Naar de hoofdinhoud

SCIM-gebruikersvoorziening voor BlueDolphin configureren met Microsoft Entra ID

Geschreven door Jetmir Abdija
Deze week bijgewerkt

Dit artikel is vertaald met behulp van AI en kan kleine onnauwkeurigheden bevatten. Raadpleeg de Engelse versie voor volledige nauwkeurigheid.

Disclaimer

Het valt buiten de scope van ValueBlue om documentatie en begeleiding te bieden over hoe SCIM-provisioning werkt in Microsoft Entra ID (voorheen Azure Active Directory). We adviseren je daarom om de officiële Microsoft documentatie te raadplegen voor diepgaande concepten en technische informatie.

Hier vind je een handleiding voor het instellen van een Microsoft Entra enterprise-app met System for Cross-domain Identity Management (SCIM) provisioning.

LET OP: Voor een uitgebreide handleiding kun je de nieuwe cursus in de Academy volgen: BlueDolphin SCIM User Provisioning with Microsoft Entra ID.

Klanten die SSO binnen hun organisatie gebruiken, hebben al een app voor BlueDolphin SSO aangemaakt in Microsoft Entra. Er is echter een beperking in Microsoft Entra: een non-gallery applicatie kan niet voor zowel SSO als SCIM gebruikt worden. Dit betekent dat je een nieuwe non-gallery applicatie moet aanmaken, die alleen gebruikt wordt voor SCIM user provisioning voor BlueDolphin.

Je kunt meer lezen over de huidige beperkingen van SCIM 2.0 protocolondersteuning van de Microsoft Entra user provisioning service en voorgestelde oplossingen hier. Het verzoek om deze bekwaamheid te ondersteunen is bij Microsoft ingediend, en meer details zijn te vinden in hun Q&A.

Maak een non-gallery enterprise-applicatie aan

  1. Log in op het Microsoft Entra ID-portaal.

  2. Om een nieuwe enterprise-applicatie aan te maken, ga je in het linkermenu naar Enterprise-applicaties en klik je op + Nieuwe applicatie.

  3. Klik op Maak je eigen applicatie.

  4. Voer een naam in voor je applicatie, selecteer Integreer een andere applicatie die je niet in de galerij vindt (Non-gallery), en klik vervolgens op Maak om een app-object aan te maken. De nieuwe app is nu toegevoegd aan de lijst met enterprise-applicaties.

De volgende screenshot toont de Microsoft Entra ID applicatiegalerij:

SCIM_Azure_Step_1.png

Gebruikers en groepen toewijzen

Nadat je een app hebt aangemaakt, opent het scherm voor het beheer ervan.

1. Klik in de sectie Aan de slag op 1. Wijs gebruikers en groepen toe.

SCIM_Azure_Step_2.png

Je hebt al gebruikers of groepen aangemaakt (met de rollen toegewezen) die je nu wilt toewijzen aan app-rollen voor je nieuwe applicatie. Om nieuwe rollen voor deze app aan te maken, ga je naar de sectie app-rollen en volg je de stappen (zie de screenshot hieronder).

SCIM_Azure_Step_3.png

2. Klik op + Gebruiker/groep toevoegen en klik onder Gebruikers en groepen op Geen toegewezen.

3. De lijst met beschikbare gebruikers en groepen verschijnt aan de rechterkant. Selecteer hier de gebruikers/groepen die je wilt toewijzen, klik op Selecteer en daarna op Wijs toe.

Let op: Provisioning van geneste groepen via SCIM wordt niet ondersteund door Microsoft Entra ID.

Provisioning instellen

  1. Ga naar de sectie Provisioning van je nieuwe app.

  2. Klik op Aan de slag.

    SCIM_Azure_Step_4.png

  3. Stel Provisioning-modus in op Automatisch.

  4. Stel Tenant-URL in op https://services.eu.bluedolphin.app/scim/v2/{tenantname}/ voor EU en https://services.us.bluedolphin.app/scim/v2/{tenantname}/ voor VS. Vul de naam van je tenant in bij de parameter {tenantname}.

  5. Voor Secret Token gebruik je de API-sleutel die je hebt gegenereerd in de Admin-module van BlueDolphin. De stappen voor het aanmaken van API-sleutels worden hier beschreven. Je hebt een sleutel nodig met de scope User provisioning.

  6. Klik op Test verbinding om te testen of de nieuwe app is gekoppeld aan je SCIM API. Als je een bevestiging krijgt dat de verbinding is gemaakt, klik dan linksboven op Sla op.

Mappings

In de sectie Mappings zijn er twee sets van attributen-mappings: één voor gebruikersobjecten en één voor groepobjecten. Selecteer elk om de attributen te bekijken die gesynchroniseerd worden van Microsoft Entra ID naar je app.

Zowel gebruikers- als groepsmappings zijn standaard ingeschakeld.

Groepsmappings

1. Om mappings voor groepen aan te passen, ga naar Mappings en klik op Provision Azure Active Directory Groups.

2. Laat groepsmapping ingeschakeld. Wil je deze functie voor groepen uitschakelen en gebruikers direct toewijzen, zet Ingeschakeld dan op Nee.

3. In de sectie Doelobject-acties, vink Maak en Verwijder uit, omdat deze niet worden ondersteund door de BlueDolphin SCIM API.

4. In de sectie Attributen-mappings, verwijder je alle attributen behalve: displayName en members (zie de screenshot hieronder).

Groups_attribute_mappings.png

Als een groepsnaam in Microsoft Entra ID exact overeenkomt met een rolnaam in BlueDolphin, rond je de mappings af door je instellingen op te slaan.
Anders volg je de onderstaande stappen voor het schrijven van expressies voor attributen-mappings in Microsoft Entra ID.

