Hvordan konfigurere Azure AD for integrasjon
Denne veiledningen beskriver hvordan du klargjør Microsoft Azure Active Directory (AD) for integrering med eAdm eller eFeide. Prosessen innebærer å opprette en applikasjonsregistrering og deretter tildele de nødvendige tillatelsene.
Du kan trygt ignorere avsnittet om avansert konfigurasjon, med mindre du har fått spesifikke instruksjoner fra Identum.
Del 1: Opprett en Azure AD-applikasjonsregistrering
Logg på Azure-portalen med en administratorkonto.
Naviger til Azure Active Directory.
Velg Appregistreringer i menyen til venstre, og klikk deretter på + Ny registrering.
På siden "Registrer en applikasjon" konfigurerer du følgende innstillinger:
Navn: Skriv inn et beskrivende navn for applikasjonen. For eksempel
Identum eAdm Bruker- og gruppeadministrasjon.Kontotyper som støttes: Velg Kontoer kun i denne organisasjonskatalogen (Single tenant).
Omdiriger URI: La dette feltet stå tomt.
Klikk på Registrer for å opprette søknaden.
Når applikasjonen er opprettet, kopierer du applikasjons-ID (klient) og katalog-ID (leietaker ) fra applikasjonens "Oversikt"-side. Lagre disse verdiene for senere bruk.
Advarsel: Ikke bruk en skråstrek (/) i applikasjonsnavnet, da dette kan forårsake problemer i Azure AD.
Del 2: Tildel API-tillatelser
Deretter må du gi applikasjonen de nødvendige API-tillatelsene til å administrere brukere og grupper.
I den nye applikasjonsregistreringen navigerer du til API-tillatelser i menyen til venstre.
Klikk på + Legg til en tillatelse.
Velg Microsoft Graph.
Velg Programtillatelser.
Legg til følgende tillatelser:
Katalog.les.alle
Directory.ReadWrite.All
Gruppe.opprett
Gruppe.les.alle
Group.ReadWrite.All
GroupMember.ReadWrite.All
Bruker.les.alle
User.ReadWrite.All
User.EnableDisableAccount.All
Legg også til følgende tillatelser hvis de er relevante for dine spesifikke behov:
AuditLog.Read.All: Påkrevd hvis du ønsker å synkroniserelastLogonTimeStampattributtet til eAdm.UserAuthenticationMethod.ReadWrite.All: Påkrevd hvis eAdm skal administrere MFA-metoder for brukere.Team.Create: Påkrevd hvis eAdm skal opprette nye team.Team.ReadBasic.All: Påkrevd hvis eAdm skal lese grunnleggende teaminformasjon.Teamwork.Migrate.All: Påkrevd for visse migreringsscenarier.TeamTemplates.ReadAll: Påkrevd hvis eAdm skal bruke teammaler.
Når du har lagt til tillatelsene, klikker du på Legg til tillatelser.
På API-tillatelsesskjermbildet klikker du på Gi administratorsamtykke for [Ditt leietakernavn] og bekrefter når du blir bedt om det.
Merk: Tillatelsene som er oppført i fet skrift, er obligatoriske for grunnleggende integrasjon. De andre er påkrevd for spesifikke, vanlige scenarier.
Del 3: Opprett en klienthemmelighet
En klienthemmelighet er et passord som applikasjonen bruker for å autentisere seg selv.
Gå til Sertifikater og hemmeligheter i menyen til venstre.
Klikk på + Ny klienthemmelighet.
Skriv inn en beskrivelse for hemmeligheten, og sett utløpsperioden til 24 måneder.
Klikk på Legg til.
Kopier umiddelbart verdien av den nye klienthemmeligheten fra Verdi-feltet.
Advarsel: Klientens hemmelige verdi vises bare i sin helhet umiddelbart etter opprettelsen. Hvis du ikke kopierer den nå, må du opprette en ny. Oppbevar denne verdien på en sikker måte.
Merk: Hvis Privileged Identity Management (PIM) er aktiv i miljøet ditt, er det ikke sikkert at du kan angi en fast utløpsdato.
Del 4: Tilordne en administratorrolle
For å utføre sensitive handlinger som å endre passord eller oppdatere brukerens telefonnummer, trenger applikasjonen en administrativ rolle.
Gå til Azure Active Directory i Azure-portalen.
Velg Roller og administratorer.
Finn og velg rollen Brukeradministrator.
Klikk på Legg til oppgaver.
Søk etter og velg programmet du opprettet tidligere (f.eks,
Identum eAdm Bruker- og gruppeadministrasjon).På neste skjermbilde angir du Tildelingstype til Aktiv og oppgir en begrunnelse, for eksempel "Nødvendig for at eFeide skal kunne administrere brukerpassord".
