MyFMS SCIM onboarding met Microsoft Entra ID

MyFMS SCIM onboarding met Microsoft Entra ID

SCIM

SCIM, of System for Cross-domain Identity Management, is een open standaard die de automatisering van gebruikersvoorzieningen mogelijk maakt.
Deze handleiding geeft informatie over de synchronisatie van Microsoft Entra ID-gebruikers met MyFMS. Microsoft Entra ID, voorheen bekend als Azure AD.

De vereisten voor deze synchronisatie zijn:

  1. MyFMS 
    1. MyFMS gebruikersaccount met beheerders rechten
    2. MyFMS module: System for Cross-Domain Identity Management (SCIM)
  2. Microsoft 
    1. Minstens een Microsoft Entra ID P1
    2. Microsoft Entra-tenant id
    3. Dit id wordt gebruikt om de Microsoft Entra-tenant aan het MyFMS-account te koppelen.
    4. Microsoft Azure / Microsoft Entra ID Administrator Account

De SCIM-vereisten zijn:

  1. External Id (de maximale lengte van de ID kan slechts 100 karakters zijn) 
  2. Voornaam (de maximale lengte van de ID kan slechts 100 karakters zijn) 
  3. Achternaam (de maximale lengte van de ID kan slechts 100 karakters zijn) 
  4. E-mail adres (gebruikersnaam = MailAddress)
    1. Er wordt een nieuw account aangemaakt als de gebruikersnaam (MailAddress) en het MyFMS-account niet overeenkomen.. 
Wij kunnen u helpen bij de implementatie. Hiervoor rekenen wij 2 dagen consultancy. Neem contact met ons op via support@myfms.com voor meer informatie of vragen.

Gebruikersverificatie

De gebruikersauthenticatie bij Microsoft is alleen mogelijk als het Microsoft e-mailadres gelijk is aan de MyFMS e-mail. Als u een foutmelding krijgt bij het volgen van deze stappen, betekent dit dat u geen MyFMS-account heeft of dat de e-mail onjuist is.
  1. Ga via de browser naar login.myfms.com en klik op de "Login with Microsoft" knop. 



  2. Login met uw Microsoft account.

  3. Klik op de "Accept" knop


Gebruikerssynchronisatie

MyFMS maakt gebruik van meerdere omgevingen zoals Staging en Production. Staging is een kopie van onze productie omgeving en wordt van tijd tot tijd gesynchroniseerd. Wij adviseren om eerst de synchronisatie te testen op Staging.

Ophalen Microsoft Entra-tenant id

Uw Microsoft Entra-tenant-ID is een GUID (Globally Unique Identifier) die verschilt van de naam of het domein van uw tenant. De directory-ID is ook een GUID en heeft dezelfde waarde als de tenant-ID, dus beide ID's zijn gelijk aan elkaar. Door de directory-ID op te halen, krijgt u automatisch de tenant-ID. Afhankelijk van de context worden de tenant-id en directory-id door elkaar gebruikt in Microsoft-documentatie en -producten, wat verwarrend kan zijn.

  1. Open de Microsoft Azure Portal en navigeer naar "Microsoft Entra Connect".



  2. Navigeer naar “Properties” en kopieer de Tenant id.


 Voeg de tenant-ID toe aan MyFMS

  1. Log in als beheerder in MyFMS.
    1. https://staging.myfms.com for Staging.
    2. https://login.myfms.com for Production.
  2. Navigeer naar "Admin".
  3. Navigeer van"Admin" naar "Company Information"
  4. Navigeer van "Company Information" naar SCIM
  5. Plak de tenant-id die u zojuist hebt gekopieerdin de  "Third-Party ID".
  6. Selecteer de standaard "gebruikersgroep" en de standaard "Rol".
  7. Klik op de knop "Refresh" en kopieer het token naar een notitie of Word-document.
    1. Dit token is verderop in dit artikel nodig.
  8. Klik op "Opslaan".


Aanmaken enterprise application

  1. Open de Microsoft Azure Portal en navigeer naar "Microsoft Entra ID" en klik op "Enterprise Application".




  2. Klik op “Add” en kies “Enterprise application”. 



  3. Selecteer “+ Create your own application”



  4. Geef een naam op (bijvoorbeeld MyFMS SCIM). 
  5. Kies de optie "Integrate any other application you don't find in the gallery (Non-gallery)".
  6. Klik op "Create"



  7. Selecteer 3 "Provision User Accounts".

  8. Selecteer "Get started". 

  9. Stel de "Provisioning Mode" op "Automatic"

  10. Geef de tenant URL op.
    1. https://staging-scim.myfms.com/scim voor Staging
    2. https://scim.myfms.com/scim voor Production
  11. Voer de token in bij "Secret Token" (die eerder in een notitie of Word-document is geplakt).
  12. Klik "Test Connection" en "Save". 


