SCIM-integratie met Microsoft Entra stelt je in staat om Document360-gebruikers, lezers en groepen rechtstreeks vanuit Entra te beheren op een geautomatiseerde en centraal aangestuurde manier.
Wanneer een nieuwe gebruiker wordt toegevoegd in Entra, wordt hun Document360-account automatisch ingesteld. Alle updates van hun rol of groepslidmaatschap worden in realtime gesynchroniseerd, en wanneer een gebruiker wordt gedeactiveerd of verwijderd in Entra, wordt dit in Document360 weergegeven zonder handmatige tussenkomst. Dit elimineert de noodzaak voor apart accountbeheer in Document360 en zorgt ervoor dat gebruikersgegevens accuraat en up-to-date blijven op beide platforms.
Waarom gebruikers en lezers beheren via SCIM
Het handmatig beheren van gebruikers over meerdere platforms kost veel tijd en brengt risico's met zich mee. Zonder SCIM moeten beheerders onthouden om nieuwe medewerkers apart aan Document360 toe te voegen en handmatig toegang in te trekken wanneer iemand vertrekt. Fouten kunnen leiden tot ongeautoriseerde toegang of vertraagde onboarding.
Met SCIM ingeschakeld tussen Microsoft Entra en Document360:
- Nieuwe medewerkers worden automatisch aan Document360 toegevoegd wanneer ze in Entra worden toegevoegd — er is geen aparte installatie nodig.
- Roltoewijzingen zijn consistent en worden gecontroleerd via één enkele bron van waarheid in je IdP.
- Wanneer een gebruiker in Entra wordt verwijderd, wordt zijn toegang tot Document360 automatisch ingetrokken.
- Wijzigingen in groepslidmaatschap in Entra worden in realtime weergegeven in Document360.
- Contenttoegang blijft beheersbaar vanuit Document360, zelfs wanneer identiteit door Entra wordt beheerd.
Voordat je begint
SCIM-provisioning in Document360 is ingesteld als onderdeel van je SSO-configuratie. Zorg ervoor dat de volgende onderdelen zijn afgerond voordat u verder gaat:
- Je Microsoft Entra-applicatie moet worden aangemaakt als een niet-galerij-app met behulp van: Nieuwe applicatie > Maak je eigen applicatie > Integreer elke andere applicatie die je niet in de galerij vindt. Als je een Gallery-app gebruikt, is SCIM-provisioning niet beschikbaar.
- SAML SSO moet volledig geconfigureerd zijn en werken tussen Microsoft Entra en Document360.
- SCIM-provisioning moet ingeschakeld zijn in Document360. Ga naar Instellingen () > Gebruikers & machtigingen > SSO-configuratie, open je SSO-setup en bevestig dat de schakelaar SCIM-inschakeling ingeschakeld is.
SCIM-provisioning met Microsoft Entra wordt alleen ondersteund via SAML. OpenID Connect with Entra ondersteunt geen SCIM-provisioning in Document360.
Start met provisioning
Om te beginnen met provisionen in Entra, zorg ervoor dat je SCIM al hebt aangemaakt en geïntegreerd met Entra. Als je klaar bent:
- Ga naar je SCIM-applicatie in Entra en klik op Start provisioning.
- Klik in het bevestigingsvenster op Ja.
Met SCIM kun je lezers, gebruikers en groepen beheren, en alle wijzigingen worden automatisch gesynchroniseerd met Document360.
Attributenmapping toewijzen
Om een nieuwe attribuutmapping te maken voor de Gebruikersrolconditie:
- Open het tabblad Enterprise-app en selecteer je SCIM SSO-applicatie.
- Ga naar het tabblad Provisioning , selecteer vervolgens Attribute mapping (Preview) in het linkermenu en klik op Provisioning Microsoft Entra ID Users.
- Scroll naar beneden naar het gedeelte Attributenmappings , selecteer het vakje 'Geavanceerde opties weergeven ' en klik vervolgens op Attributenlijst bewerken voor aangepaste apps, dus om verder te gaan.
- Op de pagina Attributenlijst bewerken scroll naar beneden, voer de URL-parameter in het Naam-veld in en stel het Type in zoals hieronder weergegeven.
| Naam | Type |
|---|---|
| urn:ietf:params:scim:schemas:extension:document360:2.0:User:userType | Snaar |
| urn:ietf:params:scim:schemas:extension:document360:2.0:User:isTeamAccount | Booleans |
Zorg ervoor dat er geen witte ruimtes zijn bij het invoeren van de URL-parameter in het Naam-veld. userType is een String-attribuut dat alle drie de rollen ondersteunt (user, reviewer, reader). is isTeamAccount een legacy Boolean-attribuut dat alleen User en Reader ondersteunt. Bestaande configuraties isTeamAccount werken zonder wijzigingen — overschakelen naar userType is alleen nodig als je Reviewers wilt provisioneren. Voor de volledige precedentieregels, zie Attribuutprecedentie in het artikel SCIM-provisioning.
