Azure AD configureren voor integratie
In deze handleiding wordt beschreven hoe u Microsoft Azure Active Directory (AD) kunt voorbereiden op integratie met eAdm of eFeide. Het proces omvat het creëren van een toepassingsregistratie en vervolgens het toewijzen van de benodigde machtigingen.
Je kunt het gedeelte over geavanceerde configuratie veilig negeren, tenzij dit specifiek door Identum wordt aangegeven.
Deel 1: Een Azure AD-toepassingsregistratie maken
Log in op het Azure portaal met een beheerdersaccount.
Navigeer naar Azure Active Directory.
Selecteer App-registraties in het menu aan de linkerkant en klik vervolgens op + Nieuwe registratie.
Configureer de volgende instellingen op de pagina "Een toepassing registreren":
Naam: Voer een beschrijvende naam in voor de toepassing. Bijvoorbeeld:
Identum eFeide-eAdm User and Group Management.Ondersteunde accounttypes: Selecteer Accounts alleen in deze organisatiemap (Single tenant).
URI omleiden: Laat dit veld leeg.
Klik op Registreren om de toepassing aan te maken.
Nadat de toepassing is gemaakt, kopieert u de ID van de toepassing (client) en de ID van de directory (huurder) van de pagina "Overzicht" van de toepassing. Bewaar deze waarden voor later gebruik.
Waarschuwing: Gebruik geen forward slash (/) in de applicatienaam, omdat dit problemen kan veroorzaken in Azure AD.
Deel 2: API-rechten toewijzen
Vervolgens moet je de applicatie de vereiste API-rechten geven om gebruikers en groepen te beheren.
Navigeer in je nieuwe applicatieregistratie naar API-rechten in het linkermenu.
Klik op + Toestemming toevoegen.
Selecteer Microsoft Graph.
Kies Toepassingsmachtigingen.
Voeg de volgende rechten toe:
Directory.lezen.alle
Directory.ReadWrite.All
Groep.maken
Groep.lezen.alle
Groep.Lezen/Schrijven.Alle
Groepslid.Lezen/Schrijven.Alle
Gebruiker.lezen.alle
Gebruiker.lezen/schrijven.alle
User.EnableDisableAccount.All
Voeg ook de volgende rechten toe als ze relevant zijn voor je specifieke behoeften:
AuditLog.Read.All: Vereist als u delastLogonTimeStampattribuut naar eAdm.UserAuthenticationMethod.ReadWrite.All: Vereist als eAdm MFA-methoden voor gebruikers beheert.Team.Create: Vereist als eAdm nieuwe Teams maakt.Team.ReadBasic.All: Vereist als eAdm de basisinformatie van het team moet lezen.Teamwork.Migrate.All: Vereist voor bepaalde migratiescenario's.TeamTemplates.ReadAll: Vereist als eAdm Team sjablonen gebruikt.
Klik na het toevoegen van de machtigingen op Machtigingen toevoegen.
Klik in het scherm API-machtigingen op Toestemming verlenen voor [Uw huurdersnaam] en bevestig wanneer daarom wordt gevraagd.
Opmerking: De vetgedrukte rechten zijn verplicht voor basisintegratie. De andere zijn vereist voor specifieke, veelvoorkomende scenario's.
Deel 3: Een cliëntgeheim maken
Een clientgeheim is een wachtwoord dat de applicatie gebruikt om zichzelf te authenticeren.
Navigeer naar Certificaten & geheimen in het linkermenu.
Klik op + Nieuw clientgeheim.
Voer een beschrijving in voor het geheim en stel de vervalperiode in op 24 maanden.
Klik op Toevoegen.
Kopieer onmiddellijk de waarde van het nieuwe cliëntgeheim uit het veld Waarde.
Waarschuwing: De client secret waarde wordt alleen volledig weergegeven direct na het aanmaken. Als je deze nu niet kopieert, moet je een nieuwe aanmaken. Bewaar deze waarde veilig.
Opmerking: Als Privileged Identity Management (PIM) actief is in je omgeving, kun je mogelijk geen vaste vervaldatum instellen.
Deel 4: Een beheerdersrol toewijzen
Om gevoelige acties uit te voeren, zoals het wijzigen van wachtwoorden of het bijwerken van telefoonnummers van gebruikers, heeft de applicatie een beheerdersrol nodig.
Navigeer in de Azure portal naar Azure Active Directory.
Selecteer Rollen en beheerders.
Zoek en selecteer de rol Gebruikersbeheerder.
Klik op Opdrachten toevoegen.
Zoek en selecteer de toepassing die je eerder hebt gemaakt (bijv,
Identum eFeide-eAdm User and Group Management).Stel in het volgende scherm het toewijzingstype in op Actief en geef een motivering op, zoals "Vereist voor eFeide om gebruikerswachtwoorden te beheren".
Klik op Toewijzen om de roltoewijzing te voltooien.
Opmerking: Als u roltoewijsbare groepen gebruikt voor gebruikers die worden beheerd door eFeide of eAdm, heeft de toepassing in plaats daarvan de rol Privileged Authentication Administrator nodig. Zie: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/privileged-roles-permissions?tabs=admin-center#who-can-perform-sensitive-actions
Deel 5: Stuur informatie naar Identum
Als de configuratie voltooid is, moet je de volgende informatie naar Identum sturen om de installatie af te ronden:
Naam huurder (bijv,
yourcompany.onmicrosoft.com)Directory (huurder) ID
Applicatie (client) ID
Geheim van de klant
Waarschuwing: Verzend voor de veiligheid het Clientgeheim apart van de andere informatie (bijvoorbeeld via sms of een ander beveiligd kanaal).
