User sync met Microsoft Entra ID
In deze handleiding doorlopen we de stappen om user sync met Microsoft Entra ID te configureren. We adviseren je om de video te bekijken, de best practices te bestuderen en de onderstaande stappen zorgvuldig te doorlopen.
Welke best practice is het meest geschikt voor mijn situatie?
Best practices implementeren user sync
Het toewijzen van rollen in Azure zal functioneren als een filter. Door rollen toe te wijzen kan je users in- of uitsluiten. Standaard synchroniseert Awaretrain alleen users die een rol toegewezen hebben gekregen in Azure. Deze standaardinstelling kan worden gewijzigd via de integratie-instellingen in het Awaretrain platform.
Best practice met Microsoft Entra ID P1 of E3 licentie (of hoger)
Indien je beschikt over een Microsoft Entra ID P1 of E3 licentie (of hoger) kan je een rol toewijzen aan een groep gebruikers in Azure. Wij adviseren om een app rol toe te wijzen aan de groepen die je wilt synchroniseren met het Awaretrain platform. Op deze manier heb je volledige controle over welke gebruiker je wilt in- of uitsluiten.
Bekijk de volgende afbeeldingen om een idee te krijgen van hoe je de applicatie zou kunnen configureren met een Microsoft Entra ID P1 of E3 licentie (of hoger).
User sync met groepssynchronisatie ingeschakeld
User sync met groepssynchronisatie uitgeschakeld
Best practice zonder Microsoft Entra ID P1 of E3 licence (of hoger)
Als je niet beschikt over een Microsoft Entra ID P1 of E3 licentie (of hoger) kan je geen rollen toewijzen aan groepen in Azure. In deze situatie adviseren we je om naar naar INSTELLINGEN en de tab INTEGRATIE in het Awaretrain platform te gaan en het vakje SYNC USERS ZONDER ROL aan te vinken. Je dient dan nog steeds de super manager rol toe te kennen in Azure, maar alle andere gebruikers in je Azure tenant zullen automatisch gesynchroniseerd worden als gewone user. Let op! Door dit te doen synchroniseert je ook andere niet-menselijke accounts, zoals admin- en printeraccounts.
Bekijk de volgende afbeeldingen om een idee te krijgen van hoe je de applicatie zou kunnen configureren zonder een Microsoft Entra ID P1 of E3 licentie (of hoger).
User sync met groepssynchronisatie ingeschakeld
User sync met groepssynchronisatie uitgeschakeld
Best practice multitenant situatie
In het geval dat entiteiten een Azure tenant delen, moet je de enterprise applicatie enigszins anders configureren dan de best practices hierboven. Elke entiteit moet zijn eigen enterprise applicatie hebben en een Microsoft Entra ID P1 of E3 licentie (of hoger) is een vereiste. Zorg ervoor dat gebruikers en groepen zijn toegewezen aan slechts één app-registratie.
Bekijk de volgende afbeelding om een beter idee te krijgen van deze situatie.
Single sign-on configureren
Zorg ervoor dat single sign-on goed werkt, voordat je verder gaat met de onderstaande stappen. Ga naar SSO configureren voor Azure.
Synchronisatietoestemmingen configureren
1) Ga naar de 'app registration' die je hebt aangemaakt bij het configureren van single sign-on.
2) Klik op API PERMISSION in het menu aan de linkerkant. Klik vervolgens op ADD A PERMISSION en selecteer MICROSOFT GRAPH. Kies voor APPLICATION PERMISSIONS. Zorg ervoor dat je niet voor ‘Delegated permissions’ kiest. Alleen app permissions zullen werken.
3) Voeg onderstaande toestemmingen toe klik op ADD PERMISSIONS. Klik vervolgens op GRANT ADMIN CONSENT.
- User.Read.All
- Group.Read.All
- GroupMember.Read.All
4) Vervolgens dien je rollen aan te maken in de app registratie om er zeker van te zijn dat iedere gebruiker de juiste rechten krijgt binnen het Awaretrain platform. Binnen Awaretrain maken we gebruik van verschillende rollen. Klik op APP ROLES in het menu aan de linkerkant en vervolgens op CREATE APP ROLE.
5) Geef de rol een naam naar keuze. Kies ‘Users/Groups’ als allowed member types, vul de juiste waarde (zoals hieronder vermeld) in voor de juiste rol en klik op APPLY. Je hoeft alleen de rollen toe te voegen die je binnen het Awaretrain platform gaat gebruiken. Vaak zijn dit de user en de super manager. Vul een beschrijving in indien je meer details over de rol wilt geven.
- User - Value: awaretrain.user
- Auditor - Value: awaretrain.auditor
- Super auditor - Value: awaretrain.super_auditor
- User manager - Value: awaretrain.user_manager
- Super manager - Value: awaretrain.super_manager
6) Vervolgens dien je de rollen toe te wijzen aan een gebruiker. Ga naar ENTERPRISE APPLICATIONS in je Microsoft Entra ID. Open de applicatie die je hebt aangemaakt en ga naar USERS AND GROUPS in het menu aan de linkerkant. Klik op ADD USER/GROUP. Selecteer je eigen account en klik op SELECT. Selecteer de super manager rol voor je eigen account en klik op ASSIGN. Herhaal deze stap voor andere rollen die je aan een account wil toekennen.
User sync inschakelen in Awaretrain
Ga in Awaretrain via INSTELLINGEN naar INTEGRATIE en vink SYNC INGESCHAKELD aan. Vul de Directory (tenant) ID in, in het TENANT ID veld en klik op OPSLAAN. Deze Directory (tenant) ID kan gevonden worden in het app registratie overzicht in Azure.
Van 7:00 uur tot middernacht (CET) vindt er ieder uur automatisch een delta sync plaats. Dit is een synchronisatie die alleen de verschillen in users en groepen bijwerkt. Je kan een delta sync forceren via de SYNC USERS in het USERBEHEER. Eens per dag wordt er tussen 0:00 en 7:00 uur een full sync uitgevoerd. Hierbij worden gewijzigde én ongewijzigde users en groepen volledig gelijkgetrokken met Microsoft Entra ID.
Let op! Het kan voorkomen dat een aanpassing van users of groepen niet wordt meegenomen in een delta sync. De full sync zal dit corrigeren. Het kan daardoor tot 24 uur duren voordat een aanpassing in Microsoft Entra ID ook is doorgezet naar de Awaretrain-omgeving.
Groepssynchronisatie
Je kan ook de Azure-groepen synchroniseren met Awaretrain. Ga via INSTELLINGEN naar INTEGRATIE en vink SYNC GROEPEN aan. Alleen de Azure-groepen die een ‘app role’ toegekend hebben gekregen worden meegenomen in de synchronisatie.
Let op! Een groepssynchronisatie zal de bestaande groepen in Awaretrain verwijderen. Ook de auditorrol kan voor problemen zorgen wanneer er gebruik wordt gemaakt van ‘nested groups’ binnen Azure.
Neem contact op met Customer Support om te controleren of jouw organisatie de juiste structuur heeft om te werken met de group sync functionaliteit.
Het syncen van groepen zonder rol
Het is mogelijk om groepen waaraan geen ‘app role’ is toegekend mee te nemen in de synchronisatie. We raden dit echter af.