Die SCIM-Integration mit Microsoft Entra ermöglicht es Ihnen, Document360-Nutzer, Leser und Gruppen direkt von Entra aus automatisiert und zentral gesteuert zu verwalten.
Wenn ein neuer Nutzer in Entra hinzugefügt wird, wird sein Document360-Konto automatisch bereitgestellt. Alle Aktualisierungen ihrer Rolle oder Gruppenmitgliedschaft werden in Echtzeit synchronisiert, und wenn ein Benutzer in Entra deaktiviert oder entfernt wird, wird dies in Document360 ohne manuelles Eingreifen angezeigt. Dadurch entfällt die Notwendigkeit einer separaten Kontoverwaltung in Document360 und stellt sicher, dass die Nutzerdaten auf beiden Plattformen korrekt und aktuell bleiben.
Warum Nutzer und Leser über SCIM verwalten
Die manuelle Verwaltung von Nutzern über mehrere Plattformen hinweg ist zeitaufwendig und birgt Risiken. Ohne SCIM müssen Administratoren daran denken, neue Mitarbeiter separat zu Document360 hinzuzufügen und den Zugriff manuell zu widerrufen, wenn jemand geht. Fehler können zu unbefugtem Zugriff oder verzögertem Onboarding führen.
Mit aktiviertem SCIM zwischen Microsoft Entra und Document360:
- Neue Mitarbeiter werden automatisch zu Document360 hinzugefügt, wenn sie in Entra hinzugefügt werden – keine separate Einrichtung erforderlich.
- Rollenzuweisungen sind konsistent und werden durch eine einzige Wahrheitsquelle in deinem IdP gesteuert.
- Wenn ein Nutzer in Entra gelöscht wird, wird sein Zugriff auf Document360 automatisch widerrufen.
- Gruppenmitgliedschaftsänderungen in Entra werden in Echtzeit in Document360 dargestellt.
- Der Inhaltszugriff bleibt innerhalb von Document360 aus handhabbar, selbst wenn die Identität von Entra kontrolliert wird.
Bevor du anfängst
Die SCIM-Bereitstellung in Document360 ist Teil Ihrer SSO-Konfiguration eingerichtet. Stellen Sie sicher, dass Folgendes erfüllt ist, bevor Sie fortfahren:
- Ihre Microsoft Entra-Anwendung muss als Nicht-Galerie-App erstellt werden: Neue Anwendung > Erstellen Sie Ihre eigene Anwendung > Integrieren Sie alle anderen Anwendungen, die Sie nicht in der Galerie finden. Wenn du eine Galerie-App verwendest, ist die SCIM-Bereitstellung nicht verfügbar.
- SAML SSO muss vollständig konfiguriert und zwischen Microsoft Entra und Document360 funktionieren.
- Die SCIM-Bereitstellung muss in Document360 aktiviert sein. Navigiere zu Einstellungen () > Benutzer & Berechtigungen > SSO-Konfiguration, öffne deine SSO-Einrichtung und prüfe, dass der Schalter "SCIM aktivieren" aktiviert ist.
Die SCIM-Bereitstellung mit Microsoft Entra wird nur über SAML unterstützt. OpenID Connect with Entra unterstützt in Document360 keine SCIM-Bereitstellung.
Beginnen Sie mit der Bereitstellung
Um mit der Bereitstellung in Entra zu beginnen, stelle sicher, dass du SCIM bereits mit Entra erstellt und integriert hast. Sobald erledigt:
- Navigiere in Entra zu deiner SCIM-Anwendung und klicke auf Bereitstellung starten.
- Im Bestätigungsdialog klicken Sie auf Ja.
Mit SCIM können Sie Leser, Nutzer und Gruppen verwalten, und alle vorgenommenen Änderungen werden automatisch mit Document360 synchronisiert.
