Den här artikeln handlar om användarsynk mellan Stratsys användare och ett Azure AD och innehåller förutsättningar för att införa lösningen, en uppsättningsguide samt vägledning för förvaltning och underhåll.
Note💡Använder ni inte Användarsynkronisering idag, vänligen kontakta er kundansvarig på Stratsys för vidare dialog då det är en Enterprise-/tilläggstjänst.
Tips! Öppna gärna bilderna i en ny flik för att förstora bilderna. Detta gör du genom att högerklicka på bilden och väljer "Öppna bild i ny flik".
Användarsynkronisering från Azure AD möjliggör automatisk skapande, uppdatering och borttagning av användare i Stratsys utifrån förändringar som görs i ert Azure AD. Med användarsynkronisering sparar ni mycket tid när det kommer till administration av användare och behörigheter i Stratsys. Då läsbehörighet i Stratsys är kostnadsfritt så kan en användarsynkronisering även vara ett effektivt sätt att öppna upp Stratsys för hela organisationen. Den här artikeln handlar om användarsynkronisering mot ett Azure AD, önskar ni att sätta upp synk mot en lokal användarkatalog se denna artikel.
Artikeln består av följande delar:
Lösningsbeskrivning
I ert Azure AD definierar ni vilka grupper med användare som ska synkroniseras med Stratsys och det är endast användarna i de valda grupperna som kommer att synkas över till Stratsys. I de flesta fall skapar man upp Stratsys-specifika grupper i sitt Azure AD, det kan till exempel var en grupp för de användare som ska vara rapportörer, en för fullständiga användare och en för läsare. En användare kan även vid behov ingå i flera grupper, i det fallet kommer användaren få fler behörigheter i Stratsys.
Den användarinformation som synkas är:
- Metadata (för-och efternamn, e-mailadress, användarnamn)
- Organisationsenhet
- Behörighetsgrupp (tex. läsare, rapportör, fullständig användare)
Alias-mappning
Organisationsträdet i Stratsys och i Azure AD:t kan skilja sig åt, därför används alias-mappning för att användarna ska få rätt enhetstillhörighet i Stratsys. Det innebär att namnen på de enheter som finns i Azure AD:t mappas som alias med motsvarande enhet i Stratsys.
Det samma görs för behörighetsgrupper, att namnet på gruppen i Azure AD:t mappas mot motsvarande grupp i Stratsys med alias. Alias för både enheter och behörighetsgrupper måste vara unika vilket gör att det inte går att använda samma alias på flera enheter eller behörighetsgrupper i Stratsys.
Det är möjligt att sätta flera alias på en enhet eller behörighetsgrupp, en så kallad många-till-ett mappning. Det kan användas om ni har ett djupare organisationsträd i Azure AD:t och har behov av att mappa flera enheter mot samma enhet i Stratsys eller om ni vill att användare från flera olika grupper i Azure AD:t ska få samma behörighetsgrupp i Stratsys.
Såhär fungerar synken
Användarsynken kontrollerar om det skett några ändringar i Azure AD var 40:oende minut som i sin tur initierar anrop mot Stratsys och för att genomföra ändringarna.
Ändringar kan vara något av följande:
- Användare har lagts till
- Användare har tagits bort
- Användare har bytt namn eller mejladress
- Användare har bytt organisationsenhet
- Användare har tagits bort från grupp
- Användare har lagts till i en grupp
Förutsättningar
- Majoriteten av era användare finns i ert Azure AD
- Ni har möjlighet att skapa och konfigurera en Enterprise-applikation samt skapa upp nya grupper i ert Azure AD-tenant som sedan ska avspeglas i Stratsys
- Era Azure AD licenser och grupper stämmer med de krav som finns uppsatta enligt följande länk
- Ni har möjlighet att skapa upp nya säkerhetsgrupper i ert Azure AD som kan mappas mot Stratsys behörighetsgrupper (befintliga kan användas men Stratsysspecifika grupper är att föredra)
- Ni har information om på organisatorisk enhet för samtliga användare i ert Azure AD, återfinns oftast i Department/avdelning-attributet
- Ni har möjlighet att sätta upp en mappning av organisationsenheterna i Azure AD:t mot organisationsträdet i Stratsys. Namnet på enheten måste inte vara samma men en 1–1 eller n-1 (många-till-ett) mappning behöver vara möjlig.
