Du kannst die SCIM-Provisionierung zwischen Microsoft Entra ID und Haiilo konfigurieren, um deine Nutzer und Gruppen von Microsoft zu importieren.

Voraussetzungen

Bevor du beginnst, stelle sicher, dass du Folgendes hast:

• Eine erreichbare SCIM-Basis-URL https://your_haiilo_domain/api/scim/v2. Beispiel: https://example.haiilo.app/api/scim/v2.
• Die Berechtigung „Verwaltung der Benutzerverzeichnisse“ in deiner Haiilo-Plattform.
• Die Berechtigung „Application Administrator“ oder gleichwertige Rechte in Microsoft Entra ID.

1. Starte die Einrichtung eines SCIM-Benutzerverzeichnisses auf Haiilo

Du benötigst die Berechtigung „Verwaltung der Benutzerverzeichnisse“ auf Haiilo, um ein Benutzerverzeichnis einzurichten.

1. Gehe zu Administration > Benutzerverzeichnisse.
2. Wähle Verzeichnis anlegen, um ein neues Benutzerverzeichnis hinzuzufügen.
3. Gib einen Namen ein.
4. Wähle einen Typ: SCIM.
5. Aktiviere das Verzeichnis.
6. Wähle im Tab API Clients Anlegen, um ein API-Client-Paar zu erstellen.
7. Kopiere und speichere die Client-ID und das Client-Geheimnis für die spätere Verwendung. Das Client-Geheimnis wird erst nach dem Speichern generiert und ist nur einmal sichtbar.
8. Wähle Speichern, um das Benutzerverzeichnis zu speichern.

2. Erstelle eine Unternehmensanwendung in Entra ID

Du musst ein "Application Administrator" sein oder über entsprechende Berechtigungen in Microsoft Entra ID verfügen, um SCIM einzurichten.

1. Melde dich auf der Microsoft Azure Plattform an.
2. Gehe zu Enterprise-Anwendungen > Neue Anwendung.
3. Wähle Erstelle deine eigene Anwendung.
4. Gib einen Namen für diese Anwendung ein, z. B. Haiilo SCIM App.
5. Wähle Integriere jede andere Anwendung, die du nicht in der Galerie findest (Nicht-Galerie).

6. Wähle Erstellen, um die Anwendung zu erstellen.

   

3. Richte eine Bereitstellungsverbindung in Entra ID ein

1. Gehe in deiner neu erstellten Enterprise-Anwendung zu Bereitstellung > Bereitstellung.
2. Setze den Bereitstellungsmodus auf Automatisch.
3. Stelle unter Admin-Anmeldeinformationen die Authentifizierungsmethode auf OAuth2 Client Credentials Grant.
4. Fülle die Verbindungsdetails aus:
   • Tenant-URL: Deine SCIM-Basis-URL https://deine_haiilo_domain/api/scim/v2. Beispiel: https://example.haiilo.app/api/scim/v2.
   • Token-Endpunkt: Dein OAuth-Token-Endpunkt https://deine_haiilo_domain/api/oauth/token. Beispiel: https://example.haiilo.app/api/oauth/token.
   • Client-Identifier: Die Client-ID, die du aus deiner SCIM-Benutzerverzeichnis-Einrichtung in Haiilo kopiert hast.
   • Client-Geheimnis: Das Client-Geheimnis, das du aus deiner SCIM-Benutzerverzeichnis-Einrichtung in Haiilo kopiert hast.
5. Wähle Verbindung testen.
6. Wenn erfolgreich, wähle Speichern.

4. Weise Benutzer und Gruppen in Entra ID zu

1. Gehe in deiner Enterprise-Anwendung zu Benutzer und Gruppen.
2. Wähle Benutzer/Gruppe hinzufügen
3. Weise die Benutzer und/oder Gruppen zu, die Entra ID in Haiilo bereitstellen soll.

