AD-Synk
      Tillbaka till startsidan
      1. Manual
      2. Integrationer
      3. AD-Synk

      Azure Användarsynkronisering (AAD)

      Den här artikeln handlar om användarsynk mellan Stratsys användare och ett Azure AD och innehåller förutsättningar för att införa lösningen, en uppsättningsguide samt vägledning för förvaltning och underhåll.

      Note💡Använder ni inte Användarsynkronisering idag, vänligen kontakta er kundansvarig på Stratsys för vidare dialog då det är en Enterprise-/tilläggstjänst.

      Tips! Öppna gärna bilderna i en ny flik för att förstora bilderna. Detta gör du genom att högerklicka på bilden och väljer "Öppna bild i ny flik".

      Användarsynkronisering från Azure AD möjliggör automatisk skapande, uppdatering och borttagning av användare i Stratsys utifrån förändringar som görs i ert Azure AD. Med användarsynkronisering sparar ni mycket tid när det kommer till administration av användare och behörigheter i Stratsys. Då läsbehörighet i Stratsys är kostnadsfritt så kan en användarsynkronisering även vara ett effektivt sätt att öppna upp Stratsys för hela organisationen. Den här artikeln handlar om användarsynkronisering mot ett Azure AD, önskar ni att sätta upp synk mot en lokal användarkatalog se denna artikel.

      Artikeln består av följande delar:

      Lösningsbeskrivning

      Förutsättningar

      Uppsättningsguide

      Förvaltning och Underhåll

      Felsökning


      Lösningsbeskrivning

      I ert Azure AD definierar ni vilka grupper med användare som ska synkroniseras med Stratsys och det är endast användarna i de valda grupperna som kommer att synkas över till Stratsys. I de flesta fall skapar man upp Stratsys-specifika grupper i sitt Azure AD, det kan till exempel var en grupp för de användare som ska vara rapportörer, en för fullständiga användare och en för läsare. En användare kan även vid behov ingå i flera grupper, i det fallet kommer användaren få fler behörigheter i Stratsys.

      Den användarinformation som synkas är:

      • Metadata (för-och efternamn, e-mailadress, användarnamn)
      • Organisationsenhet
      • Behörighetsgrupp (tex. läsare, rapportör, fullständig användare)

      Alias-mappning

      Organisationsträdet i Stratsys och i Azure AD:t kan skilja sig åt, därför används alias-mappning för att användarna ska få rätt enhetstillhörighet i Stratsys. Det innebär att namnen på de enheter som finns i Azure AD:t mappas som alias med motsvarande enhet i Stratsys.

      Det samma görs för behörighetsgrupper, att namnet på gruppen i Azure AD:t mappas mot motsvarande grupp i Stratsys med alias. Alias för både enheter och behörighetsgrupper måste vara unika vilket gör att det inte går att använda samma alias på flera enheter eller behörighetsgrupper i Stratsys.

      Det är möjligt att sätta flera alias på en enhet eller behörighetsgrupp, en så kallad många-till-ett mappning. Det kan användas om ni har ett djupare organisationsträd i Azure AD:t och har behov av att mappa flera enheter mot samma enhet i Stratsys eller om ni vill att användare från flera olika grupper i Azure AD:t ska få samma behörighetsgrupp i Stratsys.

      Såhär fungerar synken

      Användarsynken kontrollerar om det skett några ändringar i Azure AD var 40:oende minut som i sin tur initierar anrop mot Stratsys och för att genomföra ändringarna. 

      Ändringar kan vara något av följande:

      • Användare har lagts till
      • Användare har tagits bort
      • Användare har bytt namn eller mejladress
      • Användare har bytt organisationsenhet
      • Användare har tagits bort från grupp
      • Användare har lagts till i en grupp

