Beiträge in diesem Abschnitt

Weitere anzeigen

Azure Active Directory Integration (SCIM)

Leapsome Support
  • Aktualisiert
Folgen

Wie funktioniert die Active Directory Integration in Leapsome?

Aufsetzen der Integration

Optionale Einstellungen

Häufig gestellte Fragen

Wie funktioniert die Active Directory Integration in Leapsome?

Die Integration mit Azure Active Directory (Azure AD) erlaubt es Dir, automatisch Nutzer in Leapsome zu erstellen (user provisioning) und Single Sign-On (SSO) einzurichten. Einmal aktiviert ermöglicht die Integration folgende Funktionen: 

  • Benutzer in Leapsome erstellen 
    Mit der nächsten Synchronisierung werden folgende Nutzer und Teams (Gruppen) aus Azure AD zu Leapsome hinzugefügt:
    • Nutzer, die zur Leapsome Applikation in Azure AD hinzugefügt wurden
    • Nutzer, die einer Gruppe, welche bereits zur Applikation hinzugefügt wurde, hinzugefügt werden
    • Nutzer, die Teil einer Gruppe sind, welche neu zur Applikation hinzugefügt wird (Nutzer in Untergruppen (sub-group users) werden nicht berücksichtigt)
  • Benutzer updaten 
    Änderungen, die Du in Azure AD vornimmst, werden alle 40 Minuten mit Leapsome synchronisiert
  • Benutzer deaktivieren und reaktivieren  
    Leapsome deaktiviert automatisch alle nutzer, deren Status in Azure AD nicht 'active' ist und reaktiviert sie wieder, sollte sich ihr Status wieder auf 'active' ändern. 
  • Teams erstellen
    Für jede Gruppe in Azure AD, die noch nicht in Leapsome hinterlegt ist, wird in Leapsome ein neues Team angelegt
  • Benutzer zu Teams zuweisen
    Auf Basis der Gruppenzugehörigkeit in Azure AD werden Nutzer automatisch den entsprechenden Teams in Leapsome zugewiesen.
  • Level erstellen und Nutzern zuweisen (optional)
    Wenn du die Level-Information in die Synchronisation mit aufnimmst, erstellt Leaspsome automatisch die entsprechenden Level und ordnet sie den korrekten Nutzern zu
  • Single Sign-On aktivieren (optional)
    Erfahre mehr dazu in diesem Artikel

Bitte beachte, dass Azure AD als 'Quelle der Wahrheit' behandelt wird: Alle Änderungen, die Du in Azure AD vornimmst, werden in Leapsome übernommen. Da die Integration nur einseitig funktioniert, werden Änderungen die Du in Leapsome vornimmst nicht in Azure AD übernommen. Stattdessen werden Änderungen, die Du manuell in Leapsome vornimmst, bei der nächsten Synchronisation wieder durch Azure AD überschrieben.

Bitte beachte, dass es auch bei aktiver Integration mit Azure AD möglich ist, zusätzliche Teams manuell in Leapsome zu erstellen und Nutzern zuzuweisen. Diese manuell angelegten Teams werden nicht von der Integration überschrieben.

Welche Attribute können synchronisiert werden?

Beim Aufsetzen der Integration kannst Du selbst festlegen, welche Attribute synchronisiert werden sollen. Diese Tabelle gibt dir einen Überblick darüber, welche Attribute aus Azure AD in Leapsome wiedergegeben werden können, und welche davon erforderlich (mandatory) oder optional sind. 

Zu den Daten, die du aus Azure AD beziehen kannst, gehören unter Anderem: 

  • First Name
  • Last Name
  • Position/Job title
  • Department (wird in Leapsome als Team wiedergegeben)
  • Manager
  • Level
  • Division (wird in Leapsome als Team wiedergegeben)
  • Cost center (wird in Leapsome als Team oder benutzerdefiniertes Attribut wiedergegeben)
  • Location
  • Gender
  • Start Date
  • End Date
  • Birthday
  • Photo
  • Custom attributes (wird in Leapsome als benutzerdefiniertes Attribut wiedergegeben)

Zusätzlich erstellt Leapsome für jede Azure AD-Gruppe, bei welcher ein Nutzer Mitglied ist, ein 'Team' in Leapsome. 

