Hoppa till huvudinnehåll
Hoppa över innehållsförteckningen

Så här konfigurerar du Azure AD för integration

Den här guiden beskriver hur du förbereder Microsoft Azure Active Directory (AD) för integration med eAdm eller eFeide. Processen innebär att skapa en applikationsregistrering och sedan tilldela nödvändiga behörigheter.

Du kan lugnt ignorera avsnittet om avancerad konfiguration om du inte fått särskilda instruktioner från Identum.

Del 1: Skapa en Azure AD-applikationsregistrering

  1. Logga in på Azure-portalen med ett administratörskonto.

  2. Navigera till Azure Active Directory.

  3. Välj Appregistrations i menyn till vänster och klicka sedan på + New registration.

  4. På sidan "Register an application" (Registrera en ansökan) gör du följande inställningar:

    • Namn: Ange ett beskrivande namn för applikationen. Till exempel: Identum eAdm Användar- och grupphantering.

    • Kontotyper som stöds: Välj Accounts in this organizational directory only (Single tenant).

    • Omdirigera URI: Lämna detta fält tomt.

  5. Klicka på Register för att skapa ansökan.

  6. När applikationen har skapats kopierar du Application (client) ID och Directory (tenant) ID från applikationens "Overview"-sida. Spara dessa värden för senare användning.

Varning för detta: Använd inte ett snedstreck (/) i programnamnet, eftersom det kan orsaka problem i Azure AD.

Del 2: Tilldela API-behörigheter

Därefter måste du ge programmet de API-behörigheter som krävs för att hantera användare och grupper.

  1. I din nya programregistrering navigerar du till API-behörigheter i menyn till vänster.

  2. Klicka på + Lägg till en behörighet.

  3. Välj Microsoft Graph.

  4. Välj Programbehörigheter.

  5. Lägg till följande behörigheter:

    • Katalog.läs.alla

    • Katalog.LäsaSkriva.Alla

    • Grupp.skapa

    • Group.Read.All

    • Grupp.läsa.skriva.alla

    • Gruppmedlem.LäsaSkriva.Alla

    • Användare.läs.alla

    • Användare.LäsaSkriva.Alla

    • User.EnableDisableAccount.All

  6. Lägg också till följande behörigheter om de är relevanta för dina specifika behov:

    • AuditLog.läs.alla: Krävs om du vill synkronisera lastLogonTimeStamp attribut till eAdm.

    • UserAuthenticationMethod.ReadWrite.All: Krävs om eAdm ska hantera MFA-metoder för användare.

    • Team.skapa: Krävs om eAdm ska skapa nya team.

    • Team.läsBasic.alla: Krävs om eAdm ska läsa grundläggande teaminformation.

    • Teamwork.Migrate.All: Krävs för vissa migrationsscenarier.

    • TeamTemplates.LäsAlla: Krävs om eAdm ska använda Team-mallar.

  7. När du har lagt till behörigheterna klickar du på Lägg till behörigheter.

  8. På skärmen API-behörigheter klickar du på Grant admin consent for [Your Tenant Name] och bekräftar när du uppmanas till det.

Observera: De behörigheter som anges i fetstil är obligatoriska för grundläggande integration. De övriga krävs för specifika, vanliga scenarier.

Del 3: Skapa en klienthemlighet

En klienthemlighet är ett lösenord som programmet använder för att autentisera sig.

  1. Navigera till Certifikat & hemligheter i menyn till vänster.

  2. Klicka på + Ny klienthemlighet.

  3. Ange en beskrivning för hemligheten och ställ in utgångsperioden till 24 månader.

  4. Klicka på Lägg till.

  5. Kopiera omedelbart värdet för den nya klienthemligheten från fältet Value.

Varning för detta: Klientens hemliga värde visas endast i sin helhet omedelbart efter skapandet. Om du inte kopierar det nu måste du skapa ett nytt. Förvara detta värde på ett säkert sätt.

Obs: Om Privileged Identity Management (PIM) är aktivt i din miljö kanske du inte kan ange ett fast utgångsdatum.

Del 4: Tilldela en administratörsroll

För att utföra känsliga åtgärder som att ändra lösenord eller uppdatera användares telefonnummer behöver programmet en administrativ roll.

  1. I Azure-portalen navigerar du till Azure Active Directory.

  2. Välj Roller och administratörer.

  3. Leta upp och välj rollen User Administrator.

  4. Klicka på Lägg till uppdrag.

  5. Sök efter och välj det program som du skapade tidigare (t.ex, Identum eAdm Användar- och grupphantering).

  6. På nästa skärm ställer du in Tilldelningstyp till Aktiv och anger en motivering, t.ex. "Krävs för att eFeide ska kunna hantera användarlösenord".

