1. Einführung
Provisioning ist der Prozess, mit dem Benutzerkonten in einer Anwendung automatisch erstellt, aktualisiert oder gesperrt werden, wenn Änderungen im Hauptverzeichnis (in diesem Fall Microsoft Entra) vorgenommen werden. Durch die Einrichtung des Provisionings stellst du sicher, dass die Benutzerkonten in deinen Anwendungen auf der Cyber Guru Plattform immer aktuell sind, ohne dass du manuell eingreifen musst.
Diese Anleitung hilft dir dabei, das Provisioning für eine Anwendung in Microsoft Entra einzurichten.
2. Wichtige Begriffe
- Microsoft Entra: Der Online-Identitätsdienst von Microsoft, der beim Verwalten von Benutzerzugriffen und Sicherheit hilft.
- Provisioning: Automatisches Erstellen, Aktualisieren oder Sperren von Benutzerkonten in einer verbundenen Anwendung, basierend auf den Informationen in Microsoft Entra.
- Anwendung: Jeder Online-Dienst oder jedes Tool, das von deiner Organisation genutzt wird (z. B. eine HR-Software oder ein Cloud-Dienst).
- SCIM: Ein Protokoll, das das Provisioning von Benutzern vereinfacht (sofern deine Anwendung SCIM unterstützt).
3. Bevor du beginnst
Stelle sicher, dass du als Administrator Zugriff auf Microsoft Entra hast. Wenn du dir nicht sicher bist, wende dich an den IT-Support.
Du solltest genau wissen, für welche Anwendung du das Benutzer-Provisioning einrichten möchtest. In den meisten Fällen musst du eine neue Anwendung erstellen.
Du solltest die Tenant-URL und das Token von Cyber Guru erhalten haben.
Alle von der Cyber Guru Plattform benötigten Attribute müssen in Entra als Benutzerattributwerte vorhanden sein.
4. Schritt-für-Schritt-Anleitung für das Provisioning
4.1. Schritt 1: Anmeldung bei Microsoft Entra
Öffne deinen Internetbrowser und gehe zur Administrationsseite von Microsoft Entra.
4.2. Schritt 2: Zur Anwendung navigieren
Nachdem du dich angemeldet hast, suche das Navigationsmenü. Klicke auf „Unternehmensanwendungen“ (oder „Apps“).
Finde in der Liste der Anwendungen diejenige, die du für das Provisioning einrichten möchtest, und klicke darauf.
Falls die Anwendung noch nicht in der Liste ist, musst du sie eventuell als neue Anwendung hinzufügen.
Oben auf der Seite „Unternehmensanwendungen“ gibt es in der Regel einen Button mit der Aufschrift „Neue Anwendung“ oder „Anwendung hinzufügen“.
Klicke auf diesen Button.
Klicke auf „Eigene Anwendung erstellen“.
4.3. Schritt 3: Den Bereich Provision finden
In der Seite der ausgewählten Anwendung findest du im Menü die Option „Provisioning“. Sie ist meist zusammen mit anderen Einstellungen wie „Single Sign-On“ sichtbar.
Klicke auf „Provisioning“, um zu den Konfigurationseinstellungen zu gelangen, oder auf „Starten“ im Tab „3. Provision User Accounts“.
Fahre dann fort, deine Anwendung zu verbinden
4.4. Schritt 4: Verbindung konfigurieren
Jetzt musst du einige spezifische Informationen eingeben, um Microsoft Entra mit Cyberguru zu verbinden. Dazu gehören:
Tenant-URL: Die von Cyber Guru bereitgestellte Webadresse, an die die Benutzerdaten gesendet werden.
Secret Token oder Authentifizierungsschlüssel: Ein eindeutiger Schlüssel, der von Cyber Guru bereitgestellt wird und Microsoft Entra die sichere Kommunikation mit der Plattform ermöglicht.
Klicke auf „Verbindung testen“.
Wenn der Test erfolgreich ist, erscheint eine Bestätigungsmeldung.
Schlägt der Test hingegen fehl, überprüfe die eingegebenen Daten und versuche es erneut.
Sollte das Problem weiterhin bestehen, wende dich an den IT-Support oder den Anbieter der Anwendung.
Klicke auf „Erstellen“
4.5. Konfiguration der Attributzuordnung
4.5.1. Deaktivieren des Gruppen-Provisionings
Zuerst müssen wir das Gruppen-Provisioning deaktivieren, da diese Funktion auf der Cyber Guru Plattform nicht aktiviert ist.
