Anleitung: Azure Entra mit DocuWare Benutzerbereitstellung verbinden

Wenn Ihre Organisation Azure Entra verwendet, um den Mitarbeiterzugriff auf Tools und Dienste zu verwalten, können Sie die Azure-Funktion "Provisioning" verwenden, um Ihren Benutzern automatisch Zugriff auf DocuWare über SCIM zu gewähren. Dieser Leitfaden führt Sie durch die Schritte zur Konfiguration von DocuWare und Azure Entra zum Einrichten der Bereitstellung für Ihre Organisation.

Die aktuelle Version von UserSync (v3) unterstützt die folgenden Bereitstellungsfunktionen:

• Automatische Benutzererstellung: Benutzer, die der Enterprise-Anwendung in Azure zugeordnet sind, werden automatisch als Benutzer in DocuWare angelegt.

• Synchronisierung von Attributen: Alle Aktualisierungen von Benutzerattributen (Benutzername, E-Mail, Aktivität) in Azure werden in DocuWare widergespiegelt.

• Deaktivierung des Benutzers: Wenn Benutzer in Azure deaktiviert werden, werden sie in DocuWre als "deaktiviert" markiert, sodass sie sich nicht anmelden können.

Erstellen einer neuen Anwendung in Microsoft Azure Entra

1. Melden Sie sich über den folgenden Link beim Azure-Portal an - Startseite - Microsoft Azure

2. Wechseln Sie zur Seite Unternehmensanwendungen .

3. Klicken Sie auf Neue Anwendung:

4. Klicken Sie auf Eigene Anwendung erstellen:

5. Wählen Sie einen Namen für Ihre App aus, und wählen Sie die Option
   Integrieren Sie alle anderen Anwendungen, die Sie nicht in der Galerie finden (Nicht-Galerie):

6. Klicken Sie auf Erstellen.

7. Navigieren Sie nach der Erstellung der Anwendung zu Bereitstellung.

8. Wählen Sie Bereitstellungsmodus > Automatisch aus.

9. Öffnen Sie den Abschnitt Administratoranmeldeinformationen .

10. Schließen Sie die Azure-Konfiguration nicht und wechseln Sie zu DocuWare Konfigurationen.

Einbettung der neuen Azure-Anwendung in DocuWare

1. Gehen Sie zu DocuWare Konfiguration > Integrationen > App-Registrierung.

2. Wählen Sie im Plug-in für die App-Registrierung die Option Neue App-Registrierung aus.

3. Wählen Sie im Popup-Fenster Anwendungsregistrierung erstellen die Option Webanwendung aus und klicken Sie dann auf Weiter.
   
   

4. Geben Sie einen Namen für die App-Registrierung ein, und gehen Sie dann wie folgt vor:

   1. Wählen Sie den Grant type: Client Credentials aus.

   2. Klicken Sie auf Speichern.
      
      
      

5. Kopieren Sie aus der soeben erstellten App-Registrierung die Werte von

   1. Application (Client) ID

   2. Client secret
      
      

6. Wechseln Sie zu DocuWare Konfigurationen > Allgemein > Benutzerbereitstellung.

7. Aktivieren Sie im Plug-in Benutzerbereitstellung die Option Benutzerbereitstellung aktivieren.

8. Wählen Sie in der Dropdownliste Identity Provider die Option Azure Entra aus.

9. Wählen Sie in der Dropdown-Liste Application Registration die zuvor erstellte App-Registrierung aus – siehe auch Schritt 4.

10. Klicken Sie auf die Schaltfläche Speichern .

11. Nach dem Speichern stehen zwei Authentifizierungsmethoden als Optionen zur Verfügung:
    OAuth2-Client Credentials Grant und Bearer Authentication.
    
    

12. Die nächsten Schritte hängen von der Wahl Ihrer Authentifizierungsmethode ab:

    1. OAuth2 Client Credentials Grant

       • Kopieren Sie die Links Tenant-URL, Token-Endpoint.

       • Navigieren Sie zurück zu Entra > Anwendung xxxx > Verwalten > Provisioning > Administratoranmeldeinformationen.