- Klik op Opslaan en vervolgens op Ja in het bevestigingsmenu.
Gebruik Expression Builder om rollen toe te wijzen
Je kunt een attributenmapping-expressie in Entra configureren die het bestaande profielattribuut van elke gebruiker evalueert, zoals Functietitel, en automatisch bepaalt of ze als Gebruiker, Reviewer of Lezer in Document360 moeten worden ingesteld.
De uitdrukking is direct gekoppeld aan de userType of het legacy-attribuut isTeamAccount :
userType = user→ geprovisioneerd als een GebruikeruserType = reviewer→ bestemd als beoordelaaruserType = reader→ als Reader bevoorraden.isTeamAccount = True→ geprovisioneerd als een GebruikerisTeamAccount = False→ als lezer ingesteld
Stappen om te configureren:
- Open je SCIM SSO-applicatie in Entra en ga naar Provisioning > Attribute Mappings.
- Zoek het
userTypeof-attribuutisTeamAccounten klik op het Bewerken-icoon ernaast. Dit navigeert naar de pagina Attributen Bewerken . - Stel het Mapping-type in op Expressie.
- Voer je expressie in het expressieveld. De expressie evalueert het profielattribuut van elke gebruiker en bepaalt of deze als Gebruiker, Reviewer of Lezer moet worden ingesteld. Raadpleeg de Link Gebruik de expressiebouwer onder het expressieveld om je expressie visueel te bouwen en te testen tegen een echte gebruiker in je map voordat je deze toepast.
Voor meer informatie over het bouwen en testen van expressies in Entra, raadpleeg de documentatie van Microsofts Expression Builder .
- Stel de standaardwaarde als null (optioneel) in op
Reader(vooruserType) of False (voorisTeamAccount). Dit zorgt ervoor dat elke gebruiker zonder een bijpassende attribuutwaarde standaard als Lezer wordt ingesteld. - Klik op Oké om het attribuut op te slaan.
Voorbeeld
- Als je gebruikers een functietitel-attribuut in hun Entra-profiel hebben, kun je rollen toewijzen op basis van hun titel met behulp van:
userType
Switch([jobTitle], "reader", "Manager", "user", "Senior Manager", "user", "Team Lead", "reviewer")
Gebruikers met de titel Manager of Senior Manager worden als Gebruikers ingesteld, Teamleider wordt als Reviewer ingesteld, en elke andere functietitel geeft Lezer terug.
- Als je gebruikers een functietitel-attribuut in hun Entra-profiel hebben, kun je rollen toewijzen op basis van hun titel met behulp van:
isTeamAccount
Switch([jobTitle], "False", "Manager", "True", "Senior Manager", "True", "Team Lead", "True")
Gebruikers met de titels Manager, Senior Manager of Teamleider worden als gebruikers ingericht. Elke andere functietitel geeft False terug en de gebruiker wordt als Lezer ingericht.
Maak gebruikers, lezers en groepen aan
Maak een gebruiker aan
- Vouw het entra ID-dropdown uit in de linker navigatiebalk en klik op Gebruikers.
- Klik op Nieuwe gebruiker > Nieuwe gebruiker aanmaken en vul de vereiste gebruikersgegevens in.
- Klik op Aanmaken + beoordelen, en vervolgens op Aanmaken om de gebruiker af te ronden en aan te maken.
Zodra de gebruiker is aangemaakt en geprovisioneerd, bepaalt Document360 automatisch zijn rol op basis van de expressie die in de Expression Builder is geconfigureerd en stelt hij of zij dienovereenkomstig in als User.
Gebruiker aan applicatie toewijzen
- Klik op Enterprise-apps in de linker navigatiebalk en zoek je SCIM SSO-applicatie.
- Selecteer de applicatie en ga naar het tabblad Gebruikers en Groepen , klik vervolgens op Gebruiker toevoegen/groep.
- Op de pagina Opdrachten toevoegen klik je op Gebruikers en groepen, zoek je naar de gebruiker in de zoekbalk en klik dan op Selecteer > Toewijzen. De gebruiker is succesvol toegewezen aan de applicatie.
- Om de gebruiker naar Document360 te sturen, navigeer je naar het tabblad Provisioning in het linkermenu en klik je op Provisioning on demand.