Wähle im linken Menü „Attributzuordnung“ aus
Wähle „Provision Microsoft Entra ID Groups“ und stelle den Schalter „Aktivieren“ auf „Nein“
Klicke auf „Speichern“ und du solltest nun Folgendes sehen:
4.5.2. Attributzuordnung
Klicke nun im vorherigen Bildschirm auf „Provision Microsoft Entra ID Users“. Es wird die vollständige Liste der Attribute angezeigt. Die rot markierten Attribute sind diejenigen, die von der Cyber Guru Plattform tatsächlich verwendet werden.
Die nächsten Schritte sind:
Entferne alle nicht benötigten Attribute
Fügen Sie die „locale“-Zuordnung für die Sprache hinzu. Dies ist die Sprache des Nutzers auf der Awareness-Plattform und (bei Phishing) für die E-Mail-Vorlage.
Passen Sie die „country“-Zuordnung für das Land des Nutzers an. Dies ist das Land des Nutzers auf der Awareness-Plattform und (bei Phishing) für die E-Mail-Vorlage.
Fügen Sie die Zuordnungen für die in der Firma Cyber Guru definierten Organisationen hinzu.
Überprüfen und optimieren Sie die Zuordnungen.
Entfernen Sie die Attribute mit der Schaltfläche „Löschen“:
displayName
title
preferredLanguage
name.formatted
addresses[type eq "work"].formatted
addresses[type eq "work"].streetAddress
addresses[type eq "work"].locality
addresses[type eq "work"].region
addresses[type eq "work"].postalCode
phoneNumbers[type eq "work"].value
phoneNumbers[type eq "fax"].value
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager
Wir fügen das Attribut "locale" hinzu:
Klicke auf „Neue Zuordnung hinzufügen“ und gib das Quell- und Zielattribut wie unten gezeigt ein:
Das Attribut „locale“ muss aus zwei Kleinbuchstaben bestehen, die die auf unserer Plattform verwendete Sprache angeben (gemäß ISO 639 Sprachcodes). Das bedeutet, wir erwarten, dass das Quellattribut diesen Wert enthält. Falls dies nicht der Fall ist, verwende ein anderes Attribut oder überlege, einen Ausdruck zu nutzen, um den Wert aus anderen Attributen zu ermitteln.
Ein Beispiel für einen Ausdruck findest du im Dokument „Hint&TipsSCIM“.
Klicke auf „OK“
Klicke auf „Speichern“
Schauen wir uns nun die Zuordnung für das Attribut Land an.
Stelle sicher, dass das Attribut „source“ den Ländercode als zwei Großbuchstaben enthält. Falls das nicht der Fall ist, verwende ein anderes Attribut oder überlege, einen Ausdruck zu nutzen, um den Wert aus anderen Attributen zu ermitteln.
Ein Beispiel für einen Ausdruck findest du im Dokument „Hint&TipsSCIM“.
Klicke auf „OK“
Klicke auf „Speichern“
Füge die Organisationsattribute hinzu
Um diese Zuordnungen hinzuzufügen, müssen wir zuerst das Attribut anlegen. In dieser Anleitung haben wir ein Unternehmen in Cyber Guru mit drei Organisationen vorbereitet:
Büro
Berufsbezeichnung
Abteilung
Dies ist nur ein Beispiel. Wenn du andere Organisationen hast, kannst du sie nach dem unten beschriebenen Verfahren hinzufügen.
Ganz unten auf der Seite wähle „Erweiterte Optionen anzeigen“.
Wähle „Attributliste für customappsso bearbeiten“.
Am unteren Ende der Seite siehst du ein leeres Feld.
Fülle das leere Feld mit dem Namen der Organisationen aus, indem du
urn:ietf:params:scim:schemas:extension:Tags:2.0:User:Departmentverwendest.
Achte darauf, dass der letzte Teil des Namens exakt mit der in deinem Unternehmen erstellten Organisation (Abteilung) übereinstimmt (Groß- und Kleinschreibung wird unterschieden).
Klicke auf „Speichern“
Wiederhole die Schritte für die Organisationen:
urn:ietf:params:scim:schemas:extension:Tags:2.0:User:Jobtitle
urn:ietf:params:scim:schemas:extension:Tags:2.0:User:Office
Gehe zum Attribut-Mapping-Bildschirm, der jetzt so aussieht:
Klicke auf „Neue Zuordnung hinzufügen“
Trage die Werte in die Felder „Quelle“ und „Ziel“ für die Organisation Abteilung ein:
In diesem Beispiel ordnen wir das Attribut „department“ aus dem Microsoft Entra-Benutzerprofil zu. Falls der benötigte Wert in einem anderen Attribut des Microsoft Entra-Benutzerprofils steht, wähle einfach das entsprechende Attribut aus der Quell-Attributliste aus.