- Befintliga användare i Stratsys har samma användarnamn och mejladress som användarna har Azure AD för att dubbletter av användarna ej ska skapas (det är möjligt att uppdatera användarnamn och mejladress i Stratsys)
Uppsättningsguide
Steg 1 - Skapa ett organisationsträd

För att synkroniseringen ska fungera behöver ett organisationsträd i Stratsys finnas uppsatt. Om ni redan har ett organisationsträd i Stratsys så kan ni bortse från denna del av artikeln och fortsätta till Steg 2.
För att skapa upp ett organisationsträd rekommenderar vi att ni tar hjälp från er kundansvarige då uppsättningen av organisationsträd kan vara komplicerad och behöver ta hänsyn till flera aspekter utifrån hur Stratsys ska användas i organisationen.
Steg 2 - Säkerställ att "Standardbehörighet för nya användare" är inaktiverad
För att användarna ska läggas till i Stratsys med behörigheten som kommer från Azure AD-synken så måste funktionen "Aktivera automatiskt skapande av användare från plattformen" vara inaktiverad. Är funktionen redan inaktiverad kan ni gå vidare till nästa steg.
- Gå till Stratsys administration och Användare
- Gå till "Standardbehörighet för nya användare"
- Är toggeln "Aktivera automatiskt skapande av användare från plattformen" aktiverad --> Inaktivera denna
- Klicka på Spara
Steg 3 - Generera en nyckel
- Gå till Plattformsadministrationen och klicka på Användarsynk
- Välj Azure under rubriken Användarsynk
- Klicka på Inställningar > Aktivera synkronisering av användare via Azure AD
- Under Nycklar välj rätt databas i drop-down listen för Ange CompanyCode välj sedan Generera nyckel.

Kopiera Azure AD Sync Url, denna URL kommer behövas vid ett senare tillfälle.
OBS! Kopiera nyckeln och placera på en säker plats eftersom du inte kommer kunna få fram denna nyckel igen.
Steg 4 - Skapa och konfigurera grupper
Skapa grupper för synkronisering
Behörighetsgrupperna skapas i Stratsys och kopplas mot användarsynken i Stratsys Plattform. Är grupperna redan skapade kan du gå vidare i uppsättningsguiden. Är grupperna inte skapade i Stratsys ännu behöver detta göras tillsammans med en Stratsyskonsult om ni är osäkra på hur ni går tillväga.
- Gå till Plattformsadministrationen och klicka på Användarsynk
- Välj Azure under rubriken Användarsynk
- Gå till Grupper (1)
- Bocka i checkrutan bredvid Visa icke-externa grupper (2)
- Markera de grupper som ska synkas med ert Azure AD (3)
- klicka på Sätt till extern
(4)
Konfigurera
När grupperna är skapade och satta till externa så ska de konfigureras:
- Prioritetsordning av grupper (obligatoriskt)
- Aliasmappning (obligatoriskt)
- Reservenhet (valfritt)
Prioriteringsordning av grupper
Grupperna är sorterade i prioriteringsordning som bestämmer vilken behörighetsgrupp som blir användarens huvudbehörighet och vilken grupp som blir extrabehörighet i de fall då användaren tillhör flera grupper.
Användarexempel
Användaren Anna tillhör två grupper i Azure AD:t och blir tilldelad två behörigheter i Stratsys; "4. Fullständig administratör" och "2. Rapportör". Enligt konfigurationen på bilden nedan skulle det innebära att "4. Fullständig administratör" blir Annas huvudbehörighet och "2. Rapportör" blir en extrabehörigheten då den ligger längre ner i prioriteringslistan.
- Gå till Grupper
- I kolumnen Prioritet hittas prioritetsordningen för grupperna där 1 är högst.