- In de zoekbalk Geselecteerde gebruiker zoek en selecteer je de gebruiker, en klik dan op Provision.
De gebruiker wordt automatisch toegevoegd aan Document360. Om te verifiëren, ga naar Document360 en ga naar Instellingen () > Gebruikers & machtigingen > Gebruikers & groepen.
Maak een lezer
- Vouw het entra ID-dropdown uit in de linker navigatiebalk en klik op Gebruikers.
- Klik op Nieuwe gebruiker > Nieuwe gebruiker aanmaken en vul de vereiste gebruikersgegevens in.
- Klik op Aanmaken + beoordelen, en vervolgens op Aanmaken om de lezer af te ronden en aan te maken.
Zodra de gebruiker is aangemaakt en geprovisioneerd, bepaalt Document360 automatisch hun rol op basis van de expressie die in de Expression Builder is geconfigureerd en stelt deze dienovereenkomstig in als een Lezer.
Wijs lezer toe aan applicatie
- Klik op Enterprise-apps in de linker navigatiebalk en zoek je SCIM SSO-applicatie.
- Selecteer de applicatie en ga naar het tabblad Gebruikers en Groepen , klik vervolgens op Gebruiker toevoegen/groep.
- Op de pagina Toewijzingen toevoegen klik je op Gebruikers en groepen, zoek je naar de gebruiker in de zoekbalk en klik je vervolgens op Selecteer > Toewijzen. De gebruiker is succesvol toegewezen aan de applicatie.
- Om de lezer naar Document360 te verplaatsen, ga je naar het tabblad Provisioning in het linkermenu en klik je op Provisioning on demand.
- In de zoekbalk Geselecteerde gebruiker zoek en selecteer je de gebruiker, en klik dan op Provision.
- De lezer wordt automatisch toegevoegd aan Document360. Om te verifiëren, ga naar Document360 en navigeer naar Instellingen () > Gebruikers & rechten > Lezers & groepen.
Maak een groep aan
- Open het tabblad Groepen in het linkermenu en klik op Nieuwe Groep.
- Vul de vereiste gegevens in en klik op Aanmaken.
Groep toewijzen aan applicatie
- Ga naar Enterprise-apps en selecteer je SCIM SSO-applicatie.
- Open het tabblad Gebruikers en groepen , klik op Gebruiker toevoegen/groep, klik vervolgens op Geen geselecteerd onder Gebruikers en groepen en zoek op de groepsnaam.
- Selecteer de groep en klik op Toewijzen.
Om de groep aan Document360 toe te voegen:
- Ga naar het tabblad Provisioning on demand , zoek naar de groepsnaam en klik op Provision.
- Je kunt het aantal gebruikers of leden in de groep selecteren door de radioknoppen te gebruiken.
- De groep zal succesvol worden toegevoegd aan Document360. Om te verifiëren, ga naar Document360 en ga naar Instellingen () > Gebruikers & machtigingen > Lezers & groepen > tabblad Lezersgroep .
Beheer de toegang tot inhoud voor gebruikers, lezers en groepen
In Document360 kunnen gebruikers- en groepsnamen niet direct worden bewerkt of verwijderd — deze acties moeten vanuit Entra worden beheerd. Je kunt echter nog steeds rollen, permissies en contenttoegang beheren binnen Document360.
- Selecteer de gewenste gebruiker en klik op Toegang tot inhoud beheren.
- Gebruik in de dialogen de dropdowns om de gewenste contenttoegang te selecteren.
- Indien nodig kun je ook groepsopdrachten beheren en de gebruiker toevoegen aan een gewenste groep.
- Klik op Bijwerken om de wijzigingen te bevestigen en op te slaan.
Werk een gebruiker, lezer of groep bij
Om wijzigingen aan te brengen in een gebruikers- of groepsnaam:
- Klik in de linker navigatiebalk op Gebruikers en zoek naar de gebruiker in de zoekbalk, en klik vervolgens op Selecteren.
- Open op de Overzichtspagina van de gebruiker het tabblad Eigenschappen en klik op het Bewerken-icoon om de benodigde wijzigingen aan te brengen.
- Zodra er wijzigingen zijn aangebracht, klik je op Opslaan.
- Om deze veranderingen in Document360 weer te geven, navigeer naar Enterprise-apps > SCIM SSO-app > Provisioning > Provision on demand.
- Selecteer de bijgewerkte gebruiker op de pagina Provisioning on demand en klik vervolgens op Provision.
De bijgewerkte gebruikersgegevens worden nu weergegeven in Document360.
