Wie funktioniert die Active Directory Integration in Leapsome?
Wie funktioniert die Entra ID Integration in Leapsome?
Die Integration mit Microsoft Entra ID erlaubt es dir, automatisch Accounts in Leapsome zu erstellen (user provisioning) und Single Sign-On (SSO) einzurichten. Einmal aktiviert ermöglicht die Integration folgende Funktionen:
-
Accounts in Leapsome erstellen
Mit der nächsten Synchronisierung werden folgende Mitarbeitende und Teams (Gruppen) aus Entra ID zu Leapsome hinzugefügt:- Mitarbeitende, die zur Leapsome Applikation in Entra ID hinzugefügt wurden
- Mitarbeitende, die einer Gruppe, welche bereits zur Applikation hinzugefügt wurde, hinzugefügt werden
- Mitarbeitende, die Teil einer Gruppe sind, welche neu zur Applikation hinzugefügt wird (Mitarbeitende in Untergruppen (sub-group users) werden nicht berücksichtigt)
-
Accounts updaten
Änderungen, die du in Entra ID vornimmst, werden alle 40 Minuten mit Leapsome synchronisiert -
Accounts deaktivieren und reaktivieren
Leapsome deaktiviert automatisch alle User, deren Status in Entra ID nicht 'active' ist und reaktiviert sie wieder, sollte sich ihr Status wieder auf 'active' ändern. -
Teams erstellen
Für jede Gruppe in Entra ID, die noch nicht in Leapsome hinterlegt ist, wird in Leapsome ein neues Team angelegt -
Mitarbeitende zu Teams zuweisen
Auf Basis der Gruppenzugehörigkeit in Entra ID werden User automatisch den entsprechenden Teams in Leapsome zugewiesen. -
Level erstellen und MItarbeitenden zuweisen (optional)
Wenn du die Level-Information in die Synchronisation mit aufnimmst, erstellt Leaspsome automatisch die entsprechenden Level und ordnet sie den korrekten Usern zu -
Single Sign-On aktivieren (optional)
Erfahre mehr dazu in diesem Artikel
Bitte beachte, dass Entra ID als 'Quelle der Wahrheit' behandelt wird: Alle Änderungen, die du in Entra ID vornimmst, werden in Leapsome übernommen. Da die Integration nur einseitig funktioniert, werden Änderungen die du in Leapsome vornimmst, nicht in Entra ID übernommen. Stattdessen werden Änderungen, die du manuell in Leapsome vornimmst, bei der nächsten Synchronisation wieder durch Entra ID überschrieben.
Bitte beachte, dass es auch bei aktiver Integration mit Entra ID möglich ist, zusätzliche Teams manuell in Leapsome zu erstellen und Usern zuzuweisen. Diese manuell angelegten Teams werden nicht von der Integration überschrieben.
Welche Attribute können synchronisiert werden?
Beim Aufsetzen der Integration kannst du selbst festlegen, welche Attribute synchronisiert werden sollen. Diese Tabelle gibt dir einen Überblick darüber, welche Attribute aus Entra ID in Leapsome wiedergegeben werden können, und welche davon erforderlich (mandatory) oder optional sind.
Zu den Daten, die du aus Entra ID beziehen kannst, gehören unter anderem:
- First Name
- Last Name
- Position/Job title
- Team (mittels 'Groups')
- Department
- Führungskraft
- Level
- Division
- Cost center
- Location
- Gender
- Start Date
- End Date
- Birthday
- Photo
- Custom attributes (wird in Leapsome als benutzerdefiniertes Attribut wiedergegeben)
Zusätzlich erstellt Leapsome für jede Entra ID-Gruppe, bei welcher eine Person Mitglied ist, ein 'Team' in Leapsome.
