AD-Benutzer-Synchronisierung

Eine weitere Möglichkeit, Benutzer in MyQ Roger anzulegen, ist die Synchronisation mit externen Diensten. Derzeit Microsoft Entra ID (umbenannt von MS Azure Active Directory) wird unterstützt und Google Active Directory wird derzeit entwickelt und sollte in absehbarer Zeit verfügbar sein.

Erforderliche Berechtigungen
Pages.Administration.UserSync

Microsoft Entra ID

Um eine Microsoft Entra ID in MyQ Roger zu konfigurieren, sollten Sie bereits eine bestehende Microsoft Entra ID haben.

Einrichtung und Konfiguration

1. Melden Sie sich beim Microsoft Azure-Portal und erstellen Sie eine neue App-Registrierung in Ihrer Microsoft Entra ID Quickstart: Register an app in the Microsoft identity platform - Microsoft identity platform.

2. Die neue App-Übersichtsseite wird geöffnet. Kopieren Sie die Anwendung (Client) ID und die Verzeichnis (Mieter) ID da sie für die Verbindung zu MyQ Roger benötigt werden.

3. Gehe zu Bescheinigungen und Geheimnisse und erstellen eine Geheimnis des neuen Kunden. Legen Sie das Verfallsdatum fest und kopieren Sie das Geheimnis Wert (Sichern Sie den Wert, da er nicht mehr angezeigt wird.).

4. Die Registrierung der App MUSS HABEN die folgenden Berechtigungen: Benutzer.Lesen.Alle, Gruppe.Lesen.Alle (für den Fall, dass Sie nur eine bestimmte Gruppe verwenden möchten). Um sie einzustellen, wählen Sie API-Berechtigungen und klicken Sie dann auf Eine Erlaubnis hinzufügen. Wählen Sie im Fenster auf der rechten Seite auf der Registerkarte Microsoft APIs Microsoft Grafik. Wählen Sie im nächsten Fenster Genehmigungen für die Anwendung, suchen und wählen Sie die Benutzer.Lesen.Alle und Gruppe.Lesen.Alle (für den Fall, dass Sie eine bestimmte Gruppe synchronisieren möchten) und klicken Sie auf Berechtigungen hinzufügen.

   

5. Gehen Sie zu MyQ Roger, bearbeiten und geben Sie die Einstellungen für den Connector in MyQ Roger, Verwaltung, Benutzer-Synchronisation, Microsoft Entra ID:

   

   1. Anwendungs-ID*: Fügen Sie die Anwendungs-(Client-)ID hinzu, die Sie bei der Einrichtung der Microsoft Entra ID kopiert haben.

   2. Verzeichnis (Mieter) ID*: Hinzufügen der Verzeichnis-ID (Mieter) die Sie bei der Einrichtung der Microsoft Entra ID kopiert haben.

   3. Bewerbungsgeheimnis*: Fügen Sie den Wert des Anwendungsgeheimnisses hinzu, den Sie bei der Einrichtung der Microsoft Entra ID kopiert haben.

      1. Ablaufdatum des Antragsgeheimnisses (optional): Legen Sie ein Ablaufdatum fest, wenn Sie über ablaufende Geheimnisse benachrichtigt werden möchten. Alle Benutzer mit dem Pages.Administration.UserSync Berechtigungen benachrichtigt werden.

6. Einstellung Gruppen Optionen:

   1. Keine: Wenn diese Option ausgewählt ist, werden alle Benutzer der Organisation synchronisiert.

   2. Ausgewählte: Geben Sie die Gruppenkennung ein, wenn Sie Benutzer aus einer bestimmten Entra ID Gruppe synchronisieren möchten. Sie können mehrere durch Komma (,) getrennte Gruppenidentifikatoren hinzufügen. Die GUID der Entra ID Gruppe finden Sie unter Microsoft Entra ID > Gruppen > Beschriftet als Objekt-ID der Gruppe, die Sie synchronisieren möchten.

7. Stellen Sie die Benutzer Optionen:

   1. Ausgewählte Gruppen: Synchronisieren Sie Benutzer aus den ausgewählten und verschachtelten Gruppen.

   2. Alle: Synchronisieren Sie alle Benutzer.

   3. Quellfelder für Aliasnamen: Fügen Sie den Namen des Feldes in der Microsoft Entra ID Graph API hinzu, das verwendet werden soll, um einen Alias für den Benutzer zu erstellen. Das Standardfeld ist onPremisesSamAccountName. Sie können bestimmte Felder in einem Alias kombinieren. Umgeben Sie jedes Feld mit dem Prozentzeichen (%), z. B. %givenName%. Sie können mehrere Kombinationen angeben, indem Sie ein Semikolon (;) als Trennzeichen verwenden, z. B. %givenName%.%surName%;%surName%-%givenName%.

   4. PIN-E-Mails senden: Markieren Sie das Kontrollkästchen, wenn Sie möchten, dass die neu angelegten Benutzer eine Begrüßungs-E-Mail mit PIN erhalten.