      Förutsättningar

      • Majoriteten av era användare finns i ert Azure AD
      • Ni har möjlighet att skapa och konfigurera en Enterprise-applikation samt skapa upp nya grupper i ert Azure AD-tenant som sedan ska avspeglas i Stratsys
      • Era Azure AD licenser och grupper stämmer med de krav som finns uppsatta enligt följande länk 
      • Ni har möjlighet att skapa upp nya säkerhetsgrupper i ert Azure AD som kan mappas mot Stratsys behörighetsgrupper (befintliga kan användas men Stratsysspecifika grupper är att föredra)
      • Ni har information om på organisatorisk enhet för samtliga användare i ert Azure AD, återfinns oftast i Department/avdelning-attributet
      • Ni har möjlighet att sätta upp en mappning av organisationsenheterna i Azure AD:t mot organisationsträdet i Stratsys. Namnet på enheten måste inte vara samma men en 1–1 eller n-1 (många-till-ett) mappning behöver vara möjlig.
      • Befintliga användare i Stratsys har samma användarnamn och mejladress som användarna har Azure AD för att dubbletter av användarna ej ska skapas (det är möjligt att uppdatera användarnamn och mejladress i Stratsys)

      Uppsättningsguide

      Steg 1 - Skapa ett organisationsträd

      För att synkroniseringen ska fungera behöver ett organisationsträd i Stratsys finnas uppsatt. Om ni redan har ett organisationsträd i Stratsys så kan ni bortse från denna del av artikeln och fortsätta till Steg 2.

      För att skapa upp ett organisationsträd rekommenderar vi att ni tar hjälp från er kundansvarige då uppsättningen av organisationsträd kan vara komplicerad och behöver ta hänsyn till flera aspekter utifrån hur Stratsys ska användas i organisationen. 

       

      Steg 2 - Säkerställ att "Standardbehörighet för nya användare" är inaktiverad

      För att användarna ska läggas till i Stratsys med behörigheten som kommer från Azure AD-synken så måste funktionen "Aktivera automatiskt skapande av användare från plattformen" vara inaktiverad, observera att detta behöver göras i samtliga av kundens databaser. Är funktionen redan inaktiverad kan ni gå vidare till nästa steg.

      1. Gå till Stratsys administration och Användare
      2. Gå till "Standardbehörighet för nya användare"
      3. Är toggeln "Aktivera automatiskt skapande av användare från plattformen" aktiverad --> Inaktivera denna
      4. Klicka på Spara

      Steg 3 - Generera en nyckel

      1. Gå till Stratsys Platform Center och klicka på Användarsynk och sedan Azure AD (SCIM)
      2. Klicka på de tre prickarna i det övre högra hörnet
      3. Klicka på Inställningar och aktivera togglen vid Aktivera synkronisering av användare via Azure AD
      4. Under Nycklar klicka på Generera nyckel, ge din nyckel en beskrivning och välj den databas som användarsynken ska gå mot. Generera nyckel och spara nyckeln, den visas bara 1 gång. Kopiera även Azure AD Sync Url, denna URL kommer behövas vid ett senare tillfälle.



      Steg 4 - Skapa och konfigurera grupper

      I ert Azure AD skapar ni grupper med de användare som ni vill synka med Stratsys. Grupperna ska motsvara behörighetsgrupperna i Stratsys då det är dem som styr vilken behörighetsnivå (exempelvis läsare, fullständig användare, administratör) som användaren får när den synkas in till Stratsys.

      För att era behörighetsgrupper i Stratsys ska kunna synka med grupperna i ert Azure AD så behöver ni följa stegen nedan.

      Gör grupper tillgängliga för provisionering

      1. Gå till Plattformsadministrationen och klicka på Användarsynk > Azure (SCIM)
      2. Gå till Grupper
      3. Välj Nej i filtret Visa tillgängliga för provisionering för att se era behörighetsgrupper från Stratsys som ännu inte är tillgängliga för provisionering.

      Gör följande 2 steg för samtliga grupper som ni ska synka mot ert AD
      1.  Klicka på raden för  gruppen som ska synkas
      2. Aktivera toggeln för att göra gruppen Extern

       

      Mappa grupp med alias

      Alla grupper som ska synkas med ert Azure AD behöver konfigureras med ett Alias som ska motsvara namnet på gruppen i Azure ADt. Samtliga grupper som ska synka med ert Azure AD måste ha ett alias och det är först när gruppen konfigureras med alias som gruppen kommer börjar synka med motsvarande grupp i ADt.


      1. Gå till Grupper
      2. Klicka på raden för den behörighetsgruppen ni vill lägga till alias för
      3. Klicka på fältet Lägg till nytt alias och skriv in alias i pop-up fönstret, klicka på Lägg till och Spara. Aliaset ska vara namnet på gruppen i ert Azure AD som behörighetsgruppen ska synka mot.

