Tutorial: Konfigurieren von Fuze für die automatische Benutzerbereitstellung
In diesem Tutorial werden die Schritte erläutert, die in Fuze und Microsoft Entra ID ausgeführt werden müssen, um Microsoft Entra ID für die automatische Bereitstellung und die Aufhebung der Bereitstellung von Benutzern und/oder Gruppen in Fuze zu konfigurieren. Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.
Unterstützte Funktionen
- Erstellen von Benutzern in Fuze
- Entfernen von Benutzern aus Fuze, wenn diese keinen Zugriff mehr benötigen
- Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und Fuze.
- Einmaliges Anmelden bei Fuze (empfohlen)
Voraussetzungen
Das diesem Tutorial zu Grunde liegende Szenario setzt voraus, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra-Mandant
- Ein Benutzerkonto in Microsoft Entra ID mit der Berechtigung zum Konfigurieren von Bereitstellungen (z. B. mit den Rollen Anwendungsadministrator, Cloudanwendungsadministrator oder Anwendungsbesitzer).
- Einen Fuze-Mandanten
- Ein Benutzerkonto in Fuze mit Administratorberechtigungen
Schritt 1: Planen der Bereitstellung
- Erfahren Sie, wie der Bereitstellungsdienst funktioniert.
- Bestimmen Sie, wer in den Bereitstellungsbereich einbezogen werden soll.
- Legen Sie fest, welche Daten zwischen Microsoft Entra ID und Fuze zugeordnet werden sollen.
Schritt 2: Konfigurieren von Fuze zur Unterstützung der Bereitstellung mit Microsoft Entra ID
Bevor Sie Fuze für die automatische Benutzerbereitstellung mit Microsoft Entra ID konfigurieren, müssen Sie in Fuze die SCIM-Bereitstellung aktivieren.
Wenden Sie sich zunächst an den für Sie zuständigen Fuze-Vertreter, um die folgenden erforderlichen Informationen einzuholen:
- Liste der derzeit in Ihrem Unternehmen verwendeten Fuze-Produkt-SKUs
- Liste der Standortcodes für die Standorte Ihres Unternehmens
- Liste der Abteilungscodes für Ihr Unternehmen
Diese SKUs und Codes können Sie Ihrem Fuze-Vertrag sowie den Konfigurationsdokumenten entnehmen oder beim für Sie zuständigen Fuze-Vertreter anfordern.
Sobald die Anforderungen erfüllt sind, erhalten Sie von dem für Sie zuständigen Fuze-Vertreter das Fuze-Authentifizierungstoken, das zum Aktivieren der Integration erforderlich ist. Dieser Wert wird in Ihrer Fuze-Anwendung auf der Registerkarte „Provisioning“ (Bereitstellung) im Feld „Secret Token“ (Geheimes Token) eingegeben.
Schritt 3: Hinzufügen von Fuze aus dem Microsoft Entra-Anwendungskatalog
Fügen Sie Fuze aus dem Azure AD-Anwendungskatalog hinzu, um mit dem Verwalten der Bereitstellung in Fuze zu beginnen. Wenn Sie Fuze zuvor für das einmalige Anmelden (SSO) eingerichtet haben, können Sie dieselbe Anwendung verwenden. Es ist jedoch empfehlenswert, beim erstmaligen Testen der Integration eine separate App zu erstellen. Hier erfahren Sie mehr über das Hinzufügen einer Anwendung aus dem Katalog.
Schritt 4: Definieren der Benutzer für den Bereitstellungsbereich
Mit dem Microsoft Entra-Bereitstellungsdienst können Sie anhand der Zuweisung zur Anwendung und/oder anhand von Attributen für Benutzer*innen bzw. die Gruppe festlegen, wer in die Bereitstellung einbezogen werden soll. Wenn Sie sich dafür entscheiden, anhand der Zuweisung festzulegen, wer für Ihre App bereitgestellt werden soll, können Sie der Anwendung mithilfe der folgenden Schritte Benutzer und Gruppen zuweisen. Wenn Sie allein anhand der Attribute des Benutzers oder der Gruppe auswählen möchten, wer bereitgestellt wird, können Sie einen hier beschriebenen Bereichsfilter verwenden.
Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Wenn der Bereitstellungsbereich auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies durch Zuweisen von einem oder zwei Benutzern oder Gruppen zur App kontrollieren. Ist der Bereich auf alle Benutzer und Gruppen festgelegt, können Sie einen attributbasierten Bereichsfilter angeben.
Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest so ändern, dass neue Rollen hinzugefügt werden.
Schritt 5: Konfigurieren der automatischen Benutzerbereitstellung in Fuze
In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzer*innen und/oder Gruppen in Fuze auf der Grundlage von Benutzer- bzw. Gruppenzuweisungen in Microsoft Entra ID erläutert.
So konfigurieren Sie die automatische Benutzerbereitstellung für Fuze in Microsoft Entra ID:
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen.
Wählen Sie in der Anwendungsliste Fuze aus.
Wählen Sie die Registerkarte Bereitstellung.
Legen Sie den Bereitstellungsmodus auf Automatisch fest.
Geben Sie im Abschnitt Administratoranmeldeinformationen den zuvor vom Fuze-Vertreter abgerufenen Wert für SCIM 2.0 base url and SCIM Authentication Token (SCIM 2.0-Basis-URL und das SCIM-Authentifizierungstoken) in das Feld Mandanten-URL bzw. Geheimes Token ein. Wählen Sie Verbindung testen aus, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit Fuze herstellen kann. Vergewissern Sie sich im Falle eines Verbindungsfehlers, dass Ihr Fuze-Konto über Administratorberechtigungen verfügt, und wiederholen Sie den Vorgang.
Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder einer Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das Kontrollkästchen Bei Fehler E-Mail-Benachrichtigung senden.
Klicken Sie auf Speichern.
Wählen Sie im Abschnitt Zuordnungen die Option Synchronize Microsoft Entra-Benutzer mit Fuze synchronisieren aus.
Überprüfen Sie im Abschnitt Attributzuordnungen die Benutzerattribute, die von Microsoft Entra ID mit Fuze synchronisiert werden. Beachten Sie, dass die als übereinstimmende Eigenschaften ausgewählten Attribute für den Abgleich der Benutzerkonten in Fuze für Updatevorgänge verwendet werden. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.
Attribut type userName String name.givenName String name.familyName String emails[type eq "work"].value String aktiv Boolean Wenn Sie Bereichsfilter konfigurieren möchten, lesen Sie die Anweisungen unter Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern.
Um den Microsoft Entra-Bereitstellungsdienst für Fuze zu aktivieren, ändern Sie den Bereitstellungsstatus im Abschnitt Einstellungen zu Ein.
Legen Sie die Benutzer und/oder Gruppen fest, die in Fuze bereitgestellt werden sollen. Wählen Sie dazu im Abschnitt Einstellungen unter Bereich die gewünschten Werte aus.
Wenn Sie fertig sind, klicken Sie auf Speichern.
Dadurch wird die Erstsynchronisierung aller Benutzer und/oder Gruppen gestartet, die im Abschnitt Einstellungen unter Bereich definiert sind. Die Erstsynchronisierung dauert länger als nachfolgende Synchronisierungen, die ungefähr alle 40 Minuten erfolgen, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird.
Schritt 6: Überwachen der Bereitstellung
Nachdem Sie die Bereitstellung konfiguriert haben, können Sie mit den folgenden Ressourcen die Bereitstellung überwachen:
- Mithilfe der Bereitstellungsprotokolle können Sie ermitteln, welche Benutzer erfolgreich bzw. nicht erfolgreich bereitgestellt wurden.
- Anhand der Fortschrittsleiste können Sie den Status des Bereitstellungszyklus überprüfen und den Fortschritt der Bereitstellung verfolgen.
- Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zu den verschiedenen Quarantänestatus finden Sie hier.
Connector-Einschränkungen
- Fuze unterstützt benutzerdefinierte SCIM-Attribute namens Berechtigungen. Diese Attribute können nur erstellt und nicht aktualisiert werden.
- Die Fuze-SCIM-API unterstützt das Filtern nach dem userName-Attribut nicht. Dadurch kommt es möglicherweise zu Fehlern in den Protokollen, wenn versucht wird, einen vorhandenen Benutzer zu synchronisieren, der nicht über ein userName-Attribut verfügt, aber mit einer E-Mail-Adresse vorhanden ist, die mit userPrincipalName in Microsoft Entra ID übereinstimmt.
Änderungsprotokoll
- 15.06.2020: Ratenbegrenzung der Integration auf zehn Anforderungen pro Sekunde angepasst
Zusätzliche Ressourcen
- Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps
- Was ist Anwendungszugriff und einmaliges Anmelden mit Microsoft Entra ID?