Synchronisatie met Microsoft Entra

Algemeen

Status: Productie
Update: 22 februari 2024
Door: Melissa
Gerelateerd:
Synchronisatie
SSO
Foutmeldingen

Synchronisatie met Microsoft Entra

De synchronisatie met Microsoft Entra, synchroniseert voornaam, achternaam, e-mailadres, login, afdeling, manager, status (disabled), PreferredLanguage en Country. De synchronisatie werkt één kant op, dus alleen van Microsoft Entra naar 2LRN4 en niet andersom.



Instructie

Instructie voor het opzetten van een synchronisatie met Microsoft Entra. Dit is een stapsgewijze instructie om 2LRN4 te synchroniseren met jouw Microsoft Entra ID. (Via menukeuze Azure Graph)

  • Je hebt minimaal een Microsoft Azure Premium P1 licentie nodig!
  • Als je nieuwe afdelingen aanmaakt, moet je deze nog steeds inschrijven voor de categorieën en cursussen.
1 Ga naar https://portal.azure.com/#home
2 Klik op “Microsoft Entra ID”. step 1
3 Begin met het maken van een securitygroep in Microsoft Entra die bevat alle leden die toegang nodig hebben tot 2LRN4.
  • Navigeer naar Groups en selecteer "New Group".
  • Vul de naam en eigenschappen van de groep in.
  • Je kunt al een (test) gebruiker toevoegen waarmee je in een later stadium de verbinding kunt testen.

Maak een aparte securitygroep voor de users met de rol customer (admin)
Maak een aparte securitygroep voor de users met de rol manager
Maak een aparte securitygroep voor de users met de rol users
etc. Zie autorisaties voor de rollen
Begin eerst met 1 gebruiker in de groep. Dan kun je controleren of je de applicatie kunt gebruiken met het account dat je hebt toegevoegd aan de groep die je hebt aangemaakt. Als dit lukt, voeg je de andere gebruikers van 2LRN4 toe aan de groep en voer je de import opnieuw uit.

 step 1  
4 Ga terug naar Home - Meer services
5 Kies in het Linkermenu "Identiteit"
6 Klik op “Enterprise applications” en klik op “Nieuwe applicatie” step 1  
7
  • + Maak je eigen applicatie/+ create your own application
  • Vul je app-naam in
  • Check: Register an application to integrate with Microsoft Entra ID (App you're developing)
step 1  
8 Selecteer Accounts in any organizational directory (Any Microsoft Entra ID tenant - Multitenant) en klik op "Registreren" (Redirect URI leeg laten) step 1  
9
  • Ga terug naar Alle services - Linkermenu: Overig/Other
  • Selecteer App-registraties
  • Open de nieuwe App
10 Klik op "Certificaten en geheim" en klik op "Nieuw klantgeheim"
11 Vul alle velden in en klik op "Toevoegen" step 1  
12 Kopiëren de waarde naar een tekst bestand deze waarde moet je straks op 2LRN4 invullen. step 1  
13 Klik op "Overzicht". Kopieer en bewaar waarde die bij “Application (client) ID” staat. Ook deze moet je straks op 2LRN4 invullen step 1  
14 Ga naar API-machtigingen (API permissions) en voeg machtigingen toe:
  • Degegate: User.Read.All, User.ReadBasic.All; Directory.Read.All, Group.Read.All, Group.ReadWrite.All, User.Export.All, User.ReadWrite.All
  • Application: Directory.Read.All, GroupMember.Read.All, Group.Read.All, Group.ReadWrite.All, User.Read.All, User.ReadWrite.All
 step 1  
15 Ga naar Home-Enterprise-applicatie selecteer applicatie, ga naar permissies en klik op "Grant admin consent" step 1  
16 Navigeer binnen de Enterprise-applicatie naar "Gebruikers en groepen". Klik op 'Gebruiker toevoegen' en specificeer de groep die je eerder hebt aangemaakt bij stap 3.
17 Ga naar Home Microsoft Entra ID - Overview. Kopieer en bewaar Tenant-ID. Ook deze moet je straks op 2LRN4 invullen step 1  
18 Ga naar https://portal.2lrn4.com en klik in het bedrijfspaneel op Azure Graph step 1  
19 Creeër nieuwe Azure Graph-configuratie step 1  
20 Vul alle velden in:
  1. titel) - naam van de configuratie.
  2. (Azure Tenant ID) waarde uit stap 17
  3. (Client ID) waarde uit stap 13
  4. (Client Secret) waarde uit stap 10
 step 1  
21 Nu kunnen we het testen. Ga naar de gebruikerspagina en klik op Import from Azure AD (menu-gebruikers/users) step 1  
22 Selecteer Azure Graph config, Role, Azure Graph Group ID en klik op Import
Let op dat je niet de rol users kiest en de groep customer (admin) synchroniseert. Dit zorgt ervoor dat de admins user rechten krijgen en dan sluit je je zelf buiten. 		step 1  

