Tutorial: Konfigurieren von Workplace von Meta für die automatische Benutzerbereitstellung
In diesem Tutorial werden die Schritte beschrieben, die Sie sowohl in Airbase als auch in Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Bei der Konfiguration stellt Microsoft Entra ID mithilfe des Microsoft Entra-Bereitstellungsdiensts automatisch Benutzer*innen und Gruppen für Workplace von Meta bereit und hebt die Bereitstellung auf. Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.
Unterstützte Funktionen
- Erstellen von Benutzern in Workplace von Meta
- Entfernen von Benutzern aus Workplace von Meta, wenn diese keinen Zugriff mehr benötigen
- Synchronisieren Sie Benutzerattribute zwischen Microsoft Entra ID und Workplace von Meta
- Einmaliges Anmelden bei Workplace von Meta (empfohlen)
Voraussetzungen
Das diesem Tutorial zu Grunde liegende Szenario setzt voraus, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra-Mandant
- Eine der folgenden Rollen: Anwendungsadministrator, Cloudanwendungsadministrator oder Anwendungsbesitzer.
- Ein Abonnement mit aktiviertem einmaligem Anmelden bei Workplace von Meta
Hinweis
Um die Schritte in diesem Tutorial zu testen, wird empfohlen, keine Produktionsumgebung zu verwenden.
Hinweis
Diese Integration kann auch über die Microsoft Entra US Government-Cloud-Umgebung verwendet werden. Sie finden diese Anwendung im Microsoft Entra-Anwendungskatalog für die US Government-Cloud. Sie können sie auf die gleiche Weise wie in der öffentlichen Cloud konfigurieren.
Um die Schritte in diesem Tutorial zu testen, sollten Sie folgende Empfehlungen beachten:
- Verwenden Sie die Produktionsumgebung nur, wenn dies unbedingt erforderlich ist.
- Sollten Sie über keine Microsoft Entra-Testumgebung verfügen, können Sie hier eine einmonatige Testversion anfordern.
Schritt 1: Planen der Bereitstellung
- Erfahren Sie, wie der Bereitstellungsdienst funktioniert.
- Bestimmen Sie, wer in den Bereitstellungsbereich einbezogen werden soll.
- Legen Sie fest, welche Daten zwischen Microsoft Entra ID und Workplace von Meta zugeordnet werden sollen.
Schritt 2: Konfigurieren von Workplace von Meta zur Unterstützung der Bereitstellung mit Microsoft Entra ID
Vor dem Konfigurieren und Aktivieren des Bereitstellungsdiensts müssen Sie entscheiden, welche Benutzer in Microsoft Entra ID die Benutzer darstellen, die Zugriff auf Ihre Workplace von Meta-App benötigen. Anschließend können Sie diese Benutzer Ihrer Workplace von Meta-App zuweisen, indem Sie diese Anweisungen befolgen:
Es wird empfohlen, Workplace von Meta einen einzelnen Microsoft Entra-Benutzer zuzuweisen, um die Konfiguration der Bereitstellung zu testen. Später können weitere Benutzer zugewiesen werden.
Wenn Sie Workplace von Meta einen Benutzer zuweisen, müssen Sie eine gültige Benutzerrolle auswählen. Die Rolle „Standardzugriff“ ist für Bereitstellungen nicht geeignet.
Schritt 3: Hinzufügen von Workplace von Meta aus dem Microsoft Entra-Anwendungskatalog
Fügen Sie Workplace von Meta aus dem Microsoft Entra-Anwendungskatalog hinzu, um die Verwaltung der Bereitstellung für Workplace von Meta zu beginnen. Wenn Sie Workplace von Meta zuvor für das einmalige Anmelden (SSO) eingerichtet haben, können Sie dieselbe Anwendung verwenden. Es ist jedoch empfehlenswert, beim erstmaligen Testen der Integration eine separate App zu erstellen. Hier erfahren Sie mehr über das Hinzufügen einer Anwendung aus dem Katalog.
