Viimeaikaiset haut

Ei viimeaikaisia hakuja

    Suositut artikkelit

      Artikkelit
      Näytä kaikki
        Aiheet
        Näytä kaikki
          Tukipyynnöt
          Näytä kaikki
            ei tuloksia

            Pahoittelut! Mitään ei löytynyt haulla

            Microsoft Entra ID -integraation SCIM käyttöönotto

            Muokattu To, 26 Helmi klo 2:41 PM

            Jos sinulla on käytössä Microsoft Entra ID, voit yhdistää hakemistosi Systam Studioon, jolloin Systam Visit -vastaanottajien luonti käsin ei ole enää tarpeen. Tässä ohjeessa kuvataan, miten otat käyttöön Microsoft Entra ID:n automaattisen käyttäjien synkronoinnin.


            Huomio!

            Laajennus on maksullinen ja vaatii aktivoinnin. Ota yhteyttä asiakastukeemme support@systam.fi.


            Kun käyttöönotto on valmis, Microsoft Entra ID:
            • Luo käyttäjiä (vastaanottajia) Systam Studioon. 
            • Päivittää käyttäjiä Systam Studiossa (mukaan lukien ensisijainen työtila, nimi, sähköpostiosoitteet, puhelinnumerot ja aktiivinen tila). 
            • Poistaa käyttäjiä pysyvästi (hard delete) Systam Studiosta, kun he eivät enää tarvitse käyttöoikeutta. 
            • Pitää käyttäjätiedot synkronoituna Microsoft Entra ID:n ja Systamin välillä.


            Lue lisää Entra ID:stä ja provisioinnista (käyttäjähallinnan automaatiosta): What is automated app user provisioning in Microsoft Entra ID - Microsoft Entra ID | Microsoft Learn

            Tärkeät huomioitavat asiat

            Ennakkovaatimukset


            Ennen käyttöönottoa sinulla tulee olla:

            • Microsoft Entra Tenant.
            • Käyttäjätili Microsoft Entra ID:ssä, jolla on oikeus määrittää provisiointi (esimerkiksi Application Administrator, Cloud Application Administrator, Application Owner tai Global Administrator). 
            • Systam-organisaatiotili (app.systam.io) ja käyttäjätunnus, jolla on Organisaation omistajan oikeudet.


            Muut huomiot

            • Organisaation omistajat ovat suojattuja. Systamissa Organization Owner -rooliin nimetyt käyttäjät ovat suojattuja. Kaikki yritykset päivittää tai poistaa nämä käyttäjät SCIMin kautta johtavat 403 Forbidden -virheeseen provisiointilokeissa. 
            • Ei soft delete -toimintoa: Systam ei tue keskeytettyä tai ”soft delete” -tilaa. Kun käyttäjä poistetaan synkronoinnin piiristä tai poistetaan käytöstä Entra ID:ssä (lähettäen [object Object]), Systam poistaa käyttäjätilin pysyvästi. Jos käyttäjä myöhemmin palautuu synkronoinnin piiriin, hänet luodaan uudelleen uutena käyttäjänä.  
            • Täsmäytyslogiikka: Jos Systamissa on jo käyttäjä samalla sähköpostiosoitteella, provisiointi linkittää kyseisen tilin tämän tenantin SCIM [object Object] -arvoon. Muussa tapauksessa luodaan uusi käyttäjä.  
            • Ryhmät: Systam ei tällä hetkellä tue ryhmien provisiointia.


            Vaihe 1: Suunnittele provisioinnin käyttöönotto


            Vaihe 2: Valmistelu ja toimenpiteet Systam Studiossa

            Valmistelu

            1. Siirry Systam Studio → Laajennukset → Microsoft Entra ID ja paina Ota käyttöön.
            2. Kopioi Studiossa näkyvä Tenant URL. sekä Secret Token.  Tarvitset ne Entra ID -konfigurointia varten (ks. Vaihe 5).
            3. Voit halutessasi myös syöttää organisaationne Tenant ID:n, joka auttaa meitä mahdollisissa vikatilanteissa.


            Aseta synkronoinnin asetukset


            Valitse Systam Studiossa, miten työntekijät lisätään sen työtiloihin. Voit valita, lisätäänkö työntekijät organisaatiossa vain yhteen työtilaan vai kaikkiin työtiloihin. Valitse organisaatiollesi sopiva vaihtoehto ennen provisioinnin käynnistämistä.


            • Ensisijaiset työtilat
              • Synkronoi vastaanottajat vain yhteen työtilaan.
            • Kaikki työtilat
              • Synkronoi vastaanottajat kaikkiin työtiloihin.


            Huomio!
            Jos vaihdat asetuksen myöhemmin ensisijaisiin työtiloihin, vastaanottajia ei poisteta muista työtiloista automaattisesti.