Azure AD Synchronisatie inplannen

1 Ga naar menukeuze Azure Graph Schedules – create/bewerk
Maak voor iedere AD-securitygroep die je wilt inplannen een aparte schedule. Dus de groepen die je net hebt aangemaakt. Heb je meerdere koppelingen gemaakt dan doe je dit per koppeling.
Maak voor de groep admins (met customer rechten) een aparte groep. Synchroniseer die als laatst bijvoorbeeld een halfuur na de andere. Mocht de gebruiker met ‘customer’ rechten ook in een andere groep zitten en dus ‘user’ rechten krijgen, dan overschrijft de admin synchronisatie die rechten weer.
2
  1. Geef de planning een duidelijke titel
  2. Kies de koppeling
  3. Plak bij Group ID het object ID van de securitygroep uit Microsoft Entra
  4. Selecteer de rol (gelijk aan groep)
  5. Het gewenste schema, dagelijks, wekelijks, maandelijks etc.
 step 1

Errors

Foutmelding Mogelijke oplossing
Invalid_client error
unauthorized_client 		Krijg je bij stap 22 deze error? Mogelijk heb je dan bij stap 13 de Secret ID in plaats van de Secret value gekopieerd. De client secret wordt binnen Microsoft Entra alleen weergegeven nadat deze is aangemaakt, daarna is deze niet meer opvraagbaar. Je zult dus een nieuwe app registratie moeten doen. Dus terug naar stap 4. De oude applicatie registratie kun je verwijderen.
These users cannot be imported: invalid_client Bij de handmatige synchronisatie (users-import via AD) krijg je de melding: “These users cannot be imported: invalid_client”.
  1. Mogelijk is de token verlopen. (stap 10) vervang de token.
  2. Mogelijk is de group ID die je synchroniseert niet (meer) juist.
Error 504 Gateway Time-out Krijg je bij de handmatige synchronisatie (users-import via AD) krijg je na verloop van tijd de melding: 504 Gateway Time-out
  1. Mogelijk is de token verlopen. (stap 10) vervang de token.
Azure client error Krijg je bij stap 22 deze error? Het zou kunnen zijn dat je bij stap 14 bij de API-machtigingen (API permissions) alle machtigingen Delegate hebt gegeven.
Error 403: Action unauthorized Krijg je deze error? Dan heb je zojuist de synchronisatie van de ‘users’ uitgevoerd terwijl jezelf ook in die securitygroep zit. Je hebt nu jezelf buitengesloten. Neem contact op met onze supportafdeling om je weer toegang te geven. Je voorkomt dit door de synchronisatie in te plannen.
Gebruiker heeft niet de juiste taalinstelling We synchroniseren het PreferredLanguage en country attribute. Wanneer een land meerdere talen heeft dan zullen we de voorkeurstaal van de gebruiker controleren. Voorbeeld: Als Country NL is, wordt de gebruikerstaal gekozen uit deze 2 (die we in onze tabel hebben):
‘nl-NL’
‘fy-NL’
Maar als de PreferredLanguage EN-en is, komt het niet overeen met alle talen in de tabel voor de Country. Daarom zullen we de eerste uit de tabel selecteren: nl-NL. Handmatige taal wijzigingen door de beheerder (customer rol) of de gebruiker kunnen niet overschreven worden door de synchronisatie.
Gebruiker(s) wordt niet gesynchroniseerd Voor de synchronisatie zijn er 2 voorwaarden:
  1. gebruiker heeft een (uniek) e-mailadres
  2. gebruiker is lid van de security groep die je in stap 3 gemaakt hebt.
Controleer dit en probeer daarna handmatig te synchroniseren, door bij gebruikers te kiezen voor: Import via AD. Vul de group ID in die je wilt synchroniseren. Als je een foutmelding krijgt kijk dan of die hierboven staat en kijk wat de oplossing is.
Disabled status wordt niet gesynchroniseerd Voor de synchronisatie van de disabled status zijn er 3 voorwaarden:
  1. gebruiker staat in het AD op inactief
  2. gebruiker heeft een (uniek) e-mailadres
  3. ebruiker is lid van de security groep die je in stap 3 gemaakt hebt.
Synchronisatie wordt niet uitgevoerd. Na het inplannen of wijzigen van de synchronisatie, kost het 24 uur om de taak in te plannen.
Accounts worden niet verwijderd na synchronisatie Dit is geen error. Doordat dit een heel foutgevoelig proces is, is besloten om deze functie uit te zetten.