       • Stellen Sie sicher, dass die Option OAuth2 Client Credentials Grant in der Dropdown-Liste Authentication Method (Authentifizierungsmethode) ausgewählt ist.

       • Fügen Sie dort alle kopierten Daten aus Schritt 5 in die entsprechenden Felder ein.

       • Wenn alle erforderlichen Daten ausgefüllt sind, klicken Sie auf die Schaltfläche Verbindung testen .

       • Speichern Sie dann die Änderungen.

       • Wenn nach dem Speichern in der oberen rechten Ecke ein Fehler angezeigt wird, klicken Sie erneut auf die Schaltfläche Speichern .
         
         

    2. Bearer-Authentication

       • Kopieren Sie den Link für die Tenant-URL und das generierte Bearer token.

       • Navigieren Sie zurück zu Entra > Anwendung xxxx > Verwalten > Provisioning > Administratoranmeldeinformationen.

       • Stellen Sie sicher, dass die Bearer Authentication in der Dropdown-Liste Authentication Method ausgewählt ist.

       • Fügen Sie den zuvor kopierten Link für die Tenant-URL und das Bearer token ein.

       • Wenn alle erforderlichen Daten ausgefüllt sind, klicken Sie auf die Schaltfläche Verbindung testen .

       • Speichern Sie dann die Änderungen.

Mapping von Benutzer- und Gruppenattributen in DocuWare und Microsoft Entra ID

Durch die Zuordnung von Benutzer- und Gruppenattributen zwischen DocuWare und Microsoft Entra ID können Benutzer und Gruppen abgeglichen und synchronisiert werden

1. Öffnen Sie Microsoft Entra ID.

2. Um die Benutzer zuzuordnen, wählen Sie Provisioning > Attribute Mapping > Provision Microsoft Entra ID Users (Microsoft Entra ID-Benutzer bereitstellen) aus.
   

3. Legen Sie die Zuordnungen von Benutzerattributen fest:

   1. Erforderliche Zuordnungen:

      • userName: Item(Split([userPrincipalName], "@"), 1)

      • aktiv: Switch([IsSoftDeleted], , "False", "True", "True", "False")

      • emails[type eq "work"].value: Coalesce([mail],[userPrincipalName])

      • externalId: objectId

   2. Optionale Zuordnungen:

      • name.givenName: givenName

      • name.familyName: Nachname

4. Zusatzinformation

   1. Um das userName-Attribut zuzuordnen, müssen Sie zunächst die Konfiguration aktualisieren:

      • Öffnen Sie für Attribut bearbeiten das Attribut: userPrincipalName

      • Ändern des Zuordnungstyps in Ausdruck

      • Aktualisieren Sie das Ausdrucksfeld auf: Item(Split([userPrincipalName], "@"), 1)

      • Klicken Sie zum Speichern auf OK .

      

   2. Um das E-Mail-Attribut zuzuordnen, müssen Sie zunächst seine Konfiguration aktualisieren:

      • Öffnen Sie für Edit Attribute das Attribut: emails[type eq "work"].value

      • Ändern des Zuordnungstyps in Ausdruck

      • Aktualisieren Sie das Ausdrucksfeld auf: Coalesce([mail],[userPrincipalName])

      • Klicken Sie zum Speichern auf OK .
        
        

   3. Um das externalId-Attribut richtig zuzuordnen, müssen Sie zuerst die Konfiguration aktualisieren:

      • Öffnen für Bearbeiten Sie das Attribut: externalId: mailNickname

      • Ändern Sie das Source-Attribut in: objectId

      • Klicken Sie zum Speichern auf OK .
        

5. Löschen Sie alle zusätzlichen Zuordnungen, und speichern Sie. Wenn die Zuordnungen nicht gelöscht werden, kann dies zu Fehlern führen, wenn aktualisierte Benutzer bereitgestellt werden.
   

6. Um die Gruppen zuzuordnen, wählen Sie Provisioning > Attribute Mapping > Provision Microsoft Entra ID Groups (Microsoft Entra ID-Gruppen) aus.