Verwijder een gebruiker, lezer of groep
Om een gebruiker, lezer of groep te verwijderen:
- Open het tabblad Gebruikers in het linkermenu, zoek vervolgens en selecteer de gewenste gebruiker.
- Klik op verwijderen.
De gebruiker wordt succesvol verwijderd. Deze wijziging zal worden weergegeven in Document360.
Het verwijderen van een gebruiker in Entra verwijdert het gebruikersprofiel niet uit Document360. In plaats daarvan verandert de status van de gebruiker van Actief naar Inactief.
Erven van een andere applicatie
Bij het aanmaken van een nieuwe SSO-configuratie in Document360 kun je SCIM-instellingen erven van een bestaande SSO-verbinding. Deze aanpak vereenvoudigt het installatieproces, voorkomt herhaling van configuratiestappen en helpt beheerders tijd te besparen terwijl consistentie tussen integraties wordt gewaarborgd.
Kindgeërfde SSO-configuratie
Selecteer op de pagina Configure Identity Provider (IdP) het veld 'Configure an existing connection' en kies de ouderapplicatie van SSO SCIM waarvan je wilt erven. Door deze optie te selecteren, wordt het huidige project aangewezen als het kindproject, waarbij alle relevante eigenschappen van de ouder worden geërfd.
Zodra de SSO-configuratie is aangemaakt, worden de SCIM-provisioning-instellingen overgenomen van de ouderapplicatie en kunnen ze niet meer worden aangepast in de kindapplicatie.
Oudergeërfde SSO-configuratie
De moederapplicatie toont een lijst van alle projecten die de configuratie hebben geërfd. Alle wijzigingen die aan de ouderapplicatie worden aangebracht, worden automatisch weergegeven in de kindapplicatie.
- Als SCIM in het hoofdproject is ingeschakeld nadat kindprojecten het al hebben geërfd, worden de gebruikers en groepen automatisch aan alle kindprojecten op de achtergrond toegewezen.
- Het inschakelen van overerving maakt het eenvoudiger om meerdere SSO-configuraties met SCIM ingeschakeld te beheren, omdat alle instellingen vanuit één ouderapplicatie worden bestuurd. Dit bespaart tijd en vermindert de inspanning die nodig is om elke configuratie afzonderlijk te beheren.
Best practices
- Gebruik altijd een niet-galerij applicatie in Entra. Galerijapplicaties ondersteunen geen aangepaste SCIM-provisioning. Selecteer altijd 'Maak je eigen applicatie ' en kies 'Integreer elke andere applicatie die je niet in de galerij vindt ' bij het maken van je Entra-applicatie.
- Altijd ingesteld
userTypeofisTeamAccountop gebruikersniveau, niet op groepsniveau. Gebruikers die tot meerdere groepen met conflicterende waarden behoren, kunnen onjuiste rollen krijgen in Document360. Door het op gebruikersniveau in te stellen, krijgt elke gebruiker één duidelijke, consistente waarde. - Stel de standaardwaarde voor in
userTypeop "reader" ofisTeamAccountop False. Dit zorgt ervoor dat elke gebruiker zonder een bijpassende attribuutwaarde standaard als Lezer wordt ingesteld, in plaats van te falen of een onbedoelde rol te ontvangen. - Voltooi en sla de Document360 SSO-configuratie op voordat je de SCIM-verbinding test. Testen voordat de Document360-configuratie wordt opgeslagen, zal altijd falen. Maak altijd eerst de Document360-installatie af en ga daarna terug naar Entra om de verbinding te testen.
- Bewaar je primaire en secundaire geheime tokens veilig. Tokens worden slechts één keer getoond bij het maken ervan. Bewaar ze in een secrets manager of wachtwoordkluis. Als een token wordt gecompromitteerd, genereer deze dan onmiddellijk opnieuw en werk je Entra-configuratie zonder vertraging bij.
- Gebruik de secundaire token voor veilige rotatie. Als de primaire token vervangen moet worden, schakel dan eerst Entra over naar de secundaire token en genereer dan de primaire token. Dit zorgt ervoor dat de gebruikelijke provisioning zonder onderbreking doorgaat tijdens de overgang.
- Gebruik altijd Provision on demand om individuele gebruikers en groepen te pushen. Dit geeft je nauwkeurige controle over welke gebruikers zijn geprovisioneerd en stelt je in staat om elk van deze te verifiëren voordat je volledig synchroniseert.
- Het verwijderen van een gebruiker in Entra verwijdert deze niet uit Document360. Hun status verandert in Inactief in Document360. Activeer het account opnieuw in Entra als de toegang hersteld moet worden.