5. Konfiguriere Attributzuordnungen in Entra ID

Dieser Abschnitt gilt nur, wenn du benutzerdefinierte Benutzerprofilfelder wie Standort oder Stadt in Haiilo synchronisieren möchtest.

1. Gehe zu Provisioning > Attributzuordnungen
2. Wähle Provision Microsoft Entra ID Users (Benutzerzuordnungen).
3. Aktiviere die Option Erweiterte Optionen anzeigen unten.
4. Klicke auf Attributliste bearbeiten für <deine App>.
5. Füge benutzerdefinierte Zielattribute hinzu. Zum Beispiel profileField_location oder profileField_city.
6. Speichere die Änderungen an der Attributliste.
7. Gehe zurück zu Attributzuordnungen und wähle Neue Zuordnung hinzufügen.
8. Definiere Folgendes:
   • Quellattribut: Wähle ein Microsoft Entra Feld, z. B. city.
   • Zielattribut: Wähle ein benutzerdefiniertes Attribut, das du oben hinzugefügt hast, z. B. profileField_city.
9. Wähle OK > Speichern, um deine Zuordnungen zu speichern.

6. Starte Provisioning auf Entra ID

1. Gehe zu deinem Enterprise Application Überblick oder zur Provisioning-Seite.
2. Setze den Provisioning-Status auf AN oder wähle Provisioning starten.

Entra ID führt eine erste Synchronisation durch und führt dann regelmäßige inkrementelle Updates aus. Provisioning ist asynchron und letztlich konsistent. Es ist nicht in Echtzeit.

Möchtest du vor der Aktivierung testen? Nutze Provision on demand in Entra ID, um die Konfiguration und das ausgehende Verhalten eines bestimmten Benutzers oder einer Gruppe sofort zu testen.

Referenz: Wie Provisioning auf Entra ID funktioniert

Microsoft Entra ID provisioniert Identitäten in Zyklen:

1. Initialer Zyklus: Erste vollständige Synchronisation.
2. Inkrementelle Zyklen: Laufende Updates für Änderungen (Zuweisungen, Attributänderungen, Gruppenänderungen, Statusänderungen).

Provisioning ist letztlich konsistent. Änderungen sind nicht immer sofort sichtbar und können über verschiedene Zyklen verteilt eintreffen.

Provisioning-Bereich und Deprovisioning-Verhalten

Um das erwartete Deprovisioning-Verhalten sicherzustellen, überprüfe deinen Provisioning-Bereich in Entra ID:

• Nur zugewiesene Benutzer und Gruppen synchronisieren: Empfohlen, wenn das Entfernen der Zuweisung ein Deprovisioning-Verhalten auslösen soll.
• Alle Benutzer und Gruppen synchronisieren: Das Entfernen der Zuweisung von der Anwendung kann je nach Umfang und effektivem Zuweisungsstatus möglicherweise keine Entfernung oder Deaktivierung auslösen.

Wichtiger Hinweis zum Deprovisioning: Wenn ein Benutzer direkt entfernt wird, aber noch über eine andere synchronisierte Gruppe zugewiesen ist, kann Entra ID den Benutzer im Umfang behalten und wird den Benutzer in Haiilo nicht deprovisionieren.

Erwartungen zur Zeitplanung

• Inkrementelle Zyklen laufen in der Praxis üblicherweise im Bereich von ca. 20-40 Minuten.
• Die tatsächliche Zeit hängt ab von:
  • Tenant-Auslastung
  • Größe des Provisioning-Umfangs
  • API-Drosselung
  • Wiederholungs-Verhalten
  • Service-Gesundheit / Quarantäne-Zustand
• In manchen Szenarien kann die vollständige Ausbreitung länger dauern (einschließlich seltener Verzögerungen bis zu 24 Stunden).