- Justera ordningen genom att klicka på pilen nedåt intill siffran för prioritet, ordningen kommer uppdateras direkt i gränssnittet och ändringar sparas automatiskt.
Note Vi har ett pågående utvecklingsärende på att ändringar i prioritetsordningen efter att synken är startad ska slå igenom i användarnas behörigheter. Innan detta är på plats är det dock viktigt att prioritetsordningen stämmer innan synkronisering startas.
Alias-mappning
Alla grupper som ska synkas med ert Azure AD behöver konfigureras med ett Alias som ska motsvara namnet på gruppen i Azure ADt. Samtliga grupper som ska synka med ert Azure AD måste ha ett alias och det är först när gruppen konfigureras med alias som gruppen kommer börjar synka med motsvarande grupp i ADt.
- Gå till Grupper
- Klicka raden behörighetsgruppen
- Klicka på fältet Lägg till och skriv in alias, klicka på Lägg till
Note När gruppen är provisionerad är det inte längre möjligt att ta bort alias. Uppdateras namnet på en provisionerad grupp i Azure AD kommer alias automatiskt uppdateras i Stratsys.
Reservenhet
Det finns möjlighet att för varje behörighetsgrupp mappa en reservenhet. Reservenheten används när en användare synkas in från Azure AD:t med en enhetsvärde som inte existerar som enhets-alias i Stratsys, då kommer användaren få reservenheten tills dess att användarens enhet i Azure ADt blir mappad mot en enhet i Stratsys. Vilken reservenhet användaren får styrs av vilken behörighetsgrupp användaren tillhör.
- Gå till Enheter
- Klicka på den enhet som ska vara reservenhet för användarna i en grupp
- Under Grupper som använder enhet som reservenhet visas en lista över alla externa grupper
- Välj den grupp som ska ha aktuell enhet som reservenhet och klicka på Lägg till
Reservenheten kommer sedan även visas i administrationen för Grupper i kolumnen Reservenheter (se nedan).
Notera att det är valfritt att sätta reservenhet för behörighetsgrupperna och att det ska vara ett medvetet val om detta konfigureras då det innebär att användare skapas upp på en enhet som inte stämmer överens med användarens enhetsinformation i Azure AD.
Steg 5 - Konfigurera enheter
Likt behörighetsgrupperna behöver enheterna ha ett unikt alias. Det innebär att namnen på de enheter som finns i Azure AD:t behöver mappas som alias med motsvarande enhet i Stratsys. Detta för att användarna ska få rätt enhetstillhörighet i Stratsys. Enheter behöver däremot inte sättas som externa, de importeras direkt från Stratsys och uppdateras efter ändringar när du uppdaterar webbläsarfönstret. Precis som för behörighetsgrupperna sätts Alias genom att klicka på enheten och skriva in Alias. Aliaset ska motsvara namn som finns uppsatt i Azure AD.
Konfigurera
- Gå till Enheter, här hittar ni ert organisationsträd.
- Klicka på en enhet, då dyker det upp en sidoflik Ändra enhet.
- Skriv Alias för enheten, aliaset ska vara namnet på den enhet i Azure AD:t som ska mappas mot enheten i Stratsys.
Reservenhet
Reservenhet tillfaller en användare om den synkas in till Stratsys med en enhet som inte motsvarar något enhets-alias i Stratsys, då kommer användaren få reservenheten tills dess att användarens enhet i Azure ADt blir mappad mot en enhet i Stratsys. Vilken reservenhet användaren får styrs av vilken behörighetsgrupp användaren tillhör. Anledningen till att en användare får reservenheten är antingen om enheten saknar aliasmappning eller att enheten inte skapats i Stratsys.