Achte darauf, dass diese Attribute in Microsoft Entra einen Wert haben. Sobald SCIM aktiviert ist, können diese Werte in der Cyber Guru Plattform nicht mehr manuell geändert werden.
Klicke auf „OK“
Klicke auf „Speichern“
Wiederhole den Vorgang für die beiden anderen Organisationen, indem du Office mit physicalDeliveryOfficeName und Jobtitle mit jobtitle verknüpfst.
4.5.3. Konfiguriere die weiteren Zuordnungen und prüfe sie
Die Liste der Attribut-Zuordnungen sieht nun so aus:
Wir achten auf „userName“ und „externalId“
Unsere Plattform erwartet in beiden Feldern denselben Wert. Dieser Wert sollte sich in Zukunft nicht ändern, daher wähle die Ursprungswerte mit Bedacht. Wir empfehlen dringend, Ausweisnummern, Identifikationscodes, Object IDs aus Active Directory usw. zu verwenden.
Wenn die Anwendung mit SSO konfiguriert ist, empfiehlt es sich, für diese Attribute die „objectId“ des Microsoft Entra-Benutzers zu verwenden. Wir gehen davon aus, dass dies der Fall ist, und passen das Mapping der beiden Attribute wie folgt an:
Klicke auf „OK“ und „Speichern“ bei beiden
Machen wir einen letzten Check der Attribute:
Jetzt sind wir bereit für den Test
4.6. Provisioning-Test
Der Test wird mit einzelnen Benutzern durchgeführt, bevor das automatische Provisioning aktiviert wird.
Wähle einen Benutzer aus und autorisiere ihn in der Cyber Guru-Anwendung.
Melde dich in der Cyber Guru-Anwendung an, klicke im linken Menü auf „Provisioning“ und dann auf „Provision on demand“. Wähle den autorisierten Benutzer wie im Beispiel gezeigt aus:
Und klicke auf „Provision“
Wenn der Test erfolgreich ist, erhältst du folgende Meldung:
Überprüfe auf der Cyber Guru-Plattform, ob der Benutzer korrekt angelegt wurde:
4.7 Auswahl der Einstellungen für die Benutzersynchronisierung
Entscheide, welche Benutzer in der Anwendung provisioniert werden sollen. Es kann folgende Optionen geben:
Alle Benutzer synchronisieren
Nur Benutzer aus bestimmten Gruppen synchronisieren (z. B. „HR-Mitarbeiter“ oder „Vertriebsteam“)
Wähle die Option, die am besten zu den Anforderungen deiner Organisation passt.
4.8 Start des Provisionings
Überprüfe die eingegebenen Informationen, um sicherzustellen, dass alles korrekt ist.
Gehe in die Anwendung, wähle im linken Menü „Übersicht“ und klicke auf die Schaltfläche „Provisioning starten“.
Sobald der Vorgang gestartet wurde, beginnt Microsoft Entra damit, die Benutzerdaten gemäß den festgelegten Regeln alle 40 Minuten mit der Cyber Guru Plattform zu synchronisieren.
5. Was zu erwarten ist
Neue Benutzerkonten werden automatisch erstellt.
Änderungen an den Benutzerdaten (wie z. B. ein Wechsel der Abteilung) in Microsoft Entra werden beim nächsten Synchronisationszyklus in der Anwendung übernommen.
Wenn ein Benutzer das Unternehmen verlässt, wird sein Zugang zur Cyber Guru Plattform automatisch gesperrt. Wir sperren den Zugang anstatt das Konto zu löschen, damit der Kunde den Benutzer bei Bedarf reaktivieren kann und alle Kursdaten erhalten bleiben. Eine endgültige Löschung ist möglich, wenn der Kunde dies ausdrücklich anfordert.
6. Fehlerbehebung und Support
Überprüfe sorgfältig, ob die URL des Endpunkts und das geheime Token korrekt eingegeben wurden.
Wenn der Verbindungstest fehlschlägt, überprüfe die Details mit dem IT-Support oder sieh in der Dokumentation deines Anbieters nach.
Wenn du Probleme bei der Benutzersynchronisierung feststellst (z. B. fehlende Nutzer oder nicht aktualisierte Informationen), überprüfe die Einstellungen zur Auswahl von Gruppen oder Benutzern.
Für weitere Unterstützung nutze die Option „Hilfe“ in Microsoft Entra oder wende dich an das IT-Team deiner Organisation und den Cyberguru-Support.