      Upprepa för samtliga grupper som ska synkas

       

      Note När gruppen är provisionerad är det inte längre möjligt att ta bort alias. Uppdateras namnet på en provisionerad grupp i Azure AD kommer alias automatiskt uppdateras i Stratsys. 

      Konfigurera prioriteringsordning av grupper

      Grupperna är sorterade i prioriteringsordning som bestämmer vilken behörighetsgrupp som blir användarens huvudbehörighet och vilken grupp som blir extrabehörighet i de fall då användaren tillhör flera grupper.

      Användarexempel

      Användaren Anna tillhör två grupper i Azure AD:t och blir tilldelad två behörigheter i Stratsys; "Fullständig användare" och "Medlem". Enligt konfigurationen på bilden nedan skulle det innebära att "Fullständig användare" blir Annas huvudbehörighet och "Medlem" blir en extrabehörigheten då den ligger längre ner i prioriteringslistan.

      1. Gå till Grupper
      2. I kolumnen Prioritet hittas prioritetsordningen för grupperna där 1 är högst.
      3. Justera ordningen genom att klicka på en grupp och ändra prioritet, klicka sedan på Spara

      Note Vi har ett pågående utvecklingsärende på att ändringar i prioritetsordningen efter att synken är startad ska slå igenom i användarnas behörigheter. Innan detta är på plats är det dock viktigt att prioritetsordningen stämmer innan synkronisering startas.


      Steg 5 - Konfigurera enheter

      Likt behörighetsgrupperna behöver enheterna ha ett unikt alias. Det innebär att namnen på de enheter som finns i Azure AD:t behöver mappas som alias med motsvarande enhet i Stratsys. Detta för att användarna ska få rätt enhetstillhörighet i Stratsys. Enheter behöver däremot inte sättas som externa, de importeras direkt från Stratsys och uppdateras efter ändringar när du uppdaterar webbläsarfönstret. Precis som för behörighetsgrupperna sätts Alias genom att klicka på enheten och skriva in Alias. Aliaset ska motsvara namn som finns uppsatt i Azure AD.

      Mappa enhet med alias


        1. Gå till Enheter, här hittar ni ert organisationsträd.
        2. Klicka på en enhet, då dyker det upp en sidoflik Ändra enhet.
        3. Skriv Alias för enheten, aliaset ska vara namnet på den enhet i Azure AD:t som ska mappas mot enheten i Stratsys.

        Reservenhet

        Reservenhet tillfaller en användare om den synkas in till Stratsys med en enhet som inte motsvarar något enhets-alias i Stratsys, då kommer användaren få reservenheten tills dess att användarens enhet i Azure ADt blir mappad mot en enhet i Stratsys. Vilken reservenhet användaren får styrs av vilken behörighetsgrupp användaren tillhör.

        Reservenhet konfigureras per grupp och en enhet kan användas som reservenhet för flera grupper men en grupp kan bara ha en reservenhet. Det är inget krav att sätta reservenhet och om reservenhet används så är det vanligast att konfigurera det för en grupp med endast läsarbehörighet för att säkerställa att ingen användare har högre behörighet på en annan enhet än sin egen.

        Om reservenhet inte konfigureras vid ett scenario där alias inte hittas i Stratsys så kommer användaren inte skapas upp i Stratsys förrän alias konfigureras för användarens enhet. Vid det scenariot kommer ett felmeddelande att genereras i Provisioning Logs i Azure och användaren kommer att läggas till i Stratsys Plattform men ej få behörighet till Stratsys. 

        Gör såhär för att konfigurera reservenhet:

        1. Gå till Enheter och klicka på den enheten som du vill lägga till som reservenhet på en behörighetsgrupp

        2. I rullistan under Grupper som använder enhet som reservenhet välj den grupp som som enheten ska vara reservenhet för

        Notera att det är valfritt att sätta reservenhet för behörighetsgrupperna och att det ska vara ett medvetet val om detta konfigureras då det innebär att användare skapas upp på en enhet som inte stämmer överens med användarens enhetsinformation i Azure AD. 