Wichtige Hinweise zu Attributen
Bereitstellung des Status mittels 'IsSoftDeleted' Attributs
Das Attribut IsSoftDeleted legt fest, ob ein Teammitglied in Entra ID als 'active' eingestuft wird, oder nicht. Infolgedessen wird ein Account in Leapsome dann ebenfalls (de-) aktiviert. IsSoftDeleted ist oft Teil des voreingestellten Mappings einer Applikation in Entra ID. Es wird nicht empfohlen, dieses Attribut aus dem Mapping zu entfernen. IsSoftDeleted kann in vier Szenarien 'wahr' sein:
- das Teammitglied wurde aus der Applikation entfernt
- das Teammitglied erfüllt nicht die nötigen Kriterien eines Bereichsfilters (scoping filter)
- das Teammitglied wurde in Entra ID 'soft deleted'
- die Eigenschaft 'AccountEnabled' ist für dieses Teammitglied auf 'false' gestellt
Sobald einer dieser vier Fälle zutrifft, wird der Status des Users in Entra ID als 'active=false' behandelt, wodurch dieser User dann auch in Leapsome deaktiviert.
Bereitstellung von Null-Attributen
Entra ID kann derzeit keine Null-Attribute bereitstellen. Wenn ein Attribut des User-Objekts 'Null' wird, wird es bei der Synchronisierung übersprungen. Wenn du beispielsweise die 'Führungskraft'-Information über die Integration in Leapsome bereitgestellt hast, nun aber die Führungskraft aus dem Entra ID-Profil des Users löschst, wird das Führungskraft-Attribut in dem Fall zu einem Null-Attribut. Bei der nächsten Synchronisierung wird es daher übersprungen, was dazu führt dass die 'alte' Führungskraft-Information im Leapsome-Profil des Users bestehen bleibt und nicht ebenfalls gelöscht wird.
Aufsetzen der Integration
Bevor du loslegst
- Bitte stelle sicher, dass die Person, welche die Integration aufsetzt, über Admin-Rechte in Leapsome und die 'Global Administrator'-Rolle in Entra ID verfügt. Du kannst einer Person vorübergehend Admin-Rechte in Leapsome zuweisen, indem du ihre 'Platform role' im Bereich 'Mitarbeitende & Teams' entsprechend änderst.
- Die Account-Bereitstellung über SCIM 2.0 ist nur über die gehostete AD-Version namens Entra ID verfügbar. Wenn du derzeit eine lokale Active Directory Lösung verwendest, muss diese zunächst mithilfe von Azure AD Connect konfiguriert werden, um die Daten mit Entra ID zu synchronisieren. Eine Beschreibung dieses Prozesses findest du in diesem Artikel.
- Um die Integration aufzusetzen, musst du in Entra ID eine neue Applikation anlegen. Es gibt zwar eine Katalog-App namens 'Leapsome', diese beinhaltet jedoch nur einen beschränkten Funktionsumfang. Wir empfehlen dir, eine neue Applikation anzulegen, da du dort erweiterte Einstellungsmöglichkeiten hast, um z.B. das Attribut-Mapping auf eure Bedürfnisse zuzuschneiden.
- Wenn du eigene Attribute aus Entra ID mit Leapsome synchronisieren möchtest, lege zunächst entsprechende eigene Attribute in Leapsome an. Die Attribut-ID, die du bei der Erstellung des Attributs in Leapsome siehst, benötigst du später für das Aufsetzen der Integration.
Neue Anwendung erstellen
- Gehe in Entra ID zu 'Enterprise Applications' (Unternehmensanwendungen).
- Wähle 'New application' (Neue Anwendung).
- Wähle 'Non-gallery application' (Nicht-Kataloganwendung).
- Du wirst hier nach einem Namen gefragt, wähle dafür am besten 'Leapsome'.
- Wähle im Bereich darunter ''Integrate any other application you don't find in the gallery (Non-gallery)' als Grund für das Erstellen der Anwendung.
- Klicke auf 'Create'.
- Die Leapsome Anwendung, die du soeben erstellt hast, kann nun für das Einrichten der Account-Bereitstellung (user provisioning) und Single Sign-On (SSO) verwendet werden.
Userbereitstellung konfigurieren
- Gehe in der neuen Anwendung zur Registerkarte 'Provisioning' (Bereitstellung).
- Klicke auf 'Get started'.
- Wähle in der Dropdown-Liste 'Provisioning mode' die Option 'Automatic Provisioning' (Automatische Bereitstellung) aus
- Gebe für die Mandanten-URL (tenant URL) "https://www.leapsome.com/api/scim" ein.