7. Legen Sie die Gruppenzuordnungen fest:

   1. Löschen der redundanten Zuordnung externalId → objectId

   2. Deaktivieren Sie die Option "Löschen" in den Aktionen des Zielobjekts

   3. Speichern Sie die Änderungen

Bereitstellen von Benutzern und Gruppen

Navigieren Sie zur Seite Übersicht in Ihrer Entra Anwendung und klicken Sie auf die Schaltfläche Start Provisioning :

Bereitstellen von Benutzern

1. Klicken Sie auf > Benutzer und Gruppen verwalten > Benutzer/Gruppe hinzufügen > Wählen Sie die Benutzer aus, die Sie bereitstellen > zuweisen möchten.

2. Nachdem Sie die gewünschten Benutzer für die Bereitstellung hinzugefügt haben, werden sie entweder nach einiger Zeit automatisch bereitgestellt, oder Sie können sie bei Bedarf bereitstellen.

3. Navigieren Sie zu DocuWare-Konfigurationen > Allgemein > Benutzerverwaltung.

4. Überprüfen Sie, ob die erwarteten Benutzer dort erfolgreich bereitgestellt wurden.

Bereitstellungsgruppen:

1. Klicken Sie auf > Benutzer und Gruppen verwalten > Benutzer/Gruppe hinzufügen > Wählen Sie eine Gruppe für die Bereitstellung aus > Zuweisen.
   Hinweis: Wenn Sie die Mitglieder der Gruppe bei Bedarf zuweisen möchten, müssen Sie sie ebenfalls zur Liste hinzufügen.

2. Nachdem Sie die gewünschten Gruppen und Benutzer für die Bereitstellung hinzugefügt haben, werden sie entweder nach einiger Zeit automatisch bereitgestellt, oder Sie können sie bei Bedarf bereitstellen.

3. Navigieren Sie zu DocuWare-Konfigurationen > Allgemeine > Benutzerverwaltung.

4. Überprüfen Sie, ob die erwarteten Gruppen und Benutzer dort erfolgreich bereitgestellt wurden.

Zusätzliche Informationen zum Group Provisioning-Prozess:

1. Suche nach Gruppen: Das System sucht zunächst nach einer vorhandenen Gruppe mit dem angegebenen displayName. Wenn eine Gruppe mit diesem displayName in DocuWare vorhanden ist, wird die Gruppe aktualisiert. Andernfalls wird eine neue Gruppe erstellt.

2. Gruppenerstellung und Update-Handhabung:
   a) Erstellen neuer Gruppen: Wenn keine vorhandene Gruppe in DocuWare mit dem displayName übereinstimmt, erstellt der Dienst eine neue Gruppe mit den angegebenen Mitgliedern.
   b) Aktualisieren vorhandener Gruppen: Wenn eine passende Gruppe gefunden wird, aktualisiert der Dienst die Details der Gruppe und fügt der Gruppe neue Mitglieder hinzu. Es stellt sicher, dass bestehende Mitglieder nicht ersetzt, sondern neben den neuen Mitgliedern beibehalten werden.
   

   Sobald die Gruppen nach ihrer ersten Synchronisierung zugeordnet wurden, erfolgt die zukünftige Zuordnung mithilfe des ID-Attributs. Wenn Sie sich beispielsweise entscheiden, den Namen einer Gruppe in Entra ID zu ändern und dann die aktualisierte Gruppe bereitzustellen, wird die Gruppe anhand ihrer ID zugeordnet. Der Dienst aktualisiert den Namen der Gruppe in DocuWare entsprechend, ohne dass die Mitglieder entfernt werden.

3. Mitgliederverwaltung:
   a) Hinzufügen von Mitgliedern: Beim Aktualisieren von Gruppen werden alle neuen Mitglieder hinzugefügt, wobei die aktuellen Mitglieder intakt bleiben.
   b) Vermeidung von Duplikaten: Das System ist so konzipiert, dass es das Hinzufügen doppelter Mitglieder zu Gruppen vermeidet und sicherstellt, dass jedes Mitglied innerhalb der Gruppe einzigartig ist.