Schritt 4: Definieren der Benutzer für den Bereitstellungsbereich
Mit dem Microsoft Entra-Bereitstellungsdienst können Sie anhand der Zuweisung zur Anwendung und/oder anhand von Attributen für Benutzer*innen bzw. die Gruppe festlegen, wer in die Bereitstellung einbezogen werden soll. Wenn Sie sich dafür entscheiden, anhand der Zuweisung festzulegen, wer für Ihre App bereitgestellt werden soll, können Sie der Anwendung mithilfe der folgenden Schritte Benutzer zuweisen. Wenn Sie allein anhand der Attribute des Benutzers oder der Gruppe auswählen möchten, wer bereitgestellt wird, können Sie einen hier beschriebenen Bereichsfilter verwenden.
Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Wenn der Bereitstellungsbereich auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies durch Zuweisen von einem oder zwei Benutzern oder Gruppen zur App kontrollieren. Ist der Bereich auf alle Benutzer und Gruppen festgelegt, können Sie einen attributbasierten Bereichsfilter angeben.
Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest so ändern, dass neue Rollen hinzugefügt werden.
Schritt 5: Konfigurieren der automatischen Benutzerbereitstellung für Workplace von Meta
In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzern in der Workplace von Meta-App anhand von Benutzerzuweisungen in Microsoft Entra ID erläutert.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen.
Wählen Sie in der Anwendungsliste Workplace von Meta aus.
Wählen Sie die Registerkarte Bereitstellung.
Legen Sie den Bereitstellungsmodus auf Automatisch fest.
Stellen Sie sicher, dass der Abschnitt „Mandanten-URL“ mit dem richtigen Endpunkt gefüllt ist: https://scim.workplace.com/. Klicken Sie im Abschnitt Administratoranmeldeinformationen auf Autorisieren. Sie werden auf die Autorisierungsseite von Workplace von Meta umgeleitet. Geben Sie Ihren Benutzernamen für Workplace von Meta ein und klicken Sie auf die Schaltfläche Weiter. Klicken Sie auf Verbindung testen, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit Workplace von Meta herstellen kann. Wenn die Verbindung nicht hergestellt werden kann, sollten Sie sicherstellen, dass Ihr Workplace von Meta-Konto über Administratorberechtigungen verfügt. Wiederholen Sie dann den Vorgang.
Hinweis
Wenn die URL nicht in https://scim.workplace.com/ geändert wird, tritt beim Speichern der Konfiguration ein Fehler auf.
Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das Kontrollkästchen Bei Fehler E-Mail-Benachrichtigung senden.
Wählen Sie Speichern.
Wählen Sie im Abschnitt Zuordnungen die Option Microsoft Entra-Benutzer mit Workplace von Meta synchronisieren aus.
Überprüfen Sie im Abschnitt Attributzuordnungen die Benutzerattribute, die von Microsoft Entra ID mit Workplace von Meta synchronisiert werden. Die als übereinstimmende Eigenschaften ausgewählten Attribute werden für den Abgleich der Benutzerkonten in Workplace von Meta für Updatevorgänge verwendet. Wenn Sie sich dafür entscheiden, das übereinstimmende Zielattribut zu ändern, müssen Sie sicherstellen, dass die Workplace von Meta-API das Filtern von Benutzern anhand dieses Attributs unterstützt. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.