- Um den Token zu erhalten, gehe in dein Leapsome-Administratorenkonto zu 'Einstellungen' > 'Integrationen', wähle 'HRIS Integrationen' und klicke dort auf 'SCIM API (Azure AD, Okta, OneLogin).
- Klicke auf 'Speichern & Synchronisieren' um den SCIM-Authentifizierungstoken zu generieren und kopiere diesen.
- Füge den Token auf der Seite der Entra ID Anwendung ein und klicke auf 'Test connection'. Es sollte eine Meldung über den Erfolg des Vorgehens erscheinen.
- Klicke im Bildschirm oben auf 'Save'.
Zuordnung konfigurieren (Mapping)
Klicke im Entra ID Reiter 'Provisioning' auf 'Edit Attribute mappings'
1. Gruppenzuordnung konfigurieren
- Klicke im Abschnitt 'Mappings' auf der nächsten Seite auf 'Provision Azure Active Directory Groups'
- Passe die Gruppenzuordnungen so an, dass sie dem folgeneden Screenshot entsprechen (Dies sollte bereits voreingestellt sein, bitte lösche alle davon abweichenden Zuordnungen)
- Speichere die Änderungen.
2. Account-Zuordnung konfigurieren
- Gehe gleichermaßen mit der Account-Zuordnung vor, indem du im Abschnitt 'Mappings' auf der nächsten Seite auf 'Provision Azure Active Directory Users' klickst
- Passe die Account-Zuordnungen so an, dass das Ergebnis dieser Tabelle entspricht. Alle anderen Zuordnungen sollten gelöscht werden.
- Bitte stelle sicher, dass dein Mapping alle in der Tabelle als verpflichtend (mandatory) gekennzeichneten Attribute beinhaltet
- Du kannst nach Belieben weitere (benutzerdefinierte) Attribute zum Mapping hinzufügen. Lies mehr dazu im Abschnitt 'Optionale Einstellungen' dieses Artikels.
- Falls du eines der in der Tabelle aufgeführten Ziel-Attribute nicht auswählen kannst, musst du die Attributliste deiner Anwendung bearbeiten
- Klicke auf 'Show advanced options' unter der Mapping-Tabelle in Entra ID
- Klicke dort auf 'Edit attribute list for customappsso' um die Leapsome-Attribute hinzuzufügen, die du in deinem Mapping nutzen möchtest
- Speichere deine Änderungen.
User und Gruppen zuordnen
- Gehe zum Reiter 'Users and groups'.
- Füge alle User/Gruppen hinzu, die in Leapsome hinterlegt werden sollen.
- 'Groups' werden in Leapsome als 'Teams' angezeigt.
- AD Benutzer und AD Gruppenmitglieder werden in Leapsome als User erstellt
(nur für 'security groups', nicht für 'nested groups')
Bereitstellungsstatus
- Stelle in Entra ID sicher, dass unter 'Provisioning' > 'Settings', der Scope (Umfang) auf 'Sync only assigned users and groups' gestellt ist
- Stelle den Bereitstellungsstatus auf 'On'
- Speichere die Änderungen
Fertigstellen der Synchronisation
Für die initiale Account-Bereitstellung empfehlen wir zwei forced Syncs: mit dem ersten Sync werden die User erstellt, und mit dem zweiten Sync werden die Reporting Lines aktualisiert.
Das war's - du hast die Integration erfolgreich eingerichtet. Bitte wende dich bei Fragen an unser Support-Team.
Optionale Einstellungen
Automatisch Einladungen an Mitarbeitende verschicken
Wenn du die Option '' aktivierst, erhält jedes Teammitglied, das aus Entra ID (neu) synchronisiert wird, automatisch eine Einladung zu Leapsome. Wenn du die Option deaktivierst, werden die Account-Daten synchronisiert, die Einladungen jedoch nicht automatisch versendet. Stattdessen kannst du die Einladungen dann zu einem späteren Zeitpunkt manuell über 'Mitarbeitende & Teams' senden.