Zuweisen von Attributabbildungen
Um eine neue Attributzuordnung für die Benutzerrollenbedingung zu erstellen:
- Öffne den Enterprise-App-Tab und wähle deine SCIM-SSO-Anwendung aus.
- Navigieren Sie zum Reiter Provisioning , wählen Sie dann im linken Menü Attribute mapping (Vorschau) und klicken Sie auf Microsoft Entra ID Users bereitstellen.
- Scrollen Sie zum Abschnitt Attributzuordnungen , wählen Sie das Kästchen Erweiterte Optionen anzeigen und klicken Sie dann auf Attributliste bearbeiten für Customapps, um fortzufahren.
- Auf der Seite Attributliste bearbeiten scrollen Sie nach unten, geben Sie den URL-Parameter im Namensfeld ein und setzen Sie den Typ aus dem Dropdown-Menü wie unten gezeigt auf boolesch Basis .
| Name | Typ |
|---|---|
| urn:ietf:params:scim:schemas:extension:document360:2.0:Benutzer:isTeamAccount | Boolesch |
Stellen Sie sicher, dass keine Leerräume vorhanden sind, wenn Sie den URL-Parameter im Namensfeld eingeben.
- Klicken Sie auf Speichern und dann im Bestätigungsdialog auf Ja .
Verwenden Sie Expression Builder, um Rollen abzubilden
Sie können in Entra einen Attributzuordnungsausdruck konfigurieren, der das bestehende Profilattribut jedes Benutzers, wie zum Beispiel den Jobtitel, auswertet und automatisch bestimmt, ob sie in Document360 als Benutzer oder als Reader bereitgestellt werden sollen.
Der Ausdruck entspricht direkt dem Attribut isTeamAccount :
isTeamAccount = True→ als Benutzer bereitgestelltisTeamAccount = False→ als Reader bereitgestellt
Schritte zur Konfiguration:
- Öffnen Sie Ihre SCIM-SSO-Anwendung in Entra und navigieren Sie zu Provisioning > Attribute Mappings.
- Finde das Attribut
isTeamAccountund klicke auf das Bearbeiten-Symbol daneben. Dies führt zur Seite Attribut bearbeiten . - Setze den Mapping-Typ auf Ausdruck.
- Geben Sie Ihren Ausdruck im Ausdrucksfeld ein. Der Ausdruck bewertet das Profilattribut jedes Benutzers und bestimmt, ob er als Benutzer oder als Reader bereitgestellt werden soll. Siehe den Link 'Use the expression builder ' unter dem Ausdrucksfeld, um deinen Ausdruck visuell zu erstellen und mit einem echten Nutzer in deinem Verzeichnis zu testen, bevor du ihn anwendest.
Weitere Informationen zum Erstellen und Testen von Ausdrücken in Entra finden Sie in der Expression Builder-Dokumentation von Microsoft.
- Setze den Standardwert, falls null (optional) ist, auf False. Dies stellt sicher, dass jeder Benutzer ohne einen passenden Attributwert standardmäßig als Reader bereitgestellt wird.
- Klicken Sie auf Ok, um das Attribut zu speichern.
Beispiel
Wenn Ihre Nutzer ein Job Title-Attribut in ihrem Entra-Profil haben, können Sie Rollen anhand ihres Titels zuweisen:
Switch([jobTitle], "False", "Manager", "True", "Senior Manager", "True", "Team Lead", "True")
Benutzer mit den Titeln Manager, Senior Manager oder Teamleiter werden als Benutzer vorgesehen. Jeder andere Jobtitel gibt False zurück und der Nutzer wird als Reader bereitgestellt.
Erstellen Sie Nutzer, Leser und Gruppen
Erstellen Sie einen Benutzer
- Erweitern Sie das Dropdown-Menü Entra ID in der linken Navigationsleiste und klicken Sie auf Benutzer.
- Klicken Sie auf Neuer Benutzer > Erstellen Sie neuen Benutzer und füllen Sie die erforderlichen Benutzerdaten aus.