Wichtige Hinweise zu Attributen

Bereitstellung des Status mittels 'IsSoftDeleted' Attributs

Das Attribut IsSoftDeleted legt fest, ob ein Nutzer in Azure AD als 'active' eingestuft wird, oder nicht. Infolgedessen wird ein Nutzer in Leapsome dann ebenfalls (de-) aktiviert. IsSoftDeleted ist oft Teil des voreingestellten Mappings einer Applikation in Azure AD. Es wird nicht empfohlen, dieses Attribut aus dem Mapping zu entfernen. IsSoftDeleted kann in vier Szenarien 'wahr' sein: 

  • der Nutzer wurde aus der Applikation entfernt
  • der Nutzer erfüllt nicht die nötigen Kriterien eines Bereichsfilters (scoping filter) 
  • der Nutzer wurde in Azure AD 'soft deleted'
  • die Eigenschaft 'AccountEnabled' ist für diesen Nutzer auf 'false' gestellt

Sobald einer dieser vier Fälle zutrifft, wird der Status des Nutzers in Azure AD als 'active=false' behandelt, wodurch dieser Nutzer dann auch in Leapsome deaktiviert.

Bereitstellung von Null-Attributen

Azure AD kann derzeit keine Null-Attribute bereitstellen. Wenn ein Attribut des User-Objekts 'Null' wird, wird es bei der Synchronisierung übersprungen. Wenn Du beispielsweise die 'Manager'-Information über die Integration in Leapsome bereitgestellt hast, nun aber den Manager aus dem Azure AD-Profil des Nutzers löschst, wird das Manager-Attribut in dem Fall zu einem Null-Attribut. Bei der nächsten Synchronisierung wird es daher übersprungen, was dazu führt dass die 'alte' Manager-Information im Leapsome-Profil des Nutzers bestehen bleibt und nicht ebenfalls gelöscht wird. 

Aufsetzen der Integration

Bevor Du loslegst

  • Bitte stelle sicher, dass die Person, welche die Integration aufsetzt, über Admin-Rechte in Leapsome und die 'Global Administrator'-Rolle in Azure AD verfügt. Du kanst einer Person vorübergehend Admin-Rechte in Leapsome zuweisen, indem Du ihre 'Platform role' im Bereich 'User & Teams' entsprechend änderst.
  • Die Benutzerbereitstellung über SCIM 2.0 ist nur über die gehostete AD-Version namens Azure Active Directory verfügbar. Wenn Du derzeit eine lokale Active Directory Lösung verwendest, muss diese zunächst mithilfe von Azure AD Connect konfiguriert werden, um die Daten mit Azure Active Directory zu synchronisieren. Eine Beschreibung dieses Prozesses findest Du in diesem Artikel
  • Um die Integration aufzusetzen, musst du in Azure AD eine neue Applikation anlegen. Es gibt zwar eine Katalog-App namens 'Leapsome', diese beinhaltet jedoch nur einen beschränkten Funktionsumfang. Wir empfehlen Dir, eine neue Applikation anzulegen, da du dort erweiterte Einstellungsmöglichkeiten hast, um z.B. das Attribut-Mapping auf eure Bedüfnisse zuzuschneiden.  
  • Wenn du benutzerdefinierte Attribute aus Azure AD mit Leapsome synchronisieren möchtest, lege zunächst entsprechende benutzerdefinierte Attribute in Leapsome an. Die Attribut-ID, die Du bei der Erstellung des Attributs in Leapsome siehst, benötigst Du später für das Aufsetzen der Integration.