Eigene Attribute synchronisieren
Abseits der in der Mapping-Tabelle als verpflichtend ('mandatory') gekennzeichneten Attribute kannst du auch eigene Attribute zur Synchronisierung hinzufügen. Hierfür musst du zunächst ein entsprechendes, userdefiniertes Attribut in Leapsome erstellen.
- Gehe zu 'Mitarbeitende & Teams' und klicke auf 'Attribute'. Im Pop-Up Fenster kannst du dann das Attribut nach deinen Wünschen konfigurieren und festlegen, welche Werte das Attribut annehmen kann.
- Sobald du das Attribut angelegt hast und deine Einstellungen gespeichert hast, kannst du es aus der Liste der bestehenden Attribute auswählen und auf 'Bearbeiten' klicken. Dann sollte dir die SCIM ID des Attributs angezeigt werden. Diese benötigst du für das Mapping in Entra ID.
- Füge dieses Attribut zu deinem Mapping in Entra ID hinzu, indem du ein Ursprungsfeld aus deinem AD auswählst und mit dem entsprechenden Wert aus Leapsome verknüpfst
- Der Name des Leapsome-Attributes, welchen du in AD hinterlegst, setzt sich immer aus einem Präfix + der SCIM ID des Leapsome-Attributs zusammen:
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.YOUR_CUSTOM_ATTRIBUTE_ID
User von der Synchronisierung ausschließen
Wenn du bestimmte User oder Gruppen von der Synchronisierung ausschließen möchtest, kannst du dies lösen, indem du die User & Gruppen bearbeitest, die der Leapsome-Anwendung zugewiesen sind oder einen Scoping Filter anlegst.
Häufig gestellte Fragen
Was geschieht mit den Teams, die ich bereits manuell in Leapsome aufgesetzt habe?
Teams aus Entra ID werden zusätzlich zu deinen manuell erstellten Teams in Leapsome angelegt. Sobald die Synchronisation live ist, werden die Team-Zugehörigkeiten der von Entra ID erstellten Teams mittels Entra ID aktualisiert.
Kann ich Accounts in Leapsome mittels der Integration löschen?
Nein. Durch die Integration können Accounts in Leapsome lediglich deaktiviert werden. Wenn du ein Account in Leapsome löschen möchtest, musst du dies manuell im Bereich 'Mitarbeitende & Teams' tun.
Kann ich einstellen, wie häufig Leapsome und Entra ID synchronisiert werden?
Nein, da die Synchronisierungsrate festgelegt ist. Daten werden rund alle 40 Minuten synchronisiert. Du hast jedoch die Möglichkeit bei Bedarf manuell in Entra ID eine Synchronisierung auszulösen.
Warum haben manche User zwei Profile in Leapsome?
Wahrscheinlich ist die 'external ID' nicht Teil des Mappings, was zu Problemen führen kann, wenn du die E-Mail Adresse eines Users in Entra ID änderst. Wenn keine external ID bereitgestellt wird, nutzt Leapsome die E-Mail-Adresse eines Teammitglieds als dessen 'unique identifier'. Wenn sich nun die E-Mail in Entra ID ändert, versteht Leapsome ohne die external ID nicht, dass beide E-Mail Adressen zur selben Person gehören und legt für die neue E-Mail Adresse ein neues Profil in Leapsome an. Du kannst diesem Fall vorbeugen, indem du das Attribut 'externalID' zum Mapping hinzufügst.
Was ist der Unterschied zwischen einer externen Benutzer-ID und einer Leapsome-ID?
Die Leapsome-ID ist eine eindeutige Benutzer-ID, die jedem Konto zugewiesen wird, das innerhalb von Leapsome erstellt wird. Die externe ID ist eine ID, die an Leapsome gesendet wurde (oder über die HRIS-Integration automatisiert wurde) und die die eindeutige Benutzer-ID im User Management System darstellt. Dies gewährleistet die Synchronisierung der richtigen Benutzerkonten in Fällen wie E-Mail-Änderungen, o.ä. da die externe ID in eurem System gleich bleibt, während sich eine E-Mail ändern kann. Sie ist optional mit einem Leapsome-Konto zur Identifizierung verbunden.