PATCH- und Update-Verhalten

• Attributänderungen können als SCIM PATCH gesendet werden.
• PATCH-Updates können im gleichen Zyklus oder in einem späteren Zyklus erfolgen, abhängig davon, wann Entra ID Änderungen bewertet und Referenzen/Übereinstimmungen auflöst.
• Reihenfolge und Zeitpunkt der zugehörigen Updates sind nicht garantiert.

Hinweise zu Gruppen und Mitgliedschaften

Entra ID provisioniert effektive Mitgliedschaften, aber die Lieferzeit oder Reihenfolge ist nicht garantiert. Ein Benutzer erscheint möglicherweise nicht sofort in allen erwarteten Gruppen aufgrund von:

• Die Gruppe ist nicht im Provisioning-Umfang enthalten.
• Es gibt Einschränkungen bei verschachtelten oder dynamischen Gruppen.
• Es gibt Attributzuordnungs- oder Filterausschlüsse.
• Es gibt Provisioning-Verzögerungen oder Wiederholungs-/Fehlerbedingungen.

Bekannte Randfälle und Einschränkungen

• Stelle sicher, dass einem Benutzer nicht mehrere Anwendungsrollen zugewiesen werden, es sei denn, dies ist ausdrücklich erforderlich. Wenn mehrere Rollen zugewiesen sind, kann das Rollenergebnis für nachgelagerte Apps nicht deterministisch sein.
• Das Entra ID-Provisioning sendet nicht in allen Szenarien null-Werte für gelöschte Attribute.
  • Beobachtetes Beispielverhalten: Wenn ein Profilfeld in Entra ID leer gelassen wird, wird dieser leere Wert möglicherweise nicht an Haiilo gesendet.
• Standardwert bei null (optional): Der Wert, der an das Zielsystem übergeben wird, wenn das Quellattribut null ist. Dieser Wert wird nur beim Erstellen eines Benutzers bereitgestellt. Der Standardwert bei null wird nicht bereitgestellt, wenn ein bestehender Benutzer aktualisiert wird.
  • Zum Beispiel kannst du einen Standardwert für die Berufsbezeichnung beim Erstellen eines Benutzers mit dem Ausdruck hinzufügen: Switch(IsPresent([jobTitle]), "DefaultValue", "True", [jobTitle]).
  • Weitere Informationen zu Ausdrücken findest du unter Referenz zum Schreiben von Ausdrücken für Attributzuordnungen in Microsoft Entra ID.

Fehlerbehebung

Wenn ein Benutzer oder eine Gruppe nicht wie erwartet synchronisiert wird:

1. Überprüfe zuerst die Microsoft Entra Provisioning-Protokolle (für das betroffene Objekt).
2. Bestätige, ob Entra ID:
   • Das Objekt ausgewertet hat
   • Eine ausgehende Anfrage gesendet hat
   • Erfolg/Fehler von Haiilo erhalten hat
3. Wenn kein ausgehendes Event angezeigt wird, liegt die Ursache typischerweise in der Entra-Seiten-Konfiguration (Bereich, Zuordnung, Zuweisungspfad oder Provisioning-Status). Überprüfe deine Konfiguration.

Bitte kontaktiere unser Support-Team nur, nachdem du die oben genannten Schritte ausprobiert hast.

Nutze Provision on demand in Entra ID für den spezifischen Benutzer oder die Gruppe, um die Konfiguration und das ausgehende Verhalten sofort zu testen.

Best-Practice für erfolgreiches Provisioning

• Konfiguriere SCIM-Provisioning in der Enterprise Application und überprüfe die Zuweisungspfade.
• Halte Attributzuordnungen explizit und überprüft.
• Verwende Nur zugewiesene Benutzer und Gruppen synchronisieren, wenn eine zuweisungsbasierte Lifecycle-Steuerung erforderlich ist.
• Überwache regelmäßig die Provisioning-Protokolle auf übersprungene Objekte und Wiederholungen.
• Betrachte Provisioning als asynchron und letztendlich konsistent, nicht als Echtzeit.