Neue Anwendung erstellen 

  • Gehe in Azure AD zu 'Enterprise Applications' (Unternehmensanwendungen).
  • Wähle 'New application' (Neue Anwendung).
  • Wähle 'Non-gallery application' (Nicht-Kataloganwendung).
  • Du wirst hier nach einem Namen gefragt, wähle dafür am besten 'Leapsome'.
  • Wähle im Bereich darunter ''Integrate any other application you don't find in the gallery (Non-gallery)' als Grund für das Erstellen der Anwendung
  • Klicke auf 'Create'.
  • Die Leapsome Anwendung, die Du soeben erstellt hast kann nun für das Einrichten von Nutzerbereitstellung (user provisioning) und Single Sign-On (SSO) verwendet werden

Nutzerbereitstellung konfigurieren

  • Gehe in der neuen Anwendung zur Registerkarte 'Provisioning' (Bereitstellung)
  • Klicke auf 'Get started'
  • Wähle in der Dropdown-Liste 'Provisioning mode' die Option 'Automatic Provisioning' (Automatische Bereitstellung) aus
  • Gebe für die Mandanten-URL (tenant URL) "https://www.leapsome.com/api/scim" ein.
  • Um den Token zu erhalten, gehe in Dein Leapsome-Administratorenkonto zu 'Einstellungen' >  'Integrationen', wähle 'HRIS Integrationen' und klicke dort auf 'SCIM API (Azure AD, Okta, OneLogin)
  • Klicke auf 'Speichern & Synchronisieren' um den SCIM-Authentifizierungstoken zu generieren und kopiere diesen
  • Füge den Token auf der Seite der Azure AD Anwendung ein und klicke auf 'Test connection'. Es sollte eine Meldung über den Erfolg des Vorgehens erscheinen.
  • Klicke im Bildschirm oben auf 'Save'.

Zuordnung konfigurieren (Mapping)

Klicke im Azure AD Reiter 'Provisioning' auf 'Edit Attribute mappings'

1. Gruppenzuordnung konfigurieren

  • Klicke im Abschnitt 'Mappings' auf der nächsten Seite auf 'Provision Azure Active Directory Groups'
  • Passe die Gruppenzuordnungen so an, dass sie dem folgeneden Screenshot entsprechen (Dies sollte bereits voreingestellt sein, bitte lösche alle davon abweichenden Zuordnungen)
    Screen_Shot_2018-06-12_at_12.25.41.png
  • Speichere die Änderungen.

2. Nutzerzuordnung konfigurieren

  • Gehe gleichermaßen mit der Benutzerzuordnung vor, indem Du im Abschnitt 'Mappings' auf der nächsten Seite auf 'Provision Azure Active Directory Users' klickst
  • Passen Sie die Benutzerzuordnungen so an, dass das Ergebnis dieser Tabelle entspricht. Alle anderen Zuordnungen sollten gelöscht werden.
    • Bitte stelle sicher, dass Dein Mapping alle in der Tabelle als verpflichtend (mandatory) gekennzeichneten Attribute beinhaltet
    • Du kannst nach Belieben weitere (benutzerdefinierte) Attribute zum Mapping hinzufügen. Lies mehr dazu im Abschnit 'Optionale Einstellungen' dieses Artikels.
    • Falls Du eines der in der Tabelle aufgeführten Ziel-Attribute nicht auswählen kannst, musst du die Attributliste deiner Anwendung bearbeiten
      • Klicke auf 'Show advanced options' unter der Mapping-Tabelle in Azure AD
      • Klicke dort auf 'Edit attribute list for customappsso' um die Leapsome-Attribute hinzuzufügen, die du in deinem Mapping nutzen möchtest
  • Speichere Deine Änderungen.

Benutzer und Gruppen zuordnen 

  • Gehe zum Reiter 'Users and groups'.
  • Füge alle Benutzer/Gruppen hinzu, die in Leapsome hinterlegt werden sollen.
  • 'Groups' werden in Leapsome als 'Teams' angezeigt.
  • AD Benutzer und AD Gruppenmitglieder werden in Leapsome als Benutzer erstellt 
    (nur für 'security groups', nicht für 'nested groups')

Bereitstellungsstatus

  • Stelle in Azure AD sicher, dass unter 'Provisioning' > 'Settings', der Scope (Umfang) auf 'Sync only assigned users and groups' gestellt ist
  • Stelle den Bereitstellungsstatus auf 'On'
  • Speichere die Änderungen 

Fertigstellen der Synchronisation 

Für die initiale Nutzerbereitstellung empfehlen wir zwei forced Syncs: mit dem ersten Sync werden die Nutzer erstellt, und mit dem zweiten Sync werden die Reporting Lines aktualisiert.
Das war's - Du hast die Integration erfolgreich eingerichtet. Bitte wende Dich bei Fragen an unser Support-Team.