        Steg 6 - Skapa en Azure AD Enterprise application

        Tips! Använd engelska som språk i Azure för att enklast följa stegen nedan

        1. Gå till https://portal.azure.com. Välj Azure Active Directory > Enterprise applications > New application.

        2. Välj "Create your own application"
        3. Non-gallery application > Välj ett valfritt namn på applikationen och välj Create.
        4. Gå till Provisioning > Get started.
        5. Välj Provisioning mode "Automatic" & följ bildstegen nedan.

        Bildsteg:

        1. Klistra in Url-länken som kopierades från plattformsadministrationen. Den går att återfinna i plattformsadministrationen under Användarsynk>Inställningar.
        2. Klistra in den sparade nyckeln från plattformsadministrationen. Denna går inte att återfinna om den inte sparats, därför är det viktigt att göra detta i ett tidigt skede.
        3. Kontrollera att kopplingen fungerar genom att välja Test Connection.
        4. Allt bör fungera som det ska, om det mot förmodan inte fungerar kontrollera att uppsättningen är korrekt, kontakta därefter Teknisk support på support@stratsys.se
        5. Klicka på Spara överst på sidan

        Steg 7 - Flagga befintliga användare som synkroniserade

        I de flesta fall finns det redan befintliga användare i Stratsys, därför behöver vi innan synken kan startas flagga dessa användare som synkroniserade. Görs inte detta kommer det att genereras ett felmeddelande i Provisioning Logs i Azure vid synkronisering som säger "User {platformId} is not set as external and will not be updated eller liknande" eller "{userId} is not flagged as synchronized and won't be updated. Set to Synchronized in platform or remove from provisioning in Azure.". För att flagga befintliga användare går ni till Stratsys Platform Center, klickar på de tre prickarna i det övre högra hörnet , klicka på Inställningar och Slå på Flagga alla befintliga användare som synkroniserade.

        Exkludera användare från användarsynken

        Har ni behov av att någon/några användare ska vara bortkopplade från synken och hantera dessa manuellt, exempelvis om det är någon användare som inte finns med i AD:t men som ska ha behörighet till Stratsys. Gå till Användare (1), sök upp användaren och klicka på användaren (2) så att en sidmeny dyker upp till höger och slå av "Användaren hanteras genom en extern användarkatalog" (3). Detta innebär att ändring och borttagning av användaren måste göras manuellt och kommer ej hanteras av AD-synken. 

         

        Steg 8 - Synkronisera användare och grupper

        Nu finns det en koppling mellan Azure AD:t och Stratsys och det dags att börja synka grupper med användare. Lägg till de grupper som ska synkas till Stratsys i er Enterprise applikation i Azure. Observera att det är bara användare som ligger direkt i grupperna som kommer att synkas med Stratsys, det finns ej stöd för nästlade grupper.
        Klicka sedan på Provisioning i vänstermenyn> Start Provisioning. Den första synkroniseringen kan ta allt ifrån några minuter till flera timmar beroende på hur många grupper och användare som finns i Azure AD:t. När den första cykeln är färdig så får du fram resultatet på samma sida. Mer information om resultatet från synken hittar ni här.
        Om något går fel så visas felet på sidan för synken. Bilden nedan är ett exempel på en synkronisering som genererat 19 fel.  Mer information om felen hittas i Audit logs (1) och Provisioning logs (2). 

         

        Synkronisering färdigställd

        Om inga fel förekommer i synken så är uppsättningen klar! Användare kommer nu synkas in i Stratsys och ni behöver inte längre skapa upp användare manuellt så länge dessa ingår i någon av grupperna som synkas till Stratsys. Inga användare behöver heller administreras i Stratsys utan allt görs i Azure AD. Synken körs med ett intervall på var 40:onde minut och tidsintervallet kan ej justeras i dagsläget. 

        Ni kan nu gå tillbaka till Stratsys Platform Center > Användarsynk > Azure AD (SCIM)> Grupper och se vilka grupper som synkroniserats. Dessa är markerade som Provisionerad och har fått upp datum för Ändrad som är senast datum för ändring samt Skapad som är datum för när gruppen skapades.

        Gå sedan till användare för att kontrollera att alla användare som ska synkroniseras in finns med i listan.


         

        Förvaltning och underhåll

        Nedan hittar ni information för att förvalta Azure AD-synklösningen. Observera att användaren som ska sköta underhåll av användarsynk behöver ha rollen "Superadministratör" i Stratsys Plattform.