- Klicken Sie auf Erstellen + Überprüfen und dann auf Erstellen , um den Benutzer abzuschließen und zu erstellen.
Sobald der Benutzer erstellt und bereitgestellt ist, bestimmt Document360 automatisch seine Rolle basierend auf dem im Expression Builder konfigurierten Ausdruck und stellt ihn entsprechend als Benutzer bereit.
Benutzer der Anwendung zuweisen
- Klicken Sie in der linken Navigationsleiste auf Unternehmens-Apps und suchen Sie Ihre SCIM-SSO-Anwendung.
- Wählen Sie die Anwendung aus, gehen Sie zum Tab Benutzer und Gruppen , dann klicken Sie auf Benutzer hinzufügen/Gruppe.
- Auf der Seite "Zuweisungen hinzufügen" klicken Sie auf Benutzer und Gruppen, suchen Sie in der Suchleiste nach dem Benutzer und klicken Sie dann auf Wählen > Zuweisen. Der Benutzer wurde erfolgreich der Anwendung zugewiesen.
- Um den Benutzer zu Document360 zu leiten, navigiere im linken Menü zum Reiter Provisioning und klicke auf Provisioning on demand.
- In der Suchleiste "Ausgewählter Benutzer " suchen und wählen Sie den Benutzer aus, dann klicken Sie auf Bereitstellung.
Der Benutzer wird automatisch zu Document360 hinzugefügt. Zur Verifizierung gehen Sie zu Document360 und navigieren Sie zu Einstellungen () > Benutzer & Berechtigungen > Leser & Gruppen.
Erstelle einen Leser
- Erweitern Sie das Dropdown-Menü Entra ID in der linken Navigationsleiste und klicken Sie auf Benutzer.
- Klicken Sie auf Neuer Benutzer > Erstellen Sie neuen Benutzer und geben Sie die erforderlichen Benutzerdaten ein.
- Klicken Sie auf Erstellen + Bewertung, dann auf Erstellen , um den Reader abzuschließen und zu erstellen.
Sobald der Benutzer erstellt und bereitgestellt ist, bestimmt Document360 automatisch seine Rolle basierend auf dem im Expression Builder konfigurierten Ausdruck und stellt ihn entsprechend als Reader bereit.
Reader der Anwendung zuweisen
- Klicken Sie in der linken Navigationsleiste auf Unternehmens-Apps und suchen Sie Ihre SCIM-SSO-Anwendung.
- Wählen Sie die Anwendung aus, gehen Sie zum Tab Benutzer und Gruppen , dann klicken Sie auf Benutzer hinzufügen/Gruppe.
- Auf der Seite "Zuweisungen hinzufügen" klicken Sie auf Benutzer und Gruppen, suchen Sie in der Suchleiste nach dem Benutzer und klicken Sie dann auf "Wählen > Zuweisen". Der Benutzer wurde erfolgreich der Anwendung zugewiesen.
- Um den Reader zu Document360 zu bringen, navigieren Sie zum Reiter Bereitstellung im linken Menü und klicken Sie auf Bereitstellung auf Abruf.
- In der Suchleiste "Ausgewählter Benutzer " suchen und wählen Sie den Benutzer aus, dann klicken Sie auf Bereitstellung.
- Der Leser wird automatisch zu Document360 hinzugefügt. Zur Verifizierung gehen Sie zu Document360 und navigieren Sie zu Einstellungen () > Benutzer & Berechtigungen > Leser & Gruppen.
Eine Gruppe erstellen
- Öffnen Sie den Gruppen-Tab im linken Menü und klicken Sie auf Neue Gruppe.
- Füllen Sie die erforderlichen Angaben aus und klicken Sie auf Erstellen.
Gruppe der Anwendung zuweisen
- Navigiere zu Unternehmens-Apps und wähle deine SCIM-SSO-Anwendung aus.