            Määritä ensisijaiset työtilat (jos käytössä Ensisijaiset työtilat)


            Jos käytät asetusta Ensisijaiset työtilat, sinun tulee määrittää työtilakohtaiset Entra-arvot.
            Voit erotella työntekijöitä eri työtiloihin määrittämällä työtilan ja sitä vastaavan Entra-arvon. 


            Toimi näin:
            1. Klikkaa Lisää määritys.  
            2. Valitse työtila. 
            3. Määritä sitä vastaava Entra-arvo. 


            Huomio!
            Entra-arvon tulee vastata täsmälleen sitä arvoa, jonka määrität Entra ID:n attribuuttimäppäyksessä (ks. Vaihe 5 ).


             Vaihe 3: Lisää Systam Microsoft Entra ID:hen

            1. Kirjaudu Microsoft Entra admin centeriin järjestelmänvalvojana. 
            2. Siirry kohtaan Identity → Applications → Enterprise applications  
            3. Valitse New application.  
            4. Valitse Create your own application.  
            5. Anna nimeksi esimerkiksi Systam.  
            6. Valitse Integrate any other application you don't find in the gallery (Non-gallery).  
            7. Klikkaa Create.  


            Vaihe 4: Määritä, ketkä kuuluvat provisioinnin piiriin

            Microsoft Entra -provisiointipalvelun avulla voit määrittää, ketkä provisioidaan joko sovellukseen tehtyjen käyttöoikeusmääritysten perusteella tai käyttäjän tai ryhmän attribuuttien perusteella. Jos päätät rajata provisioinnin sovellukseen tehtyjen määritysten mukaan, voit käyttää seuraavia vaiheita käyttäjien ja ryhmien määrittämiseen sovellukseen.
            • Aloita pienesti. Testaa ensin pienellä käyttäjä- ja ryhmäjoukolla ennen kuin otat provisioinnin käyttöön kaikille. 
            • Kun provisioinnin laajuudeksi on asetettu määritetyt käyttäjät ja ryhmät, voit hallita tätä määrittämällä sovellukseen yhden tai kaksi käyttäjää tai ryhmää.


            Vaihe 5: Ota automaattinen synkronointi käyttöön

            Tässä osiossa opastetaan, miten määrität Microsoft Entra -provisionointipalvelun luomaan, päivittämään ja poistamaan käyttäjiä käytöstä Systamissa. 


            5.1  Admin Credentials

            1. Valitse Entra ID:ssä Systam-sovelluksesta välilehti Provisioning.  
            2. Manage → Provisioning.  Aseta Provisioning Mode / Valmistelutila = Automatic / Automaattinen  
            3. Syötä Studiossa näkyvät arvot:
            • Tenant URL  
            • Secret Token  
            Klikkaa Test Connection varmistaaksesi yhteyden.
            Jos testaus epäonnistuu:
            • varmista, että token on kopioitu oikein 
            • tarkista, ettei siinä ole ylimääräisiä välilyöntejä 


            5.2. Attribuuttimäärittelyt (kriittinen vaihe)

            Systam edellyttää, että käyttäjän luonnin yhteydessä lähetetään mukautettu attribuutti [object Object]. Tämä on lisättävä skeemaan ennen kuin se voidaan mapata.
            1. Avaa samalla sivulla Mappings.  
            2. Valitse kohdasta Mappings: Provision Microsoft Entra ID Users.  
            3. Vieritä sivun alaosaan ja valitse Show advanced options.  
            4. Klikkaa Edit attribute list for Systam.  
            5. Lisää attribuuttilistan alaosaan seuraava uusi attribuutti: 
              • Name:[object Object]  
              • Type:[object Object]
            6. Klikkaa Save.  


            5.3. Attribuuttien määritykset (Attribute mappings)

            Systam käyttää provisioinnissa rajattua joukkoa Microsoft Entra ID:n käyttäjäattribuutteja.
            Attribuuttien määritykset tehdään Systam Visit -yrityssovelluksen Provisioning-välilehdellä.

            Identiteetti ja tila

            [object Object] 
            • Yksilöllinen tunniste käyttäjälle Systamissa. 
            • Arvo otetaan siitä lähdeattribuutista, jonka määrität userName-mäppäykseen (yleensä käyttäjän kirjautumisnimi, kuten UPN tai sähköpostiosoite). 
            [object Object]
            • Määrittää, tuleeko käyttäjätilin olla olemassa Systamissa. 
            • Arvo määräytyy active-mäppäyksessä määritellyn lausekkeen perusteella. 