Attribut type userName String displayName String aktiv Boolean title Boolean emails[type eq "work"].value String name.givenName String name.familyName String name.formatted String addresses[type eq "work"].formatted String addresses[type eq "work"].streetAddress String addresses[type eq "work"].locality String addresses[type eq "work"].region String addresses[type eq "work"].country String addresses[type eq "work"].postalCode String addresses[type eq "other"].formatted String phoneNumbers[type eq "work"].value String phoneNumbers[type eq "mobile"].value String phoneNumbers[type eq "fax"].value String externalId String preferredLanguage String urn:scim:schemas:extension:enterprise:1.0.manager String urn:scim:schemas:extension:enterprise:1.0.department String urn:scim:schemas:extension:enterprise:1.0.division String urn:scim:schemas:extension:enterprise:1.0.organization String urn:scim:schemas:extension:enterprise:1.0.costCenter String urn:scim:schemas:extension:enterprise:1.0.employeeNumber String urn:scim:schemas:extension:facebook:auth_method:1.0:auth_method String urn:scim:schemas:extension:facebook:frontline:1.0.is_frontline Boolean urn:scim:schemas:extension:facebook:starttermdates:1.0.startDate Integer Wenn Sie Bereichsfilter konfigurieren möchten, lesen Sie die Anweisungen unter Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern.
Um den Microsoft Entra-Bereitstellungsdienst für Workplace von Meta zu aktivieren, ändern Sie den Bereitstellungsstatus im Abschnitt Einstellungen zu Ein.
Legen Sie die Benutzer fest, die in Workplace von Meta bereitgestellt werden sollen, indem Sie im Abschnitt Einstellungen unter Bereich die entsprechenden Werte auswählen.
Wenn Sie fertig sind, klicken Sie auf Speichern.
Mit diesem Vorgang wird der erste Synchronisierungszyklus für alle Benutzer gestartet, die im Abschnitt Einstellungen unter Bereich definiert wurden. Der erste Zyklus dauert länger als nachfolgende Zyklen, die ungefähr alle 40 Minuten erfolgen, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird.
Schritt 6: Überwachen der Bereitstellung
Nachdem Sie die Bereitstellung konfiguriert haben, können Sie mit den folgenden Ressourcen die Bereitstellung überwachen:
- Mithilfe der Bereitstellungsprotokolle können Sie ermitteln, welche Benutzer erfolgreich bzw. nicht erfolgreich bereitgestellt wurden
- Anhand der Fortschrittsleiste können Sie den Status des Bereitstellungszyklus überprüfen und den Fortschritt der Bereitstellung verfolgen.
- Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zu den verschiedenen Quarantänestatus finden Sie hier.
Tipps zur Problembehandlung
- Wenn Sie feststellen, dass ein Benutzer nicht erfolgreich erstellt wurde und ein Überwachungsprotokollereignis mit dem Code „1789003“ vorliegt, bedeutet dies, dass der Benutzer aus einer nicht überprüften Domäne stammt.
- In einigen Fällen erhalten Benutzer folgenden Fehler: „FEHLER: Fehlendes Feld ‚Email‘: Geben Sie den von Facebook zurückgegebenen E-Mail-Fehler an: Ausnahme bei der Verarbeitung der HTTP-Anforderung. Weitere Informationen finden Sie in der HTTP-Antwort, die von der Response-Eigenschaft dieser Ausnahme zurückgegeben wurde. Dieser Vorgang wurde kein einziges Mal wiederholt. Er wird nach diesem Datum erneut wiederholt.“ Die Ursache dieses Fehler ist, dass Kunden der Facebook-E-Mail „mail“ anstelle von „userPrincipalName“ zuordnen, einige Benutzer jedoch kein mail-Attribut haben. Ändern Sie die Attributzuordnung in Workplace vom mail-Attribut von Facebook in Coalesce([mail],[userPrincipalName]), heben Sie die Zuordnung des Benutzers von Workplace zu Facebook auf, oder stellen Sie eine E-Mail-Adresse für den Benutzer bereit, um die Fehler zu vermeiden und die fehlerhaften Benutzer erfolgreich über Facebook in Workplace bereitstellen zu können.
- Es gibt eine Option in Workplace, die das Vorhandensein von Benutzern ohne E-Mail-Adressen ermöglicht. Wenn diese Einstellung auf der Workplace-Seite umschaltet wird, muss die Bereitstellung auf der Azure-Seite neu gestartet werden, damit Benutzer ohne E-Mail-Adressen erfolgreich in Workplace erstellt werden können.