- Öffnen Sie den Reiter Benutzer und Gruppen, klicken Sie auf Benutzer und Gruppe hinzufügen, klicken Sie unter Benutzer und Gruppen auf Keine ausgewählt und suchen Sie nach dem Gruppennamen.
- Wähle die Gruppe aus und klicke auf Zuweisen.
Um die Gruppe für Document360 bereitzustellen:
- Navigiere zum Reiter Provisioning on Demand , suche nach dem Gruppennamen und klicke auf Provision.
- Sie können die Anzahl der Nutzer oder Mitglieder in der Gruppe über die Funktasten auswählen.
- Die Gruppe wird erfolgreich zu Document360 hinzugefügt. Zur Verifizierung gehen Sie zu Document360 und navigieren Sie zu Einstellungen () > Benutzer & Berechtigungen > Leser & Gruppen > Reader-Gruppen-Tab .
Verwaltung des Inhaltszugriffs für Nutzer, Leser und Gruppen
In Document360 können Benutzer- und Gruppennamen nicht direkt bearbeitet oder gelöscht werden – diese Aktionen müssen von Entra verwaltet werden. Sie können jedoch weiterhin Rollen, Berechtigungen und Inhaltszugriff innerhalb von Document360 verwalten.
- Wählen Sie den gewünschten Nutzer aus und klicken Sie auf Inhaltszugriff verwalten.
- Im Dialog verwenden Sie die Dropdowns, um den gewünschten Inhaltszugang auszuwählen.
- Falls nötig, kannst du auch Gruppenzuweisungen verwalten und den Nutzer einer gewünschten Gruppe hinzufügen.
- Klicken Sie auf Aktualisieren , um die Änderungen zu bestätigen und zu speichern.
Aktualisieren Sie einen Nutzer, einen Leser oder eine Gruppe
Um Änderungen an einem Benutzer- oder Gruppennamen vorzunehmen:
- In der linken Navigationsleiste klicken Sie auf Benutzer und suchen Sie in der Suchleiste nach dem Benutzer, dann klicken Sie auf Auswählen.
- Auf der Übersichtsseite des Nutzers öffnen Sie den Reiter Eigenschaften und klicken Sie auf das Bearbeiten-Symbol , um die notwendigen Änderungen vorzunehmen.
- Sobald Änderungen vorgenommen wurden, klicken Sie auf Speichern.
- Um diese Änderungen in Document360 widerzuspiegeln, navigieren Sie zu Enterprise-Apps > SCIM SSO App > Provisioning > Provision on Demand.
- Wählen Sie den aktualisierten Benutzer auf der Seite Provisioning on Demand aus und klicken Sie dann auf Provision.
Die aktualisierten Benutzerdaten werden nun in Document360 wiedergegeben.
Löschen Sie einen Benutzer, einen Leser oder eine Gruppe
Um einen Benutzer, Leser oder eine Gruppe zu löschen:
- Öffnen Sie im linken Menü den Reiter Benutzer, suchen Sie und wählen Sie den gewünschten Benutzer aus.
- Klicken Sie auf Löschen.
Der Nutzer wird erfolgreich gelöscht. Diese Änderung wird in Document360 widergespiegelt.
Das Löschen eines Benutzers in Entra entfernt das Benutzerprofil nicht aus Document360. Stattdessen ändert sich der Status des Benutzers von Aktiv zu Inaktiv.
Von einer anderen Anwendung erben
Beim Erstellen einer neuen SSO-Konfiguration in Document360 können Sie SCIM-Einstellungen von einer bestehenden SSO-Verbindung übernehmen. Dieser Ansatz vereinfacht den Einrichtungsprozess, vermeidet Wiederholungen der Konfigurationsschritte und hilft Administratoren, Zeit zu sparen, während er Konsistenz zwischen den Integrationen gewährleistet.