Geavanceerde configuratie
Waarschuwing: Voer de volgende stappen niet uit, tenzij Identum u expliciet heeft geïnstrueerd dit te doen of u een ervaren gebruiker bent.
Machtigingen toewijzen in Exchange Online
Deze rechten zijn alleen nodig als eAdm of eFeide direct Exchange Online functies beheren, zoals distributiegroepen of mail-enabled beveiligingsgroepen.
Ga in je applicatieregistratie naar API-rechten en klik op + Een recht toevoegen.
Ga naar het tabblad API's die mijn organisatie gebruikt.
Zoek naar "Office" en selecteer Office 365 Exchange Online.
Selecteer Toepassingsmachtigingen.
Kies de
Exchange.ManageAsApptoestemming en klik op Machtigingen toevoegen.Geef beheerders toestemming voor de nieuwe toestemming.
Wijs de applicatie de Exchange Recipient Administrator rol toe via het Rollen en beheerders paneel in Azure AD. Hierdoor kan de applicatie Exchange-objecten beheren.
Mail-enabled beveiligingsgroepen:
Het omgaan met mail-enabled beveiligingsgroepen vereist een extra rol ("Security Group Creation and Membership" in Exchange Online. Dit kan een beetje lastig zijn om in te stellen. Maar hieronder beschrijven we hoe je de enkele rol toevoegt (je kunt aangepaste rolgroepen gebruiken als je dat liever hebt). Zie https://learn.microsoft.com/en-us/exchange/permissions-exo/application-rbac voor achtergrond en verdere instructies:
1. Maak de Service Principal aan in Exchange Online
Zoek eerst de Object ID van je applicatie op in Azure AD en registreer hiermee de service principal binnen Exchange Online. Dit hoeft maar één keer per applicatie gedaan te worden.
PowerShell# Make sure you are connected to both services
# Connect-MgGraph -Scopes "Application.Read.All"
# Connect-ExchangeOnline
# --- Enter your Application (Client) ID here ---
$appId = "00000000-0000-0000-0000-000000000000"
# Find the application's details in Azure AD
$sp = Get-MgServicePrincipal -Filter "appId eq '$appId'"
# Create the service principal object within Exchange Online
# The -ErrorAction flag prevents an error if it already exists
New-ServicePrincipal -AppId $sp.AppId -ObjectId $sp.Id -DisplayName $sp.DisplayName -ErrorAction SilentlyContinue
2. Wijs de enkele rol toe aan de toepassing
Gebruik nu de New-ManagementRoleAssignment cmdlet met de -App parameter om de rol direct toe te wijzen aan de service principal die je zojuist hebt aangemaakt.
PowerShell# Assign the role directly to the application
# Provide a unique name for the role assignment
New-ManagementRoleAssignment -App $appId -Role "Security Group Creation and Membership" -Name "App_SG_Creation_Membership_Direct_Assignment"
Uw applicatie heeft nu de specifieke Exchange Online rechten om mail-enabled beveiligingsgroepen te beheren.
Certificaatgebaseerde verificatie
Deze stap is alleen nodig als Identum aangepaste scripts tegen uw Exchange Online of Azure AD omgeving moet uitvoeren. Dit wordt meestal gebruikt voor geavanceerde integraties en zal direct met u worden gecoördineerd.
Er wordt een zelfondertekend certificaat gegenereerd. Je krijgt instructies over hoe dit in zijn werk gaat.
Navigeer in de toepassingsregistratie naar Certificaten & geheimen.
Selecteer het tabblad Certificaten en klik op Certificaat uploaden.
Upload het bestand met de openbare sleutel (
.cer,.pemof.crt) aan u verstrekt.
Bijlage: Overzicht van vereiste toestemmingen
De volgende tabel geeft een overzicht van de Microsoft Graph API permissies en de reden waarom ze vereist zijn.
Actie | Toestemming | Beschrijving | Minimumvereiste? |
|---|---|---|---|
Anker ophalen, gebruiker ophalen |
| Hiermee kan de app de volledige profieleigenschappen van alle gebruikers in de organisatie lezen. | Ja |
Gebruiker aanmaken, bijwerken, verwijderen |
| Hiermee kan de app het volledige profiel van alle gebruikers lezen en schrijven. Opmerking: Voor het bijwerken van gevoelige gegevens (bijv. telefoonnummers, e-mail) of het resetten van wachtwoorden moet aan de app ook een beheerdersrol met hoge rechten worden toegewezen, zoals "Gebruikersbeheerder". | Ja |
Gebruiker heractiveren |
| Hiermee kan de app gebruikersaccounts in- en uitschakelen. | Ja |
Groepen |
| Hiermee kan de app een lijst maken van groepen en hun eigenschappen en lidmaatschappen lezen. | Ja |
Groep maken, bijwerken, verwijderen |
| Hiermee kan de app alle groepseigenschappen en lidmaatschappen maken, lezen en schrijven. Vereist | Ja |
Groepsleden bijwerken |
| Hiermee kan de app lidmaatschappen van groepen lezen en bijwerken. | Geen |
Laatste aanmeldactiviteit |
| Hiermee kunt u de | geen |
Toegang directory |
| Hiermee kan de app gegevens in de map lezen en schrijven (gebruikers, groepen). Gebruikers/groepen verwijderen of wachtwoorden resetten is niet mogelijk. | Geen |
Teams samenstellen |
| Hiermee kan de app teams maken. | Geen |
Teams krijgen |
| Hiermee kan de app de namen en beschrijvingen van teams lezen. | Geen |
Teamwork-gegevens migreren |
| Hiermee kan de app chat- en kanaalberichten maken zonder een aangemelde gebruiker. | Geen |
Team sjablonen lezen |
| Hiermee kan de app alle beschikbare sjablonen voor Teams lezen. | Geen |