Reservenhet konfigureras per grupp och en enhet kan användas som reservenhet för flera grupper men en grupp kan bara ha en reservenhet. Det är inget krav att sätta Reservenhet och om reservenhet används så är det vanligast att konfigurera det för en grupp med endast läsarbehörighet för att säkerställa att ingen användare har högre behörighet på en annan enhet än sin egen. Om reservenhet inte konfigureras för en grupp så innebär det att användaren inte kommer att skapas upp i Stratsys förrän alias konfigureras för användarens enhet. Vid det scenariot kommer ett felmeddelande att genereras i Provisioning Logs i Azure och användaren kommer att läggas till i Stratsys Plattform men ej få behörighet till Stratsys.
Här finns beskrivning hur Reservenhet konfigureras.
Steg 6 - Skapa en Azure AD Enterprise application
Tips! Använd engelska som språk i Azure för att enklast följa stegen nedan
- Gå till https://portal.azure.com. Välj Azure Active Directory > Enterprise applications > New application.
- Välj "Create your own application"
- Non-gallery application > Välj ett valfritt namn på applikationen och välj Create.
- Gå till Provisioning > Get started.
- Välj Provisioning mode "Automatic" & följ bildstegen nedan.
Bildsteg:
- Klistra in Url-länken som kopierades från plattformsadministrationen. Den går att återfinna i plattformsadministrationen under Användarsynk>Inställningar.
- Klistra in den sparade nyckeln från plattformsadministrationen. Denna går inte att återfinna om den inte sparats, därför är det viktigt att göra detta i ett tidigt skede.
- Kontrollera att kopplingen fungerar genom att välja Test Connection.
- Allt bör fungera som det ska, om det mot förmodan inte fungerar kontrollera att uppsättningen är korrekt, kontakta därefter Teknisk support på support@stratsys.se
- Klicka på Spara överst på sidan
Steg 7 - Flagga befintliga användare som synkroniserade
I de flesta fall finns det redan befintliga användare i Stratsys, därför behöver vi innan synken kan startas flagga dessa användare som synkroniserade. Görs inte detta kommer det att genereras ett felmeddelande i Provisioning Logs i Azure vid synkronisering som säger "User {platformId} is not set as external and will not be updated eller liknande" eller "{userId} is not flagged as synchronized and won't be updated. Set to Synchronized in platform or remove from provisioning in Azure.". För att flagga befintliga användare går ni till Inställningar och trycker på "Slå på" vid "Flagga alla befintliga användare som synkroniserade"
Exkludera användare från användarsynken
Har ni behov av att någon/några användare ska vara bortkopplade från synken och hantera dessa manuellt, exempelvis om det är någon användare som inte finns med i AD:t men som ska ha behörighet till Stratsys. Gå till Användare (1), sök upp användaren och klicka på användaren så att en sidmeny dyker upp till höger, expandera Inställningar på pilen till höger och slå av toggeln vid "Synkronisering" (2). Detta innebär att ändring och borttagning av användaren måste göras manuellt och kommer ej hanteras av AD-synken.
Steg 8 - Synkronisera användare och grupper


Synkronisering färdigställd
Om inga fel förekommer i synken så är uppsättningen klar! Användare kommer nu synkas in i Stratsys och ni behöver inte längre skapa upp användare manuellt så länge dessa ingår i någon av grupperna som synkas till Stratsys. Inga användare behöver heller administreras i Stratsys utan allt görs i Azure AD. Synken körs med ett intervall på var 40:onde minut och tidsintervallet kan ej justeras i dagsläget.
Ni kan nu gå tillbaka till plattformsadministrationen > Användarsynk > Grupper och se vilka grupper som synkroniserats. Dessa är markerade som Provisionerad och har fått upp datum för Ändrad som är senast datum för ändring samt Skapad som är datum för när gruppen skapades.
Gå sedan till användare för att kontrollera att alla användare som ska synkroniseras in finns med i listan.
Förvaltning och underhåll
Nedan hittar ni information för att förvalta Azure AD-synklösningen. Observera att användaren som ska sköta underhåll av användarsynk behöver ha rollen "Superadministratör" i Stratsys Plattform.
Organisationsförändring
Ny enhet
Lägger ni till en ny enhet i organisationsträdet i Stratsys och vill att användare ska synkas in till den enheten behöver ni lägga till ett alias på den nya enheten i plattformsadministrationen för Azure AD-synk, se beskrivning på hur det ska göras här.