  13. "Enable Provisioning" Status door deze op "On" te zetten.
  14. Selecteer de gewenste Scope. 
  15. Klik opnieuw op "Save" bovenaan de pagina.

De synchronisatie zal nu beginnen. Afhankelijk van het aantal objecten dat gesynchroniseerd moet worden, kan dit enige tijd duren. Als u de synchronisatie wilt testen, volgt u de stappen in hoofdstuk "User Authentication". 

Bedrijfspassen beheren in Microsoft Entra ID.

Bedrijfspassen/TAGS kun je in Microsoft Entra ID beheren door de pasgegevens als gebruikersattribuut op te slaan en deze vervolgens via SCIM-provisioning naar de doelapplicatie te synchroniseren. De meest gebruikte aanpak is het toevoegen van een custom attribuut zoals cardIdentification en dit opnemen in de SCIM attribute mappings. Microsoft Entra ondersteunt hiervoor aangepaste provisioning-attributen en SCIM schema-extensies.

De architectuur ziet er meestal zo uit:

Quote
HR / Badge systeem
        ↓
Microsoft Entra ID
(custom attribute: cardIdentification)
        ↓
SCIM Provisioning
        ↓
Toegangscontrole / Facility systeem
Stap 1 — Attribuut voor bedrijfspas toevoegen in Entra ID
De pas-ID moet eerst beschikbaar zijn in Entra ID. Dat kan op meerdere manieren:
  1. extensionAttribute1-15
  2. custom security attributes
  3. directory schema extensions
  4. synchronisatie vanuit HR-systeem
  5. provisioning vanuit externe identity source
Veel organisaties gebruiken bijvoorbeeld:

Quote
extensionAttribute5 = 89456321

of een echt custom attribuut:

Quote
cardIdentification


Attributen toevoegen voor synchroniseren bedrijfspassen/tags

Dit hoofdstuk laat zien hoe u attributen kunt toevoegen aan Microsoft Entra id. Een voorbeeld van een attribuut dat kan worden toegevoegd is (bedrijfs)pasnummer. Wanneer deze procedure is voltooid, verbindt MyFMS de RFID automatisch met het (bedrijfs)pasnummer.

LET OP!! Wij lezen chip serienummer uit van de (bedrijfs)pasnummer. Dit is over het algemeen niet het nummer wat op de (bedrijfs)pasnummer vermeld staat. Neem hiervoor contact op met de leverancier van de (bedrijfs)pas.

Stap 1 — SCIM-schema uitbreiden

De doelapplicatie moet het attribuut accepteren in het SCIM-schema.
Bij voorkeur gebruik je een SCIM extension namespace, bijvoorbeeld:
Quote
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:cardIdentification
of vendor specifiek:
Quote
urn:ietf:params:scim:schemas:extension:mycompany:2.0:User:cardIdentification
Microsoft beschrijft expliciet dat je extra "custom attributen" kunt toevoegen aan de provisioning app schema’s via “Edit attribute list”.


Stap 2 — Attribute Mapping configureren

Ga naar:
Quote
Microsoft Entra Admin Center
→ Entra ID
→ Enterprise Applications
→ [SCIM applicatie]
→ Provisioning
→ Mappings
→ Provision Microsoft Entra ID Users
Daarna:

Advanced options openen

Kies:
Quote
Show advanced options
→ Edit attribute list
Voeg hier toe:
Quote
cardIdentification

of volledige SCIM namespace:
Quote
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:cardIdentification

Stap 3 — Nieuwe mapping aanmaken

Voeg vervolgens een mapping toe:
Instelling
Waarde
Mapping type
Direct
Source attribute
extensionAttribute5
Target attribute
cardIdentification
Apply mapping
Always

Bijvoorbeeld:
Quote
extensionAttribute5
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:cardIdentification
Microsoft Entra ondersteunt:
  1. Direct mappings
  2. Expressions
  3. Constants
  4. Default values


