Overslaan naar hoofdinhoud
Inhoudsopgave overslaan

Azure AD configureren voor integratie

In deze handleiding wordt beschreven hoe u Microsoft Azure Active Directory (AD) kunt voorbereiden op integratie met eAdm of eFeide. Het proces omvat het creëren van een toepassingsregistratie en vervolgens het toewijzen van de benodigde machtigingen.

Je kunt het gedeelte over geavanceerde configuratie veilig negeren, tenzij dit specifiek door Identum wordt aangegeven.

Deel 1: Een Azure AD-toepassingsregistratie maken

  1. Log in op het Azure portaal met een beheerdersaccount.

  2. Navigeer naar Azure Active Directory.

  3. Selecteer App-registraties in het menu aan de linkerkant en klik vervolgens op + Nieuwe registratie.

  4. Configureer de volgende instellingen op de pagina "Een toepassing registreren":

    • Naam: Voer een beschrijvende naam in voor de toepassing. Bijvoorbeeld: Identum eAdm Gebruikers- en groepsbeheer.

    • Ondersteunde accounttypes: Selecteer Accounts alleen in deze organisatiemap (Single tenant).

    • URI omleiden: Laat dit veld leeg.

  5. Klik op Registreren om de toepassing aan te maken.

  6. Nadat de toepassing is gemaakt, kopieert u de ID van de toepassing (client) en de ID van de directory (huurder) van de pagina "Overzicht" van de toepassing. Bewaar deze waarden voor later gebruik.

Waarschuwing: Gebruik geen forward slash (/) in de applicatienaam, omdat dit problemen kan veroorzaken in Azure AD.

Deel 2: API-rechten toewijzen

Vervolgens moet je de applicatie de vereiste API-rechten geven om gebruikers en groepen te beheren.

  1. Navigeer in je nieuwe applicatieregistratie naar API-rechten in het linkermenu.

  2. Klik op + Toestemming toevoegen.

  3. Selecteer Microsoft Graph.

  4. Kies Toepassingsmachtigingen.

  5. Voeg de volgende rechten toe:

    • Directory.lezen.alle

    • Directory.ReadWrite.All

    • Groep.maken

    • Groep.lezen.alle

    • Groep.Lezen/Schrijven.Alle

    • Groepslid.Lezen/Schrijven.Alle

    • Gebruiker.lezen.alle

    • Gebruiker.lezen/schrijven.alle

    • User.EnableDisableAccount.All

  6. Voeg ook de volgende rechten toe als ze relevant zijn voor je specifieke behoeften:

    • AuditLog.Lezen.Alle: Vereist als u de lastLogonTimeStamp attribuut naar eAdm.

    • UserAuthenticationMethod.ReadWrite.All: Vereist als eAdm MFA-methoden voor gebruikers beheert.

    • Team.maken: Vereist als eAdm nieuwe Teams maakt.

    • Team.ReadBasic.All: Vereist als eAdm de basisinformatie van het team moet lezen.

    • Teamwork.migreren.alle: Vereist voor bepaalde migratiescenario's.

    • TeamTemplates.ReadAll: Vereist als eAdm Team sjablonen gebruikt.

  7. Klik na het toevoegen van de machtigingen op Machtigingen toevoegen.

  8. Klik in het scherm API-machtigingen op Toestemming verlenen voor [Uw huurdersnaam] en bevestig wanneer daarom wordt gevraagd.

Opmerking: De vetgedrukte rechten zijn verplicht voor basisintegratie. De andere zijn vereist voor specifieke, veelvoorkomende scenario's.

Deel 3: Een cliëntgeheim maken

Een clientgeheim is een wachtwoord dat de applicatie gebruikt om zichzelf te authenticeren.

  1. Navigeer naar Certificaten & geheimen in het linkermenu.

  2. Klik op + Nieuw clientgeheim.

  3. Voer een beschrijving in voor het geheim en stel de vervalperiode in op 24 maanden.

  4. Klik op Toevoegen.

  5. Kopieer onmiddellijk de waarde van het nieuwe cliëntgeheim uit het veld Waarde.

Waarschuwing: De client secret waarde wordt alleen volledig weergegeven direct na het aanmaken. Als je deze nu niet kopieert, moet je een nieuwe aanmaken. Bewaar deze waarde veilig.

Opmerking: Als Privileged Identity Management (PIM) actief is in je omgeving, kun je mogelijk geen vaste vervaldatum instellen.

Deel 4: Een beheerdersrol toewijzen

Om gevoelige acties uit te voeren, zoals het wijzigen van wachtwoorden of het bijwerken van telefoonnummers van gebruikers, heeft de applicatie een beheerdersrol nodig.

  1. Navigeer in de Azure portal naar Azure Active Directory.

  2. Selecteer Rollen en beheerders.

  3. Zoek en selecteer de rol Gebruikersbeheerder.

  4. Klik op Opdrachten toevoegen.

  5. Zoek en selecteer de toepassing die je eerder hebt gemaakt (bijv, Identum eAdm Gebruikers- en groepsbeheer).

  6. Stel in het volgende scherm het toewijzingstype in op Actief en geef een motivering op, zoals "Vereist voor eFeide om gebruikerswachtwoorden te beheren".