        Organisationsförändring

        Ny enhet

        Lägger ni till en ny enhet i organisationsträdet i Stratsys och vill att användare ska synkas in till den enheten behöver ni lägga till ett alias på den nya enheten i Stratsys Platform Center för Azure AD-synk, se beskrivning på hur det ska göras här.

        Tips! Ni kan kontrollera om ni har några omappade alias genom att gå till Stratsys Platform Center >Azure AD (SCIM)>Enheter och klicka på valfri enhet, har ni några omappade alias så kommer de listas under Ej mappade alias och ni kan enkelt välja in aliaset på den enhet det ska mappas mot.

        Ta bort enhet i Stratsys och mappa om alias till annan enhet

        Ska ni ta bort en enhet men önskar att mappa om alias för en enhet i ert Azure AD till en annan enhet innan enheten tas bort, gör enligt filmen nedan. Om enheten redan är borttagen så kan ni hoppa över steg 2 och 3 nedan.

        2023-08-04_11-03-39Om filmen är suddig, högerklicka på den för att öppna upp i ett nytt fönster.

        1. Gå till Enheter
        2. Klicka på enheten som har det alias som ska mappas om till en annan enhet
        3. Klicka på soptunnesymbolen intill aliaset, nu har ni möjlighet att lägga aliaset på en annan enhet
        4. Gå in på enheten som framöver ska vara mappat med aliaset
        5. Hitta aliaset i listan över omappade alias och klicka på Lägg till

        Ny behörighetsgrupp

        Önskar ni att börja synka en ny grupp i ert Azure AD mot en grupp i Stratsys så börjar ni med att skapa och konfigurera gruppen i Stratsys enligt följande instruktion. Motsvarande grupp i ert AD som ska synkas mot Stratsys behöver därefter läggas till i er Enterprise Applikation i Azure AD:t för att den ska börja synka med gruppen i Stratsys. 

        Felsökning

        Användare kan ej logga in i Stratsys

        Möjliga anledningar till felet:

        • Användaren har tagit bort från grupperna i Azure AD som synkar mot Stratsys
          • Användaren måste finnas i minst en grupp i ert Azure AD för att ha behörighet till Stratsys
        • Användarens enhet är ej mappad i Stratsys Platform Center och användarens behörighetsgrupp har ingen reservenhet
          • Användarens enhet måste kunna mappas mot en enhet i Stratsys för att ha behörighet till Stratsys

        Felsökning:

        1. Börja med att undersöka om användaren är kopplad mot extern katalogtjänst, detta indikerar på om användaren synkar med ert Azure AD eller ej. Är den aktiverad är problemet relaterat till användarsynken, är en inaktiverad har det skett någon manuell justering på användaren som inte orsakats av användarsynken.

          1. Gå till Stratsys Platform Center och sedan till Användare

          2. Sök upp användaren som inte kan logga in och klicka på användaren

          3. Här ser ni om användaren hanteras genom en extern katalogtjänst eller inte.

        2. Säkerställ att användarens avdelning/department är mappad i Stratsys platform Center. 

        Tips! Vilken avdelning/department användaren har hittar ni i användarens SCIM-detaljer, se mer här.

         

        3. Säkerställ att gruppen som användaren tillhör i Azure ADt är provisionerad med Stratsys

        1. Gå till Stratsys Platform Center och sedan till Användarsynkronisering och Grupper
        2. I kolumnen Provisionerad ska det vara en bock (ej ett kryss) om gruppen är provisionerad. Är gruppen ej provisionerad beror problemet troligen på detta.
          1. Är gruppen ej provisionerad --> Säkerställ att gruppen har ett Alias i Stratsys som överensstämmer med namnet på gruppen i ert Azure AD. Stämmer Alias gå till loggarna i er Azure applikation och undersök om ni har fått något fel gällande den gruppen
          2. Är gruppen provisionerad --> Problemet beror troligen på mappning av användarens enhet ej är korrekt, säkerställ mappning av alias för enhet och vid behov gå till loggarna i er Azure applikation och undersök om det gått anrop på senaste gällande den användaren.