5. Klik op het attribuut displayName, en het nieuwe scherm Bewerk attribuut opent.

6. Stel Mapping type in op Expressie.

Als je één groep hebt waarvoor je mapping moet instellen, vul dan in het expressievak een van de volgende twee expressieformaten in. Vervang 'GroupInAzureAD' door een daadwerkelijke groepsnaam in jouw Microsoft Entra ID en 'RoleInBD' door een rolnaam in BlueDolphin.

Replace([displayName], "GroupInAzureAD", , , "RoleInBD", , )
Switch([displayName], , "GroupInAzureAD", "RoleInBD" )

Bijvoorbeeld, je hebt een groep genaamd 'AcmeCompany-SEC-All' in Microsoft Entra ID.

displayName.png

Wil je gebruikers uit deze groep provisionen naar de rol 'Default users' (of 'Standaard gebruikers' voor NL-tenants) in BlueDolphin, dan gebruik je een van de volgende expressies:

Voor EN-tenants:

Replace([displayName], "AcmeCompany-SEC-All", , , "Default users", , )
Switch([displayName], , "AcmeCompany-SEC-All", "Default users" )

Voor NL-tenants:

Replace([displayName], "AcmeCompany-SEC-All", , , "Standaard gebruikers", , )
Switch([displayName], , "AcmeCompany-SEC-All", "Standaard gebruikers" )

Als je meerdere groepen aan je app hebt toegewezen, gebruik dan het volgende expressieformaat om de mapping aan te passen. Vervang elke 'GroupInAzureAD' door een daadwerkelijke groepsnaam in jouw Microsoft Entra ID en elke 'RoleInBD' door een rolnaam in BlueDolphin.

 Switch([displayName], , "GroupInAzureAD1", "RoleInBD1", "GroupInAzureAD2", "RoleInBD2", "GroupInAzureAD3", "RoleInBD3")

Bijvoorbeeld, je hebt groepen genaamd 'AcmeCompany-SEC-Admin' en 'AcmeCompany-SEC-All' in Microsoft Entra ID.

displayName1.png

Wil je gebruikers uit deze groepen provisionen naar respectievelijk de rollen 'Administrators' en 'Default users' in BlueDolphin, dan gebruik je de volgende expressie:

Switch([displayName], , "AcmeCompany-SEC-Admin", "Administrators", "AcmeCompany-SEC-All", "Default users")

Controleer of de expressie correct wordt geïnterpreteerd en klik op Ok.

7. Klik op Sla op om je wijzigingen op te slaan.

Let op: Als de rol(len) in BlueDolphin worden hernoemd, zorg er dan voor dat je de mappings bijwerkt.

In de onderstaande tabel vind je de vereiste attributen en hun overeenkomende waarden in verschillende systemen:

Groepsattribuut in Microsoft Entra ID

Vereist

SCIM /Groups-attribuut

Rolattribuut in BlueDolphin

displayName

Ja

displayName

Rolnaam

members

Ja

members

Gebruikers

Gebruikersmappings

  1. Om mappings voor gebruikers aan te passen, ga naar Mappings en klik op Provision Azure Active Directory Users.

  2. Gebruikersmapping staat standaard op Ingeschakeld en uitschakelen wordt niet ondersteund.

  3. Laat alle Doelobject-acties aangevinkt.

  4. Verwijder in de sectie Attributen-mappings alle attributen behalve: userPrincipalName, mail, givenName en surname (zie de screenshot hieronder).

    Users_attribute_mappings.png

  5. Klik linksboven op Sla op om je wijzigingen op te slaan.

    In de onderstaande tabel vind je de vereiste attributen en hun overeenkomende waarden in verschillende systemen:

Gebruikersattribuut in Microsoft Entra ID

Vereist

SCIM /Users-attribuut

Gebruikersattribuut in BlueDolphin

userPrincipalName

Ja

userName

Email

mail

Ja

emails[type eq “work”].value

Email

givenName

Ja

name.givenName

Voornaam

surname

Ja

name.familyName

Achternaam

OPMERKING: Om te voorkomen dat foutieve of onvolledige gegevens via de interface worden doorgegeven, kun je een scoping filter gebruiken om aan te geven dat elk van deze vereiste attributen aanwezig moet zijn in het gebruikersrecord. Om een scoping filter in te stellen, klik je op Alle records onder Source Object Scope.

Je kunt bijvoorbeeld de 'IS NOT NULL'-clausule gebruiken om te zorgen dat alle vereiste attributen gegevens bevatten:

Scope.png

Instellingen

Stel in het gedeelte Instellingen de Scope in op Alleen toegewezen gebruikers en groepen synchroniseren en klik op Sla op.

Stel tot slot om gebruikersprovisioning te starten de Provisioning status in op Aan.

Gebruikers verwijderen

Wanneer de API een DELETE-verzoek voor een gebruiker verstuurt, wordt die gebruiker verwijderd uit BlueDolphin. BlueDolphin ondersteunt het uitschakelen van gebruikers niet.

Voor meer informatie over het deprovisioneren van gebruikers, raadpleeg de officiële Microsoft Entra ID-documentatie.

Applicatieprovisioning in Microsoft Entra ID

Voor uitgebreide concepten en technische informatie over hoe applicatieprovisioning werkt in Microsoft Entra ID, raadpleeg de officiële Microsoft Entra ID-documentatie.

Gerelateerde artikelen
Single Sign-On (SSO) configureren met Office 365 (OpenID)
Gebruikersauthenticatiemethode
Automatische gebruikersvoorziening met SCIM 2.0
SCIM-gebruikersvoorziening voor BlueDolphin configureren met Okta
SCIM-gebruikersvoorziening voor BlueDolphin configureren met SailPoint
Was dit een antwoord op uw vraag?