  7. Klicka på Assign för att slutföra rolltilldelningen.

Obs: Om du använder rolltilldelningsbara grupper för alla användare som hanteras av eFeide eller eAdm, kräver programmet rollen Privileged Authentication Administrator istället. Vänligen se: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/privileged-roles-permissions?tabs=admin-center#who-can-perform-sensitive-actions

Del 5: Skicka information till Identum

När konfigurationen är klar måste du skicka följande information till Identum för att slutföra installationen:

  • Hyresgästens namn (t.ex., dittföretag.onmicrosoft.com)

  • Directory (hyresgäst) ID

  • Applikation (klient) ID

  • Klienthemlighet

Varning för detta: Av säkerhetsskäl bör du skicka klienthemligheten separat från övrig information (t.ex. via SMS eller annan säker kanal).

Avancerad konfiguration

Varning för detta: Utför inte följande steg om du inte uttryckligen har blivit instruerad att göra det av Identum eller om du inte är en expertanvändare.

Tilldela behörigheter i Exchange Online

Dessa behörigheter krävs endast om eAdm eller eFeide ska hantera Exchange Online-funktioner direkt, t.ex. distributionsgrupper eller e-postaktiverade säkerhetsgrupper.

  1. I din programregistrering går du till API-behörigheter och klickar på + Lägg till en behörighet.

  2. Byt till fliken API:er som min organisation använder.

  3. Sök efter "Office" och välj Office 365 Exchange Online.

  4. Välj Programbehörigheter.

  5. Välj den Exchange.ManageAsApp behörighet och klicka på Lägg till behörigheter.

  6. Ge administratörsgodkännande för den nya behörigheten.

  7. Tilldela programmet rollen Exchange Recipient Administrator via panelen Roles and administ rators i Azure AD. Detta gör att den kan hantera Exchange-objekt.

Certifikatbaserad autentisering

Detta steg är endast nödvändigt om Identum behöver köra anpassade skript mot din Exchange Online- eller Azure AD-miljö. Detta används vanligtvis för avancerade integrationer och kommer att samordnas direkt med dig.

  1. Ett självsignerat certifikat kommer att genereras. Du kommer att få instruktioner om hur detta görs.

  2. I applikationsregistreringen navigerar du till Certifikat & hemligheter.

  3. Välj fliken Certifikat och klicka på Ladda upp certifikat.

  4. Ladda upp filen med den offentliga nyckeln (.cer, .pem, eller .crt) som tillhandahålls dig.

Bilaga: Genomgång av nödvändiga behörigheter

I följande tabell beskrivs behörigheterna för Microsoft Graph API och anledningen till att de krävs.

Åtgärd

Tillstånd

Beskrivning

Minimikrav?

Hämta ankare, hämta användare

Användare.läs.alla

Tillåter att appen läser de fullständiga profilegenskaperna för alla användare i organisationen.

Ja

Skapa, uppdatera, ta bort användare

Användare.LäsaSkriva.Alla

Tillåter appen att läsa och skriva den fullständiga profilen för alla användare.

Obs: Uppdatering av känsliga uppgifter (t.ex. telefonnummer, e-post) eller återställning av lösenord kräver att appen också tilldelas en administrativ roll med hög behörighet, t.ex. "Användaradministratör".

Ja

Återaktivera användare

User.EnableDisableAccount.All

Gör det möjligt för appen att aktivera och inaktivera användarkonton.

Ja

Hämta grupper

Group.Read.All

Gör det möjligt för appen att lista grupper och läsa deras egenskaper och medlemskap.

Ja

Skapa, uppdatera, ta bort grupp

Grupp.läsa.skriva.alla

Ger appen möjlighet att skapa, läsa och skriva alla gruppegenskaper och medlemskap. Kräver Användare.läs.alla för att lägga till användare som ägare eller medlemmar.

Ja

Medlemmar i uppdateringsgruppen

Gruppmedlem.LäsaSkriva.Alla

Ger appen möjlighet att läsa och uppdatera gruppmedlemskap.

Nej

Hämta senaste inloggningsaktivitet

AuditLog.läs.alla

Gör det möjligt att läsa AzureLastLogOnTimeStamp tillbaka till eADM. Om detta inte fungerar, Katalog.läs.alla kan vara ett alternativ.

nej

Tillgång till katalog

Katalog.LäsaSkriva.Alla

Tillåter appen att läsa och skriva data i katalogen (användare, grupper). Tillåter inte borttagning av användare/grupper eller återställning av lösenord.

Nej

Skapa team

Team.skapa

Gör att appen kan skapa team.

Nej

Skaffa team

Team.läsBasic.alla

Tillåter appen att läsa namn och beskrivningar av lag.

Nej

Migrera data från teamarbete

Teamwork.Migrate.All

Tillåter appen att skapa chatt- och kanalmeddelanden utan en inloggad användare.

Nej

Läs mallar för team

TeamTemplates.Läs.alla

Tillåter appen att läsa alla tillgängliga Teams-mallar.

Nej

JavaScript-fel har upptäckts

Observera att dessa fel kan bero på din webbläsares inställningar.

Om problemet kvarstår, vänligen kontakta vår support.

Kontakta support Nära