        5. Kontakta Stratsys support support@stratsys.se om ni behöver hjälp

        SCIM-detaljer - Användarens information från Azure AD

        I Stratsys Platform Center har ni möjlighet att för respektive användare se vilken avdelning som användaren tillhör i ert AD samt vilka Grupper som användaren ingår i ert AD. Observera att namnen som visas här ofta inte motsvarar namnet på enheten och gruppen i Stratsys, det som visas är namnen eller koderna som enheten/gruppen har i Azure. 

        1. Gå till Stratsys Platform Center

        2. Gå till Användare

        3. Klicka på en användare och expandera Scim-detaljer

        Enhet: Namnet som visas här är den avdelning som användaren tillhör i AD:t. Hämtas vanligtvis från attributet department/avdelning i Azure AD.

        Grupper: Koden som visas under Grupper är gruppens externa ID från ert Azure AD. Gå hit för att se vilken grupp i Stratsys som den gruppen motsvarar: 

        1. Gå till Användarsynk och Azure AD 

        2. Gå till Grupper

        3. Klicka på en grupp för att öppna information om gruppen, där hittar ni Externt id


        Felmeddelanden

        Inträffar det fel i Azure AD-synken så skickar Stratsys tillbaka felmeddelanden till er Enterprise Applikation i Azure och hittas i Audit logs och Provisioning logs. Se aktuella felmeddelanden nedan med reservation för att dessa kan komma att ändras. 

        "User {userId} has no main membership."

        Indikerar på att användaren inte har någon behörighetsgrupp och har därför ingen behörighet till Stratsys.

        Lösning: Kan bero på olika anledningar, kontakta Stratsys support.


        "No matching group has been found for group with display name {name}. A group has to be configured with this alias."

        Lösning: Kontrollera att ni konfigurerat samtliga grupper som ska synkas mot Azure i Stratsys Platform, se hur ni gör här.


        "User {user.Id} has no department in platform nor does it exist in database and therefore cannot be added as a member of a group."

        Felmeddelandet antyder på att användaren har en department/avdelning i Azure AD som inte är tillagd som alias i Stratsys Plattform.

        Lösning: Uppdatera aliasmappningen av enheter, se hur ni gör här.


        "{userId} is not flagged as synchronized and won't be updated. Set to Synchronized in platform or remove from provisioning in Azure."

        Användaren är inte satt som extern i plattformen.

        Lösning: Flagga användare som synkroniserad, se hur ni gör här.


        "User {platformId} is not set as external and will not be updated." 

        Användaren är inte satt som extern i Stratsys

        Lösning: Flagga användare som synkroniserad, se hur ni gör här. Är toggeln "Användare hanteras genom en extern användarkatalog" redan påslagen, slå av toggeln och slå på den igen.


        "User {platformId} is not set as external and will not be updated."

        Användaren är inte satt som extern i plattformen.

        Lösning: Flagga användare som synkroniserad, se hur ni gör här.


        "User {userId} not found in Stratsys."

        Användaren kan inte hittas i Stratsys.

        Lösning: Kontakta Stratsys support.


        "No standard department defined"

        Felmeddelandet antyder på att en användare har en department/avdelning i Azure AD:t som inte matchar mot något enhets-alias i Azure AD-konfigurationen i Stratsys Platform och att det inte finns någon standardenhet eller reservenhet definierad i Stratsys Platform. Det innebär att användaren inte kommer att läggas till på avdelningen. Har användaren en organisationsenhet i Stratsys sedan tidigare kommer den behålla denna, är det en ny användare kommer den användaren inte att få behörighet till Stratsys.

        För att ta reda på vilken användare det handlar om gå till Audit logs i Azure , öppna Audit Log Details och se "Modified Properties" där ni hittar ID:t på användaren. ID:t kan ni sedan lägga in här (se 1 i bilen nedan), då öppnas användaren upp till höger.

        Lösning:

        Alternativ 1: Kontrollera vilken avdelning/department användaren tillhör i Azure-AD och lägg till namnet på avdelningen som alias på motsvarande organisationsenhet i Stratsys Plattform, se beskrivning på hur det ska göras här. Användaren kommer att få enhetstillhörigheten när alias har sparats.

        Alternativ 2: Lägg till en reservenhet på behörighetsgruppen. Invänta nästa synk och kontrollera att användaren har lagts till på reservenheten.

        Mailnotiser

        Det finns möjlighet att i Azure Enterprise applikationen konfigurera en mejladress för att ta emot mejlnotiser vid fel.