Ta bort enhet i Stratsys och mappa om alias till annan enhet
Ska ni ta bort en enhet men önskar att mappa om alias för en enhet i ert Azure AD till en annan enhet innan enheten tas bort, gör enligt filmen nedan. Om enheten redan är borttagen så kan ni hoppa över steg 2 och 3 nedan.
Om filmen är suddig, högerklicka på den för att öppna upp i ett nytt fönster.
- Gå till Enheter
- Klicka på enheten som har det alias som ska mappas om till en annan enhet
- Klicka på soptunnesymbolen intill aliaset, nu har ni möjlighet att lägga aliaset på en annan enhet
- Gå in på enheten som framöver ska vara mappat med aliaset
- Skriv in alias och klicka på Lägg till
- Välj Ja i pop-up rutan som dyker upp för att flytta befintliga användare med den enheten i Azure AD:t till den nya enheten
Ny behörighetsgrupp
Önskar ni att börja synka en ny grupp i ert Azure AD mot en grupp i Stratsys så börjar ni med att skapa och konfigurera gruppen i Stratsys enligt följande instruktion. Motsvarande grupp i ert AD som ska synkas mot Stratsys behöver därefter läggas till i er Enterprise Applikation i Azure AD:t för att den ska börja synka med gruppen i Stratsys.
Felsökning
Användare kan ej logga in i Stratsys
Möjliga anledningar till felet:
- Användaren har tagit bort från grupperna i Azure AD som synkar mot Stratsys
- Användaren måste finnas i minst en grupp i ert Azure AD för att ha behörighet till Stratsys
- Användarens enhet är ej mappad i Stratsys Platform Center och användarens behörighetsgrupp har ingen reservenhet
- Användarens enhet måste kunna mappas mot en enhet i Stratsys för att ha behörighet till Stratsys
Felsökning:
-
Börja med att undersöka om användaren är kopplad mot extern katalogtjänst, detta indikerar på om användaren synkar med ert Azure AD eller ej. Är den aktiverad är problemet relaterat till användarsynken, är en inaktiverad har det skett någon manuell justering på användaren som inte orsakats av användarsynken.
1. Gå till Stratsys Platform Center och sedan till Användare
2. Sök upp användaren som inte kan logga in och klicka på användaren
3. Expandera Inställningar i användarkortet som dyker upp till höger när ni klickat er in på användaren, toggeln vid Synkronisering visar huruvida om användaren hanteras av användarsynken eller ej.
- Säkerställ att användarens avdelning/department är mappad i Stratsys platform Center.
Tips! Vilken avdelning/department användaren har hittar ni i användarens SCIM-detaljer, se mer här.
3. Säkerställ att gruppen som användaren tillhör i Azure ADt är provisionerad med Stratsys
- Gå till Stratsys Platform Center och sedan till Användarsynkronisering och Grupper
- I kolumnen Provisionerad ska det vara en bock (ej ett kryss) om gruppen är provisionerad. Är gruppen ej provisionerad beror problemet troligen på detta.
- Är gruppen ej provisionerad --> Säkerställ att gruppen har ett Alias i Stratsys som överensstämmer med namnet på gruppen i ert Azure AD. Stämmer Alias gå till loggarna i er Azure applikation och undersök om ni har fått något fel gällande den gruppen
- Är gruppen provisionerad --> Problemet beror troligen på mappning av användarens enhet ej är korrekt, säkerställ mappning av alias för enhet och vid behov gå till loggarna i er Azure applikation och undersök om det gått anrop på senaste gällande den användaren.
5. Kontakta Stratsys support support@stratsys.se om ni behöver hjälp
SCIM-detaljer - Användarens information från Azure AD
I Stratsys Platform Center har ni möjlighet att för respektive användare se vilken avdelning som användaren tillhör i ert AD samt vilka Grupper som användaren ingår i ert AD. Observera att namnen som visas här ofta inte motsvarar namnet på enheten och gruppen i Stratsys, det som visas är namnen eller koderna som enheten/gruppen har i Azure.