Ich kann die Ziel-Attribute, die zum Einrichten des Mappings nötig sind, nicht finden. Wie kann ich sie zu meiner Ansicht hinzufügen?
In manchen Fällen kannst du bestimmte Ziel-Attribute nicht automatisch als solche auswählen. In diesem Fall musst du sie zunächst anlegen, bevor du sie im Mapping anwählen kannst. Im Abschnitt 'Zuordnung konfigurieren (Mapping)' > '2. Account-Zuordnung konfigurieren' zeigen wir dir, wie du das erledigen kannst.
Das Attribut 'Führungskraft' wird nicht korrekt in Leapsome angezeigt. Wie lässt sich das beheben?
Wenn du die Integration erstmalig aufsetzt, empfehlen wir, zwei vollständige Synchronisierungen zu erzwingen. Im ersten Lauf werden die Accounts für Mitarbeitende angelegt, und erst im zweiten die Führungskraft zugewiesen.
Beachte bitte auch, dass Führungskräfte erst dann einem User zugewiesen werden können, wenn diese auch bereits ein Profil in Leapsome haben. Überprüfe zudem auch, ob die Führungskraft, die in Leapsome nicht angezeigt werden, korrekt auf die Leapsome App in Entra ID zugewiesen wurden, und nicht z.B. durch einen Scoping Filter ausgeschlossen wurden.
Welche 'Email' sollte für das User Mapping verwendet werden?
Wir empfehlen, das Attribut userPrincipalName zu verwenden, aber theroretisch kann auch jedes andere Attribut, welches eine Email-Adresse beinhaltet, verwendet werden. Falls du jedoch SSO oder eine unserer Integrationen (z.B. Teams, Slack or Outlook) verwenden möchtest, achte bitte darauf, dass die Email, die du für das Mapping verwendest, dieselbe wie in den externen Tools ist, damit wir die Accounts anhand der Email-Adresse matchen können.
Wie kann ich verhindern, dass Leapsome für jede Gruppe in Entra ID ein 'Team' erstellt?
Sobald du Mitarbeitende in Entra ID auf die Leapsome App zuweist, erstellt Leapsome automatisch für jede Gruppe, in welcher die Mitarbeitende Mitglied sind, ein Team in Leapsome. Nun kann es aber auch vorkommen, das eine Person Mitglied in Gruppen ist, die rein für administrative Zwecke genutzt werden, und nicht in Leapsome auftauchen sollen (z.B. 'Leapsome Pilot', 'Leapsome Testgruppe', etc.).
Damit für diese Gruppen nicht automatisch ein Team in Leapsome angelegt wird, kannst du einen Scoping Filter (Bereichsfilter) aufsetzen. Solch ein Filter kann z.B. als 'objectID' NOT EQUALS <objectID der Gruppe, die nicht als Team in Leapsome gelistet werden soll> definiert werden. Hier erfährst du mehr zum Thema Scoping Filter.
Ich möchte Profilfotos unserer Entra ID-User mit Leapsome synchronisieren. Welches Format muss das Attribut dafür haben?
Um Fotos aus Entra ID mit Leapsome zu synchronisieren, muss das Quellattribut eine vollständige URL (inkl. 'https://') zum Foto des Nutzers als Text (String) beinhalten. Sofern ihr noch kein Quellattribut innerhalb eures Entra ID Accounts besitzt, welches diese Information beinhaltet, müsst ihr zunächst ein solches Attribut anlegen. Für weiterführende Fragen dazu, wie sich ein solches Attribut einrichten lässt, wendet euch bitte an den Micorsoft Support.
Gibt es noch weiterführende Informationen, die ich mir ansehen kann?
Ja! Lies gern auch den entsprechenden Microsoft Support Artikel. Sofern du Probleme mit bestimmten Attributen oder dem erstmaligen Aufsetzen der Integration hast, wende dich gern über den blauen 'Hilfe' Button an unser Support Team. Falls möglich, teile gern einen Screenshot des User Mappings sowie den Bericht des 'Provisioning on Demand' mit dem Team, um das Troubleshooting zu beschleunigen.