  7. Klik op Toewijzen om de roltoewijzing te voltooien.

Opmerking: Als u roltoewijsbare groepen gebruikt voor gebruikers die worden beheerd door eFeide of eAdm, heeft de toepassing in plaats daarvan de rol Privileged Authentication Administrator nodig. Zie: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/privileged-roles-permissions?tabs=admin-center#who-can-perform-sensitive-actions

Deel 5: Stuur informatie naar Identum

Als de configuratie voltooid is, moet je de volgende informatie naar Identum sturen om de installatie af te ronden:

  • Naam huurder (bijv, uwbedrijf.onmicrosoft.com)

  • Directory (huurder) ID

  • Applicatie (client) ID

  • Geheim van de klant

Waarschuwing: Verzend voor de veiligheid het Clientgeheim apart van de andere informatie (bijvoorbeeld via sms of een ander beveiligd kanaal).

Geavanceerde configuratie

Waarschuwing: Voer de volgende stappen niet uit, tenzij Identum u expliciet heeft geïnstrueerd dit te doen of u een ervaren gebruiker bent.

Machtigingen toewijzen in Exchange Online

Deze rechten zijn alleen nodig als eAdm of eFeide direct Exchange Online functies beheren, zoals distributiegroepen of mail-enabled beveiligingsgroepen.

  1. Ga in je applicatieregistratie naar API-rechten en klik op + Een recht toevoegen.

  2. Ga naar het tabblad API's die mijn organisatie gebruikt.

  3. Zoek naar "Office" en selecteer Office 365 Exchange Online.

  4. Selecteer Toepassingsmachtigingen.

  5. Kies de Exchange.ManageAsApp toestemming en klik op Machtigingen toevoegen.

  6. Geef beheerders toestemming voor de nieuwe toestemming.

  7. Wijs de applicatie de Exchange Recipient Administrator rol toe via het Rollen en beheerders paneel in Azure AD. Hierdoor kan de applicatie Exchange-objecten beheren.

Certificaatgebaseerde verificatie

Deze stap is alleen nodig als Identum aangepaste scripts tegen uw Exchange Online of Azure AD omgeving moet uitvoeren. Dit wordt meestal gebruikt voor geavanceerde integraties en zal direct met u worden gecoördineerd.

  1. Er wordt een zelfondertekend certificaat gegenereerd. Je krijgt instructies over hoe dit in zijn werk gaat.

  2. Navigeer in de toepassingsregistratie naar Certificaten & geheimen.

  3. Selecteer het tabblad Certificaten en klik op Certificaat uploaden.

  4. Upload het bestand met de openbare sleutel (.cer, .pemof .crt) aan u verstrekt.

Bijlage: Overzicht van vereiste toestemmingen

De volgende tabel geeft een overzicht van de Microsoft Graph API permissies en de reden waarom ze vereist zijn.

Actie

Toestemming

Beschrijving

Minimumvereiste?

Anker ophalen, gebruiker ophalen

Gebruiker.lezen.alle

Hiermee kan de app de volledige profieleigenschappen van alle gebruikers in de organisatie lezen.

Ja

Gebruiker aanmaken, bijwerken, verwijderen

Gebruiker.lezen/schrijven.alle

Hiermee kan de app het volledige profiel van alle gebruikers lezen en schrijven.

Opmerking: Voor het bijwerken van gevoelige gegevens (bijv. telefoonnummers, e-mail) of het resetten van wachtwoorden moet aan de app ook een beheerdersrol met hoge rechten worden toegewezen, zoals "Gebruikersbeheerder".

Ja

Gebruiker heractiveren

User.EnableDisableAccount.All

Hiermee kan de app gebruikersaccounts in- en uitschakelen.

Ja

Groepen

Groep.lezen.alle

Hiermee kan de app een lijst maken van groepen en hun eigenschappen en lidmaatschappen lezen.

Ja

Groep maken, bijwerken, verwijderen

Groep.Lezen/Schrijven.Alle

Hiermee kan de app alle groepseigenschappen en lidmaatschappen maken, lezen en schrijven. Vereist Gebruiker.lezen.alle om gebruikers toe te voegen als eigenaar of lid.

Ja

Groepsleden bijwerken

Groepslid.Lezen/Schrijven.Alle

Hiermee kan de app lidmaatschappen van groepen lezen en bijwerken.

Geen

Laatste aanmeldactiviteit

AuditLog.Lezen.Alle

Hiermee kunt u de AzureLastLogOnTimeStamp terug naar eADM. Als dit niet werkt, Directory.lezen.alle kan een alternatief zijn.

geen

Toegang directory

Directory.ReadWrite.All

Hiermee kan de app gegevens in de map lezen en schrijven (gebruikers, groepen). Gebruikers/groepen verwijderen of wachtwoorden resetten is niet mogelijk.

Geen

Teams samenstellen

Team.maken

Hiermee kan de app teams maken.

Geen

Teams krijgen

Team.ReadBasic.All

Hiermee kan de app de namen en beschrijvingen van teams lezen.

Geen

Teamwork-gegevens migreren

Teamwork.migreren.alle

Hiermee kan de app chat- en kanaalberichten maken zonder een aangemelde gebruiker.

Geen

Team sjablonen lezen

TeamTemplates.lezen.alle

Hiermee kan de app alle beschikbare sjablonen voor Teams lezen.

Geen

JavaScript-fouten gedetecteerd

Let op: deze fouten kunnen afhankelijk zijn van de instellingen van je browser.

Als dit probleem zich blijft voordoen, neem dan contact op met onze supportafdeling.

Contact Ondersteuning Sluit