Optionale Einstellungen

Automatisch Einladungen an Nutzer verschicken

Wenn Du die Option 'Automatisch Einladungen zu Leapsome an alle synchronisierten Nutzer senden' aktivierst, erhält jeder Benutzer, der aus Azure AD (neu) synchronisiert wird, automatisch eine Einladung zu Leapsome. Wenn Du die Option deaktivierst, werden die Mitarbeiterdaten synchronisiert, die Einladungen jedoch nicht automatisch versendet. Stattdessen kannst Du die Einladungen dann zu einem späteren Zeitpunkt manuell über 'Nutzer & Teams' senden.

Benutzerdefinierte Attribute synchronisieren

Abseits der in der Mapping-Tabelle als verpflichtend ('mandatory') gekennzeichneten Attribute, kannst du auch benutzerdefinierte Attribute zur Synchronisierung hinzufügen. Hiefür musst Du zunächst ein entsprechendes benutzerdefiniertes Attribut in Leapsome erstellen

  • Gehe zu 'Nutzer & Teams' und klicke auf 'Attribute'. Im Pop-Up Fenster kannst du dann das Attribut nach deinen Wünschen konfigurieren und festlegen, welche Werte das Attribut annehmen kann. 
  • Sobald du das Attribut angelegt hast und deine Einstellungen gespeichert hast, kannst du es aus der Liste der bestehenden Attribute auswählen und auf 'Bearbeiten' klicken. Dann sollte dir die SCIM ID des Attributs angezeigt werden. Diese benötigst du für das Mapping in Azure AD.
    mceclip1.gif
  • Füge dieses Attribut zu Deinem Mapping in Azure AD hinzu, indem du ein Ursprungsfeld aus Deinem AD auswählst und mit dem entsprechenden Wert aus Leapsome verknüpfst
  • Der Name des Leapsome-Attributes welchen du in AD hinterlegst, setzt sich immer aus einem Präfix + der SCIM ID des Leapsome-Attributs zusammen: 
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.YOUR_CUSTOM_ATTRIBUTE_ID

Nutzer von der Synchronisierung ausschließen

Wenn du bestimmte Nutzer oder Gruppen von der Synchronisierung ausschließen möchtest, kannst du dies lösen, indem du die Nutzer & Gruppen bearbeitest, die der Leapsome-Anwendung zugewiesen sind oder einen Scoping Filter anlegst.

Häufig gestellte Fragen

Was geschieht mit den Teams, die ich bereits manuell in Leapsome aufgesetzt habe?

Teams aus Azure AD werden zusätzlich zu deinen manuell erstellten Teams in Leapsome angelegt. Sobald die Synchronisation live ist, werden die Team-Zugehörigkeiten der von Azure AD erstellten Teams mittels Azure AD aktualisiert.

Kann ich Nutzer in Leapsome mittels der Integration löschen?

Nein. Durch die Integration können Nutzerprofile in Leapsome lediglich deaktiviert werden. Wenn Du einen Nutzer in Leapsome löschen möchtest, musst du dies manuell im Bereich 'Nutzer & Teams' tun. 

Kann ich einstellen, wie häufig Leapsome und AzureAD synchronisiert werden?

Nein, da die Synchronisierungsrate festgelegt ist. Daten werden rund alle 40 Minuten synchronisiert. Du hast jedoch die Möglichkeit bei Bedarf manuell in Azure AD eine Synchronisierung auszulösen. 

Warum haben manche Nutzer zwei Profile in Leapsome?

Wahrscheinlich ist die 'external ID' nicht Teil des Mappings, was zu Problemen führen kann, wenn du die E-Mail Adresse eines Nutzers in Azure AD änderst. Wenn keine external ID bereitgestellt wird, nutzt Leapsome die E-Mail-Adresse eines Nutzers als dessen 'unique identifier'. Wenn sich nun die E-Mail in Azure AD ändert versteht Leapsome ohne die external ID nicht, dass beide E-Mail Adressen zur selben Person gehören und legt für die neue E-Mail Adresse ein neues Profil in Leapsome an. Du kannst diesem Fall vorbeugen, indem du das Attribut 'externalID' zum Mapping hinzufügst.