Stap 4 — Provisioning testen

Gebruik daarna:
Quote
Provision on demand
Controleer vervolgens de outbound SCIM payload.
Je zou iets moeten zien als:
Quote
{
  "schemas": [
    "urn:ietf:params:scim:schemas:core:2.0:User",
    "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User"
  ],
  "userName": "j.doe@bedrijf.nl",
  "active": true,
  "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User": {
    "cardIdentification": "89456321"
  }
}

Voorkomen van onbedoelde verwijderen

De Microsoft Entra ID-inrichtingsservice bevat een functie om onbedoelde verwijdering van gebruikers en gebruikersgroepen te voorkomen. Om onbedoelde verwijderingen te voorkomen, moet een "deletion threshold"  worden opgegeven. Voor alles boven de door u ingestelde drempel moet een beheerder expliciet toestaan dat de verwijderingen worden verwerkt.

De functie kan worden ingesteld via de provisioning van de eerder gemaakte enterprise application.. 


Meer informatie is beschikbaar via Microsoft support page.

SCIM Logging

SCIM logging toont het logboek van alle gesynchroniseerde gebruikersaccount.
Via de onderstaande link vind u meer informatie over SCIM logging

FAQ

Probleem
Vraag
Oplossing
Een gebruiker kan niet inloggen in MyFMS
Is de gebruiker actief in Entra ID?
Activeer de gebruiker in Entra ID

Staat de gebruiker in Entra ID in gebruikersgroep die gesynchroniseerd wordt met MyFMS?
Verplaats de gebruiker in Entra ID naar de gebruikersgroep die gesynchroniseerd wordt met MyFMS
Gebruiker is niet bekend in MyFMS
Is de gebruiker actief in Entra ID?
Activeer de gebruiker in Entra ID

Staat de gebruiker in Entra ID in gebruikersgroep die gesynchroniseerd wordt met MyFMS?
Verplaats de gebruiker in Entra ID naar de gebruikersgroep die gesynchroniseerd wordt met MyFMS

Staat er een foutmelding in de SCIM logging?
Los de foutmelding op en start de synchronisatie
Een gebruiker heeft de gebruikersrol "Niet actief" in MyFMS
Is de gebruiker actief in Entra ID?
Activeer de gebruiker in Entra ID

Is de gebruiker recentelijk gedeactiveerd en weer geactiveerd.
Het opnieuw activeren van een gebruiker in de Entra ID wordt (nog) niet overgenomen door MyFMS. Wijzig hiervoor de gebruikersrol in MyFMS via het menu "Beheer" - "Gebruikers"

Is de gebruiker recentelijk in Entra ID uit de gebruikersgroep gehaald die gesynchroniseerd wordt met MyFMS? 
Plaats de gebruiker in de groep die gesynchroniseerd wordt met MyFMS? Het opnieuw activeren van een gebruiker in de Entra ID wordt (nog) niet overgenomen door MyFMS. Wijzig hiervoor de gebruikersrol in MyFMS via het menu "Beheer" - "Gebruikers"




    • Related Articles

    • MyFMS SCIM logging

      SCIM SCIM, of System for Cross-domain Identity Management, is een open standaard die de automatisering van gebruikersaccounts mogelijk maakt. Via de onderstaande link vind u alle informatie over de synchronisatie van Microsoft Entra ID-gebruikers met ...

    • MyFMS inloggen / wachtwoord vergeten.

      Inleiding Zodra het MyFMS account voor u aangemaakt is ontvangt u een email van MyFMS. Volg de instructies die in de email aangegeven staan om het MyFMS account te activeren. Heeft u al een MyFMS account dan kunt u inloggen via login.myfms.com. ...

    • MyFMS app update voor Android smartphones (changelog)

      Android smartphones De MyFMS app wordt regelmatig voorzien van updates. In deze updates worden er nieuwe functionaliteit toegevoegd, bestaande functionaliteiten uitgebreid, worden bugs opgelost of voeren we beveiliging updates door. In dit overzicht ...

    • MyFMS app update voor iOS (changelog)

      Apple iPhone en iPad De MyFMS app wordt regelmatig voorzien van updates. In deze updates worden er nieuwe functionaliteit toegevoegd, bestaande functionaliteiten uitgebreid, worden bugs opgelost of voeren we beveiliging updates door. In dit overzicht ...

    • MyFMS app voor Android toevoegen aan Mobile Device Management (MDM)

      Inleiding Binnen organisaties worden iPhones en iPads vaak centraal beheerd met een **Mobile Device Management (MDM)**-oplossing. Hiermee kunnen IT-beheerders apparaten configureren, beveiligingsinstellingen toepassen en applicaties automatisch ...