   5. Vorhandene Benutzer verwalten: Aktualisiert bestehende Benutzer und hält sie synchronisiert. Benutzer werden mit ihren E-Mail-Adressen abgeglichen.

   6. Verwendung von 'Anzeigename' zulassen: Der Vor- und Nachname sind Pflichtfelder in MyQ Roger. Bei Microsoft Entra ID Konten kann anstelle des Vor- und Nachnamens "Displayname" eingestellt sein.

   7. Auch Aliasnamen ohne ungültige Zeichen erstellen: Die ungültigen Zeichen sind: " [ ] : ; | = + * ? < > / \ , . und Leerzeichen. Zum Beispiel wird der Alias für John Doe wie folgt erstellt JohnDoe.

   8. Verwalten der Benutzerlöschung: Wenn aktiviert, vergleicht MyQ Roger die Benutzer vor und nach der Synchronisation. Es löscht die Konten, die nicht vom entfernten System abgerufen werden können. Microsoft Entra ID liefert Informationen über Konten, die für eine begrenzte Zeit gelöscht werden sollen. Sie sollten diese Option nur aktivieren, wenn Sie über einen längeren Zeitraum keine Synchronisation durchgeführt haben oder wenn Sie die Einstellungen geändert haben.

8. Klicken Sie auf Verbinden Sie. Die Verbindung wird getestet, und wenn alles korrekt eingestellt wurde, sollten Sie nun weitere Optionen sehen (Jetzt synchronisieren, Löschen, Bearbeiten und Automatisch synchronisieren).

9. Um die Synchronisierung durchzuführen, klicken Sie auf die Schaltfläche Jetzt synchronisieren oder aktivieren Sie Auto-Sync, um die Benutzer zu synchronisieren alle 24 Stunden von der Aktivierung.

Regeln für die Synchronisierung

• Wenn die E-Mail-Adresse eines AD-Benutzers gibt es nicht im MyQ-Roger-Mandanten, wird ein neuer Benutzer mit dem "AD synchronisiert" Tag.

• Wenn ein AD-Benutzer wird aus dem AD gelöscht und eine Synchronisation durchgeführt wird, wird der Benutzer auch von MyQ Roger gelöscht.

• Wenn die E-Mail-Adresse eines AD-Benutzers existiert bereits im MyQ-Roger-Mandanten, die Benutzererstellung ist übersprungen.

  • Wenn sie vorher gelöscht wurden, wird der Benutzer erneut registriert.

• Wenn die Erstellung eines Benutzers fehlschlägt, wird die Synchronisierung mit anderen Benutzern fortgesetzt. Weitere Informationen finden Sie im Kapitel Benachrichtigungen.

• Login - Wenn ein Benutzer mit der Microsoft Entra ID synchronisiert wurde, muss er sich bei MyQ Roger anmelden, indem er die 'Anmeldung mit Microsoft' Option. MyQ Roger synchronisiert keine Benutzerpasswörter. Wenn der Benutzer also über AD synchronisiert wurde, ist es erforderlich, die Anmeldeoption des Anbieters zu verwenden. (Microsoft/Google) MyQ Roger Login mit Benutzername und Passwort kann nur verwendet werden, wenn der Benutzer direkt von MyQ Roger erstellt wurde.

Benachrichtigungen

• Wenn eine Synchronisierung manuell ausgelöst wird:

  • Der auslösende Benutzer erhält eine Benachrichtigung in der Navigationsleiste, wenn der Auftrag beendet ist.

  • Im Falle von Änderungen (gelöschte, hinzugefügte oder fehlgeschlagene Benutzer) erhalten alle Benutzer mit der Berechtigung, eine Synchronisierung zu verwalten, eine Benachrichtigung in der Navigationsleiste mit kurzen Informationen über den Auftrag.

• Wenn eine Synchronisierung automatisch ausgelöst wird:

  • Im Falle von Änderungen (gelöschte, hinzugefügte oder fehlgeschlagene Benutzer) erhalten alle Benutzer mit der Berechtigung, eine Synchronisierung zu verwalten, eine Benachrichtigung in der Navigationsleiste mit kurzen Informationen über den Auftrag.

  • Wenn es keine Änderung gibt, werden die Benutzer nicht benachrichtigt. In der Verwaltung wird nur eine kurze Information über den letzten Lauf angezeigt.

• Wenn die Ablaufdatum des Antragsgeheimnisses gesetzt wurde und der Auftrag 7 Tage vor Ablauf ausgeführt wird, wird eine Benachrichtigung in der Navigationsleiste angezeigt und eine E-Mail-Benachrichtigung an Benutzer mit der Berechtigung zur Verwaltung von Synchronisierungen gesendet.

• Alle Synchronisierungsläufe werden mit einer Kurzinfo protokolliert. Alle fehlgeschlagenen Benutzer-Synchronisationen werden ebenfalls protokolliert.