Klikk på Tildel for å fullføre rolletildelingen.
Merk: Hvis du bruker rolletildelbare grupper for brukere som administreres av eFeide eller eAdm, krever programmet i stedet rollen Privileged Authentication Administrator. Vennligst se: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/privileged-roles-permissions?tabs=admin-center#who-can-perform-sensitive-actions
Del 5: Send informasjon til Identum
Når konfigurasjonen er fullført, må du sende følgende informasjon til Identum for å fullføre oppsettet:
Leietakers navn (f.eks,
yourcompany.onmicrosoft.com)Katalog-ID (leietaker)
Applikasjon (klient) ID
Kundehemmelighet
Advarsel: Av sikkerhetsgrunner må du sende klienthemmeligheten separat fra den øvrige informasjonen (f.eks. via SMS eller en annen sikker kanal).
Avansert konfigurasjon
Advarsel: Ikke utfør følgende trinn med mindre du har fått eksplisitt beskjed om å gjøre det av Identum, eller du er ekspertbruker.
Tilordne tillatelser i Exchange Online
Disse tillatelsene er bare nødvendige hvis eAdm eller eFeide skal administrere Exchange Online-funksjoner direkte, for eksempel distribusjonsgrupper eller e-postaktiverte sikkerhetsgrupper.
Gå til API-tillatelser i applikasjonsregistreringen, og klikk på + Legg til en tillatelse.
Bytt til fanen API-er som organisasjonen min bruker.
Søk etter "Office", og velg Office 365 Exchange Online.
Velg Programtillatelser.
Velg den
Exchange.ManageAsApptillatelse og klikk på Legg til tillatelser.Gi administratortillatelse for den nye tillatelsen.
Tildel applikasjonen rollen Exchange-mottakeradministrator via panelet Roller og administratorer i Azure AD. Dette vil gjøre det mulig å administrere Exchange-objekter.
Sertifikatbasert autentisering
Dette trinnet er bare nødvendig hvis Identum trenger å kjøre tilpassede skript mot Exchange Online- eller Azure AD-miljøet ditt. Dette brukes vanligvis for avanserte integrasjoner og vil bli koordinert direkte med deg.
Et selvsignert sertifikat vil bli generert. Du vil få instruksjoner om hvordan dette gjøres.
Gå til Sertifikater og hemmeligheter i applikasjonsregistreringen.
Velg fanen Sertifikater, og klikk på Last opp sertifikat.
Last opp den offentlige nøkkelfilen (
.cer,.pem, eller.crt) som du har fått.
Vedlegg: Gjennomgang av nødvendige tillatelser
Tabellen nedenfor beskriver Microsoft Graph API-tillatelsene og årsaken til at de er påkrevd.
Handling | Tillatelse | Beskrivelse | Minimumskrav? |
|---|---|---|---|
Hent anker, hent bruker |
| Gjør det mulig for appen å lese alle profilegenskapene til alle brukere i organisasjonen. | Ja |
Opprett, oppdater, slett bruker |
| Gjør det mulig for appen å lese og skrive hele profilen til alle brukere. Merk: Oppdatering av sensitive data (f.eks. telefonnumre, e-post) eller tilbakestilling av passord krever at appen også er tildelt en administrativ rolle med høye rettigheter, for eksempel "Brukeradministrator". | Ja |
Reaktiver bruker |
| Gjør det mulig for appen å aktivere og deaktivere brukerkontoer. | Ja |
Få grupper |
| Gjør det mulig for appen å liste opp grupper og lese av deres egenskaper og medlemskap. | Ja |
Opprett, oppdater, slett gruppe |
| Gjør det mulig for appen å opprette, lese og skrive alle gruppeegenskaper og -medlemskap. Krever | Ja |
Oppdater gruppemedlemmer |
| Gjør det mulig for appen å lese og oppdatere gruppemedlemskap. | Nei |
Få siste påloggingsaktivitet |
| Gjør det mulig å lese | nei |
Katalogtilgang |
| Tillater appen å lese og skrive data i katalogen (brukere, grupper). Tillater ikke sletting av brukere/grupper eller tilbakestilling av passord. | Nei |
Opprett team |
| Gjør det mulig for appen å opprette team. | Nei |
Få team |
| Gjør det mulig for appen å lese navn og beskrivelser av lagene. | Nei |
Overfør teamarbeidsdata |
| Gjør det mulig for appen å opprette chat- og kanalmeldinger uten en pålogget bruker. | Nei |
Les teammaler |
| Gjør det mulig for appen å lese alle tilgjengelige Teams-maler. | Nei |