1. Gå till Stratsys Platform Center
2. Gå till Användare
3. Klicka på en användare och expandera Scim-detaljer
Enhet: Namnet som visas här är den avdelning som användaren tillhör i AD:t. Hämtas vanligtvis från attributet department/avdelning i Azure AD.
Grupper: Koden som visas under Grupper är gruppens externa ID från ert Azure AD. Gå hit för att se vilken grupp i Stratsys som den gruppen motsvarar:
1. Gå till Användarsynk
2. Gå till Grupper
3. Klicka på en grupp för att öppna information om gruppen, där hittar ni Externt Id
Felmeddelanden
Inträffar det fel i Azure AD-synken så skickar Stratsys tillbaka felmeddelanden till er Enterprise Applikation i Azure och hittas i Audit logs och Provisioning logs. Se aktuella felmeddelanden nedan med reservation för att dessa kan komma att ändras.
"User {userId} has no main membership."
Indikerar på att användaren inte har någon behörighetsgrupp och har därför ingen behörighet till Stratsys.
Lösning: Kan bero på olika anledningar, kontakta Stratsys support.
"No matching group has been found for group with display name {name}. A group has to be configured with this alias."
Lösning: Kontrollera att ni konfigurerat samtliga grupper som ska synkas mot Azure i Stratsys Platform, se hur ni gör här.
"User {user.Id} has no department in platform nor does it exist in database and therefore cannot be added as a member of a group."
Felmeddelandet antyder på att användaren har en department/avdelning i Azure AD som inte är tillagd som alias i Stratsys Plattform.
Lösning: Uppdatera aliasmappningen av enheter, se hur ni gör här.
"{userId} is not flagged as synchronized and won't be updated. Set to Synchronized in platform or remove from provisioning in Azure."
Användaren är inte satt som extern i plattformen.
Lösning: Flagga användare som synkroniserad, se hur ni gör här.
"User {platformId} is not set as external and will not be updated."
Användaren är inte satt som extern i Stratsys
Lösning: Flagga användare som synkroniserad, se hur ni gör här. Är toggeln "Användare hanteras genom en extern användarkatalog" redan påslagen, slå av toggeln och slå på den igen.
"User {platformId} is not set as external and will not be updated."
Användaren är inte satt som extern i plattformen.
Lösning: Flagga användare som synkroniserad, se hur ni gör här.
"User {userId} not found in Stratsys."
Användaren kan inte hittas i Stratsys.
Lösning: Kontakta Stratsys support.
"No standard department defined"
Felmeddelandet antyder på att en användare har en department/avdelning i Azure AD:t som inte matchar mot något enhets-alias i Azure AD-konfigurationen i Stratsys Platform och att det inte finns någon standardenhet eller reservenhet definierad i Stratsys Platform. Det innebär att användaren inte kommer att läggas till på avdelningen. Har användaren en organisationsenhet i Stratsys sedan tidigare kommer den behålla denna, är det en ny användare kommer den användaren inte att få behörighet till Stratsys.
För att ta reda på vilken användare det handlar om gå till Audit logs i Azure , öppna Audit Log Details och se "Modified Properties" där ni hittar ID:t på användaren. ID:t kan ni sedan lägga in här (se 1 i bilen nedan), då öppnas användaren upp till höger.
Lösning:
Alternativ 1: Kontrollera vilken avdelning/department användaren tillhör i Azure-AD och lägg till namnet på avdelningen som alias på motsvarande organisationsenhet i Stratsys Plattform, se beskrivning på hur det ska göras här. Användaren kommer att få enhetstillhörigheten när alias har sparats.
Alternativ 2: Lägg till en reservenhet på behörighetsgruppen. Invänta nästa synk och kontrollera att användaren har lagts till på reservenheten.
Mailnotiser
Det finns möjlighet att i Azure Enterprise applikationen konfigurera en mejladress för att ta emot mejlnotiser vid fel.