Ich kann die Ziel-Attribute, die zum Einrichten des Mappings nötig sind, nicht finden. Wie kann ich sie zu meiner Ansicht hinzufügen?

In manchen Fällen kannst du bestimmte Ziel-Attribute nicht automatisch als solche auswählen. In diesem Fall musst Du sie zunächst anlegen, bevor Du sie im Mapping anwählen kannst. Im Abschnitt 'Zuordnung konfigurieren (Mapping)' > '2. Nutzerzuordnung konfigurieren' zeigen wir Dir, wie Du das erledigen kannst.

Das Attribut 'Manager' wird nicht korrekt in Leapsome angezeigt. Wie lässt sich das beheben?

Wenn Du die Integration erstmalig aufsetzt, empfehlen wir, zwei vollständige Synchronisierungen zu erzwingen. Im ersten Lauf werden die Nutzerprofile angelegt, und erst im zweiten die Manager zugewiesen. 

Beachte bitte auch, dass Manager erst dann einem Nutzer zugewiesen werden können, wenn diese auch bereits ein Profil in Leapsome haben. Überprüfe zudem auch, ob die Manager, die in Leapsome nicht angezeigt werden, korrekt auf die Leapsome App in Azure AD zugewiesen wurden, und nicht z.B. durch einen Scoping Filter ausgeschlossen wurden.

Welche 'Email' sollte für das User Mapping verwendet werden?

Wir empfehlen, das Attribut userPrincipalName zu verwenden, aber theroetisch kann auch jedes andere Attrubut, welches eine Email-Adresse beinhaltet, verwendet werden. Falls Du jedoch SSO oder eine unserer Integrationen (z.B. Teams, Slack or Outlook) verwenden möchtest, achte bitte darauf, dass die Email, die Du für das Mapping verwendest, dieselbe wie in den externen Tools ist, damit wir die Nutzeraccounts anhand der Email-Adresse matchen können. 

Wie kann ich verhindern, dass Leapsome für jede Gruppe in Azure AD ein 'Team' erstellt?

Sobald Du Nutzer in Azure AD auf die Leapsome App zuweist, erstellt Leapsome automatisch für jede Gruppe, in welcher die Nutzer Mitglied sind, ein Team in Leapsome. Nun kann es aber auch vorkommen, das ein Nutzer Mitglied in Gruppen ist, die rein für administrative Zwecke genutzt werden, und nicht in Leapsome auftauchen sollen (z.B. 'Leapsome Pilot', 'Leapsome Testgruppe', etc.).

Damit für diese Gruppen nicht automatisch ein Team in Leapsome angelegt wird, kannst Du einen Scoping Filter (Bereichsfilter) aufsetzen. Solch ein Filter kann z.B. als 'objectID' NOT EQUALS <objectID der Gruppe, die nicht als Team in Leapsome gelistet werden soll> definiert werden. Hier erfährst Du mehr zum Thema Scoping Filter.

mceclip1.png

Ich möchte Profilfotos unserer Azure AD-Nutzer mit Leapsome synchronisieren. Welches Format muss das Attribut dafür haben?

Um Fotos aus Azure AD mit Leapsome zu synchronisieren, muss das Quellattribut eine vollständige URL (inkl. 'https://') zum Foto des Nutzers als Text (String) beinhalten. Sofern ihr noch kein Quellattribut innerhalb eures Azure AD Accounts besitzt, welches diese Information beinhaltet, müsst ihr zunächst ein solches Attribut anlegen. Für weiterführende Fragen dazu, wie sich ein solches Attribut einrichten lässt, wendet euch bitte an den Micorsoft Support. 

Gibt es noch weiterführende Informationen, die ich mir ansehen kann?

Ja! Lies gern auch den entsprechenden Microsoft Support Artikel. Sofern Du Probleme mit bestimmten Attributen oder dem erstmaligen Aufsetzen der Intergration hast, wende dich gern über den grünen 'Hilfe' Button an unser Support Team. Falls möglich, teile gern einen Screenshot des User Mappings sowie den Bericht des 'Provisioning on Demand' mit dem Team, um das Troubleshooting zu beschleunigen.

 

 

 

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.