Aktualisieren einer Workplace von Meta-Anwendung zur Verwendung des Workplace von Meta SCIM 2.0-Endpunkts
Im Dezember 2021 wurde von Facebook ein SCIM 2.0-Connector veröffentlicht. Führen Sie die folgenden Schritte aus, um Anwendungen, die für die Verwendung eines SCIM 1.0-Endpunkts konfiguriert sind, für SCIM 2.0-Endpunkte zu aktualisieren. Mit diesen Schritten werden alle Anpassungen entfernt, die zuvor an der Workplace von Meta-Anwendung vorgenommen wurden, einschließlich:
- Authentifizierungsdetails
- Bereichsfilter
- Benutzerdefinierte Attributzuordnungen
Hinweis
Notieren Sie sich unbedingt alle Änderungen, die an den oben aufgeführten Einstellungen vorgenommen wurden, bevor Sie die folgenden Schritte ausführen. Andernfalls gehen die benutzerdefinierten Einstellungen verloren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Workplace von Meta.
Kopieren Sie im Abschnitt Eigenschaften der neuen benutzerdefinierten App die Objekt-ID.
Wechseln Sie in einem neuen Webbrowserfenster zu https://developer.microsoft.com/graph/graph-explorer, und melden Sie sich als Administrator*in für den Microsoft Entra-Mandanten an, unter dem Ihre App hinzugefügt wurde.
Vergewissern Sie sich, dass das verwendete Konto über die richtigen Berechtigungen verfügt. Um diese Änderung vorzunehmen, ist die Berechtigung „Directory.ReadWrite.All“ erforderlich.
Führen Sie mit der zuvor in der App ausgewählten ObjectID den folgenden Befehl aus:
GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/
Führen Sie unter Verwendung des id-Werts im Antworttext der obigen GET-Anforderung den folgenden Befehl aus, und ersetzen Sie „[job-id]“ durch den id-Wert der GET-Anforderung. Der Wert sollte das Format „FacebookAtWorkOutDelta.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx“ aufweisen:
DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]
Führen Sie im Graph-Explorer den folgenden Befehl aus. Ersetzen Sie „[object-id]“ durch die Dienstprinzipal-ID (Objekt-ID), die Sie im dritten Schritt kopiert haben.
POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }
Wechseln Sie wieder zurück zum ersten Webbrowserfenster, und wählen Sie die Registerkarte „Bereitstellung“ für Ihre Anwendung aus. Ihre Konfiguration wurde zurückgesetzt. Sie können bestätigen, dass das Upgrade durchgeführt wurde, indem Sie überprüfen, ob die Auftrags-ID mit „FacebookWorkplace“ beginnt.
Aktualisieren Sie die Mandanten-URL im Abschnitt „Administratoranmeldeinformationen“ in https://scim.workplace.com/.
Stellen Sie alle vorherigen Änderungen wieder her, die Sie an der Anwendung vorgenommen haben (Authentifizierungsdetails, Bereichsfilter, benutzerdefinierte Attributzuordnungen), und aktivieren Sie die Bereitstellung wieder.
Hinweis
Wenn die vorherigen Einstellungen nicht wiederhergestellt werden, kann dies dazu führen, dass Attribute (etwa „name.formatted“) in Workplace unerwartet aktualisiert werden. Überprüfen Sie die Konfiguration, bevor Sie die Bereitstellung aktivieren.
Änderungsprotokoll
- 10.09.2020: Unterstützung der Attribute „division“, „organization“, „costCenter“ und „employeeNumber“ hinzugefügt. Unterstützung der benutzerdefinierten Attribute „startDate“, „auth_method“ und „frontline“ hinzugefügt.
- 22.07.2021: Tipps zur Problembehandlung für Kunden mit einer Zuordnung von E-Mail-Adressen zu Facebook-E-Mail-Adressen aktualisiert, da einige Benutzer nicht über ein mail-Attribut verfügen.
Weitere Ressourcen
- Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps
- Was ist Anwendungszugriff und einmaliges Anmelden mit Microsoft Entra ID?