Kindlich geerbte SSO-Konfiguration
Auf der Seite "Identitätsanbieter konfigurieren" (IdP) wählen Sie das Feld "Eine bestehende Verbindung konfigurieren" aus und wählen Sie die übergeordnete SSO SCIM-fähige Anwendung aus, von der Sie erben möchten. Die Wahl dieser Option bestimmt das aktuelle Projekt als Kindprojekt und erbt alle relevanten Eigenschaften vom Elternteil.
Sobald die SSO-Konfiguration erstellt wurde, werden die SCIM-Bereitstellungseinstellungen von der Elternanwendung übernommen und können in der Kindanwendung nicht mehr geändert werden.
Elternerbte SSO-Konfiguration
Die übergeordnete Anwendung zeigt eine Liste aller Projekte an, die ihre Konfiguration übernommen haben. Alle Änderungen an der Elternanwendung werden automatisch in der Kindanwendung angezeigt.
- Wenn SCIM im Elternprojekt aktiviert ist, nachdem Kindprojekte es bereits geerbt haben, werden Benutzer und Gruppen automatisch allen Unterprojekten im Hintergrund zugeordnet.
- Die Aktivierung der Vererbung erleichtert die Verwaltung mehrerer SSO-Konfigurationen mit aktiviertem SCIM, da alle Einstellungen von einer übergeordneten Anwendung gesteuert werden. Dies spart Zeit und reduziert den Aufwand, jede Konfiguration einzeln zu verwalten.
Best Practices
- Verwenden Sie immer eine Nicht-Galerie-Anwendung in Entra. Galerie-Anwendungen unterstützen keine benutzerdefinierte SCIM-Bereitstellung. Wählen Sie beim Erstellen Ihrer Entra-Anwendung immer "Integrieren Sie jede andere Anwendung", die Sie nicht in der Galerie finden.
- Immer auf Benutzerebene eingestellt
isTeamAccount, nicht auf Gruppenebene. Benutzer, die mehreren Gruppen mit widersprüchlichen Werten angehören, können in Document360 falsche Rollen erhalten. Die Einstellung auf Benutzerebene stellt sicher, dass jeder Benutzer einen klaren, konsistenten Wert hat. - Setze den Standardwert für
isTeamAccountauf Falsch. Dies stellt sicher, dass jeder Benutzer ohne einen passenden Attributwert standardmäßig als Reader bereitgestellt wird, anstatt auszufallen oder eine unbeabsichtigte Rolle zu erhalten. - Schließen Sie die Document360 SSO-Konfiguration ab und speichern Sie sie, bevor Sie die SCIM-Verbindung testen. Tests vor dem Speichern der Document360-Konfiguration schlagen immer fehl. Mach immer zuerst die Document360-Einrichtung fertig und kehre dann zu Entra zurück, um die Verbindung zu testen.
- Bewahren Sie Ihre primären und sekundären Geheimtoken sicher auf. Tokens werden zum Zeitpunkt der Erstellung nur einmal angezeigt. Bewahre sie in einem Secrets-Manager oder Passworttresor auf. Wenn ein Token kompromittiert wird, generiere es sofort neu und aktualisiere deine Entra-Konfiguration ohne Verzögerung.
- Benutze den sekundären Token für eine sichere Rotation. Wenn der primäre Token ersetzt werden muss, tausche Entra zuerst auf den sekundären Token um und generiere dann den primären neu. Dies stellt sicher, dass die Benutzerbereitstellung während der Umstellung ohne Unterbrechung fortgesetzt wird.
- Nutze immer Provision on Demand, um einzelne Nutzer und Gruppen zu pushen. Das gibt dir eine präzise Kontrolle darüber, welche Benutzer bereitgestellt werden, und ermöglicht es, jeden einzelnen vor einer vollständigen Synchronisation zu überprüfen.
- Das Löschen eines Benutzers in Entra entfernt ihn nicht aus Document360. Ihr Status ändert sich in Document360 zu Inaktiv. Reaktiviere das Konto in Entra, falls der Zugriff wiederhergestellt werden muss.