            Yhteystiedot

            Systam käyttää Microsoft Entra ID:stä tulevia yhteystietoja vain silloin, kun tyypiksi on määritetty [object Object] tai [object Object]
            Kaikki muut tyypit hylätään ja aiheuttavat provisioinnin epäonnistumisen kyseisten käyttäjien osalta.
            • Sähköpostiosoitteet
              • Attribuutti, joka on mapattu "work"-tyyppiseksi sähköpostiksi (esim. [object Object]), käytetään käyttäjän ensisijaisena sähköpostiosoitteena Systamissa.  
              • "work"-sähköpostiosoite on pakollinen. Jos käyttäjällä ei ole work-tyyppistä sähköpostiosoitetta, provisiointi epäonnistuu kyseisen käyttäjän osalta. 


            • Puhelinnumerot
              • Jos päätät mapata puhelinnumerot, "work"-tyyppinen puhelinnumero (esim. [object Object]) käytetään käyttäjän ensisijaisena puhelinnumerona Systamissa.  
              • "work"-puhelinnumero on pakollinen, jos puhelinnumeroita mapataan. 
                • Jos et halua hallita puhelinnumeroita Systamissa, jätä puhelinnumerot kokonaan mapittamatta. 
                • Jos mapaat puhelinnumerot, varmista että jokaisella synkronoinnin piirissä olevalla käyttäjällä on work-tyyppinen puhelinnumero. Muussa tapauksessa provisiointi epäonnistuu kyseisten käyttäjien osalta. 


            Käytännössä:

            • "work"-sähköpostiosoite on aina käyttäjän ensisijainen sähköpostiosoite Systamissa. 
            • Kun puhelinnumerot on mapattu, "work"-puhelinnumero on käyttäjän ensisijainen numero Systamissa. 



            5.4. Mukautetun attribuutin mäppäys

            Systam edellyttää mukautettua [object Object]-attribuuttia, joka määrittää käyttäjän ensisijaisen työtilan.
            • [object Object]e-attribuuttiin mapattu arvo määrittää käyttäjän päätyötilan Systamissa. 
            • [object Object] on pakollinen. 
              • Jos attribuuttia ei toimiteta käyttäjälle, provisiointi epäonnistuu. 
            • Arvon on vastattava jotakin Systamissa määritettyä työtilatunnistetta. 
              • Jos arvo ei vastaa olemassa olevaa työtilaa, provisiointi epäonnistuu. 
            • Jos [object Object]-arvo muuttuu Microsoft Entra ID:ssä, muutos päivittyy käyttäjälle Systamissa seuraavan provisiointisyklin aikana. 


            Workspace-mäppäyksen lisääminen

            1. Palaa Attribute Mapping -näkymään ja tarkista oletusmäppäykset.  
            2. Lisää workspace-mäppäys: 
              • Vieritä listan alaosaan ja klikkaa Add New Mapping.  
              • Source attribute: Valitse Entra ID:n attribuutti, jota käytetään määrittämään käyttäjän ensisijainen fyysinen sijainti (esim. [object Object], [object Object], [object Object], [object Object] tai jokin extension-attribuutti).  
              • Target attribute: Valitse osassa B lisäämäsi mukautettu attribuutti:
            [object Object]  
              • Klikkaa OK.    
            • Valitse Save tallentaaksesi muutokset.  


             Esimerkki mahdollisesta mäppäyskonfiguraatiosta


            Systam-attribuutti

            Microsoft Entra ID -attribuutti (esimerkki)

            Pakollinen

            userName

            userPrincipalName

            Kyllä

            active

            Switch([IsSoftDeleted], , "False", "True", "True", "False")

            Kyllä

            name.givenName

            givenName

            Kyllä

            name.familyName

            surname

            Kyllä

            emails[type eq "work"].value

            Coalesce(mail, userPrincipalName)

            Kyllä (käyttäjällä oltava vähintään yksi mapattu sähköposti)

            emails[type eq "other"].value

            first([otherMails])

            Ei

            phoneNumbers[type eq "work"].value

            mobile

            Ei

            phoneNumbers[type eq "other"].value

            telephoneNumber

            Ei

            preferredLanguage

            preferredLanguage

            Ei

            urn:ietf:params:scim:schemas:extension:systam:2.0:User:primaryWorkspace

            department

            Kyllä


            Vaihe 6: Testaa ja käynnistä synkronointi

            Testaa yksittäinen käyttäjä

            • Valitse Provision on demand  
            • Valitse testikäyttäjä 
            • Suorita toiminto 

            Ota automaattinen synkronointi käyttöön

            • Aseta Provisioning status = On  
            • Valitse haluttu laajuus 

            Seuraa tilannetta

            Lisätietoja:


            Auttoiko tämä artikkeli?

            Loistavaa!

            Kiitos palautteestasi

            Pahoittelut ettemme voineet auttaa

            Kiitos palautteestasi

            Kerro kuinka voimme parantaa tätä artikkelia!

            Valitse ainakin yksi syistä
            Kuvavarmennus vaaditaan.

            Palaute lähetetty

            Kiitos palautteesta. Yritämme korjata artikkelin

            Esikatselu
            0 - 0