnung starker Zertifikate

Bei Verwendung der Active Directory-Zertifikatdienste (Active Directory-Zertifikatdienste, AD CS) tritt bei der Authentifizierung ein Fehler auf, wenn ein Zertifikat nicht stark einem Active Directory-Konto zugeordnet werden kann. Führen Sie die folgenden Schritte aus, um die starke Zertifikatzuordnung für Ihre Verzeichnisintegration zu aktivieren.

Greifen Sie auf Ihre SCIM-App zu

1. Wechseln Sie zum Microsoft Entra ID Admin Portal.

2. Navigieren Sie zu Anwendungen > Unternehmensanwendungen.

3. Finde und öffne die SCIM-App, die du mit Kandji verwendest

Konfigurieren der Bereitstellung

1. Klicken Sie unter Verwalten auf Bereitstellung

2. Klicken Sie unter Verwalten auf Attributzuordnung (Vorschau)

3. Wählen Sie Microsoft Entra ID-Benutzer bereitstellen aus.

Hinzufügen des Sicherheits-ID-Attributs

1. Scrollen Sie zum Ende der Seite

2. Aktivieren Sie das Kontrollkästchen, um erweiterte Optionen anzuzeigen

3. Klicken Sie auf Attributliste für <customappsso bearbeiten>

4. Fügen Sie ein neues Feld mit dem Namen onPremisesSecurityIdentifierhinzu, wobei der Standardtyp Zeichenfolge ist.

5. Klicken Sie auf Speichern

Zuordnen des Attributs

1. Kehren Sie zum Abschnitt Attributzuordnung zurück

2. Scrollen Sie nach unten und klicken Sie auf Neue Zuordnung hinzufügen

3. Behalten Sie die Einstellung des Zuordnungstyps auf Direkt bei

4. Legen Sie das Attribut Quelle aufonPremisesSecurityIdentifier

5. Setzen Sie das Attribut "Ziel" aufonPremisesSecurityIdentifier

6. Klicken Sie auf OK und dann auf Speichern

Diese onPremisesSecurityIdentifier werden nach der nächsten Entra SCIM-Synchronisierung (alle 20-40 Minuten) in Ihren Benutzerattributen in Kandji angezeigt.

Zeitlich übereinstimmend

Die Benutzersynchronisierung erfolgt in eine Richtung, d. h. die Microsoft Entra ID SCIM-App sendet Benutzerinformationen nur dann an Kandji , wenn neue Informationen benötigt werden. Wenn ein Benutzer oder eine Gruppe der SCIM-App in Microsoft Entra ID hinzugefügt wird, nachdem die App erstellt wurde, erfolgt alle 40 Minuten eine Synchronisierung (festgelegt durch Microsoft Entra ID). Wenn Sie möchten, dass die Synchronisierung früher erfolgt, können Sie die Bereitstellung in der SCIM-App auf der Microsoft Entra ID stoppen/starten. Dies hat keine Auswirkungen auf bestehende Benutzer/Gruppen in Kandji.

Entfernen von Benutzern

• Wenn Entra ID eine Verwendung auf inaktiv setzt, wird der Benutzer in Ihrem Kandji Mandanten als inaktiv gesetzt.

• Wenn die Entra ID einen Benutzer löscht, wird der Benutzer aus Ihrem Kandji Mandanten gelöscht.

Bedingte Logik für Blaupausen

Wenn Sie Assignment Map bedingte Logik mit Gruppen verwenden, müssen Sie jede Gruppe, die Sie in Kandji bereitstellen möchten, explizit zur SCIM-App hinzufügen. Gruppen werden nicht automatisch synchronisiert, indem Benutzer hinzugefügt werden, die zufällig Mitglieder der Gruppe sind.

Konformität von Microsoft-Geräten

Wenn Sie eine Entra ID SCIM-Benutzerverzeichnisintegration und die Microsoft Device Compliance-Integration verwenden, stellen Sie sicher, dass die Benutzer- und Gruppenattributzuordnungen für das externalId-Attribut in Ihrer SCIM-Anwendung der objectId zugeordnet werden, wie unten aufgeführt. Die objectId wird von Kandji verwendet, um Benutzer- und Gruppenressourcen in Intune zuzuordnen.

Aktualisieren von Benutzerzuordnungen und Gruppenzuordnungen

1. Navigieren Sie im Microsoft Entra Admin Center zur SCIM-Unternehmensanwendung.

2. Wählen Sie Bereitstellung aus.

3. Wählen Sie den Abschnitt Attributzuordnung (Vorschau) aus.

4. Wenn Sie Benutzerattribute aktualisieren, klicken Sie auf Microsoft Entra ID-Benutzer bereitstellen.

5. Wenn Sie Gruppenattribute aktualisieren, klicken Sie auf Microsoft Entra ID-Gruppen bereitstellen.

   

6. Stellen Sie sicher, dass externalId objectId zugeordnet ist.

7. Ist dies nicht der Fall, klicken Sie auf die Schaltfläche Bearbeiten rechts neben dem Attribut und wählen Sie objectId aus der Liste aus.

8. Klicken Sie auf Speichern.

9. Klicken Sie auf das X , um zurückzugehen.

   

10. Wenn Sie wieder auf der Übersichtsseite für die Bereitstellung sind und Werte geändert wurden, müssen Sie die aktualisierten Werte sofort an Kandji übertragen, indem Sie den Bereitstellungsdienst stoppen und dann wieder starten.

11. Klicken Sie auf die Schaltfläche Bereitstellung anhalten .

12. Klicken Sie auf die Schaltfläche Bereitstellung starten .