AD-Synk

Azure Användarsynkronisering (AAD)

Den här artikeln handlar om användarsynk mellan Stratsys användare och ett Azure AD och innehåller förutsättningar för att införa lösningen, en uppsättningsguide samt vägledning för förvaltning och underhåll.

💡Använder ni inte Användarsynkronisering idag, vänligen kontakta er kundansvarig på Stratsys för vidare dialog då det är en Enterprise-/tilläggstjänst.

Tips! Öppna gärna bilderna i en ny flik för att förstora bilderna. Detta gör du genom att högerklicka på bilden och väljer "Öppna bild i ny flik".

Många Stratsyskunder vill idag ha en integrerad användarhantering som innebär att användarna i kundens katalogtjänst automatiskt synkroniserar med användarna i Stratsys. Med en användarsynkronisering kan ni spara mycket tid när det kommer till administration av användare och behörigheter. Istället för att hantera detta manuellt så slår alla ändringar som görs i er användarkatalog igenom per automatik i Stratsys. Då läsbehörighet i Stratsys är kostnadsfritt så kan en användarsynkronisering vara ett effektivt sätt att öppna upp Stratsys för hela organisationen. Den här artikeln handlar om användarsynkronisering mot ett Azure AD, önskar ni att sätta upp synk mot en lokal användarkatalog se denna artikel.

Artikeln består av följande delar:

Lösningsbeskrivning

Förutsättningar

Uppsättningsguide

Förvaltning och Underhåll

Felsökning



Lösningsbeskrivning

Användarsynken fungerar så att en eller flera grupper i kundens Azure AD mappas mot motsvarande behörighetsgrupper i Stratsys. Det är endast användarna i denna eller dessa grupper som kommer att synkas över till Stratsys. I de flesta fall skapar man upp Stratsys-specifika grupper i Azure AD. 

Den användarinformation som synkas är:

  • Metadata (för-och efternamn, e-mailadress, användarnamn)
  • Organisationsenhet
  • Behörighetsgrupp (tex. läsare, rapportör, fullständig användare)

Alias-mappning

Organisationsträdet i Stratsys och i Azure AD:t kan skilja sig åt, därför används alias-mappning för att användarna ska få rätt enhetstillhörighet i Stratsys. Det innebär att namnen på de enheter som finns i Azure AD:t mappas som alias med motsvarande enhet i Stratsys. Det samma görs för behörighetsgrupper, att namnen på grupperna/gruppen i Azure AD:t mappas mot motsvarande grupp i Stratsys. Alias för både enheter och behörighetsgrupper måste vara unika, dvs att samma alias kan ej skrivas in på flera enheter/behörighetsgrupper i Stratsys. Däremot är det möjligt att sätta flera olika alias på samma enhet/behörighetsgrupp, en så kallad många-till-ett mappning. Det kan användas om man har ett djupare organisationsträd i Azure AD:t och har behov av att mappa flera enheter mot samma enhet i Stratsys eller om man vill att användare från flera olika grupper i Azure-AD:t ska in i samma behörighetsgrupp i Stratsys

Såhär fungerar synken

Användarsynken kontrollerar om det skett några ändringar i Azure AD-grupperna var 40:oende minut. Ändringar initierar anrop mot Stratsys Plattform och den Stratsysinstans som synken är kopplad mot för att genomföra ändringar enligt det som skett i Azure AD:t. Stratsys Plattform håller information om användarens metadata medan information om organisationsenhet och behörighet finns i den Stratsysinstans som synken är kopplad mot.

Ändringar kan vara något av följande:

  • Användare har lagts till
  • Användare har tagits bort
  • Användare har bytt organisationsenhet
  • Användare har tagits bort från grupp
  • Användare har lagts till i en grupp

Förutsättningar

  • Majoriteten av era användare finns i ert Azure AD
  • För att implementation ska vara möjlig behöver ni kunna installera och konfigurera en Enterprise-applikation samt skapa upp nya grupper i ert Azure AD-tenant som sedan ska avspeglas i Stratsys.
  • För att uppsättningen ska fungera behöver era Azure AD licenser och grupper stämma med de krav som finns uppsatta enligt följande länk 
  • Det finns möjlighet att i användarkatalogen skapa upp nya säkerhetsgrupper som kan mappas mot Stratsys behörighetsgrupper (befintliga kan användas, men Stratsysspecifika grupper är att föredra)
  • Om ni vill synka användare som redan finns i er databas så behöver användaren i Azure och användaren i Stratsys ha samma användarnamn och e-postadress annars kommer en ny användare att skapas.
  • För användare som ska synkas till Stratsys måste det finnas information om på vilken organisatorisk enhet användarna tillhör i ert Azure AD, vanligtvis Department/avdelning-attributet.
  • För att användare ska få rätt organisatorisk enhet krävs att likvärdig organisationsstruktur finns i både Stratsys och Azure AD:t. Namnet på enheten måste inte vara samma men en 1–1-mappning behöver vara möjlig. Vi kan även utföra n-1-mappning i vår ände, dvs. flera enheter i AAD kan mappa mot en enhet hos oss. 

Uppsättningsguide

Steg 1 - Skapa ett organisationsträd

För att synkroniseringen ska fungera behöver ett organisationsträd i Stratsys finnas uppsatt. Om ni redan har ett organisationsträd i Stratsys så kan ni bortse från denna del av artikeln och fortsätta till Steg 2.

För att skapa upp ett organisationsträd rekommenderar vi att ni tar hjälp från er kundansvarige då uppsättningen av organisationsträd kan vara komplicerad och behöver ta hänsyn till flera aspekter utifrån hur Stratsys ska användas i organisationen. 

 

Steg 2 - Säkerställ att "Standardbehörighet för nya användare" är inaktiverad

För att användarna ska läggas till i Stratsys med behörigheten som kommer från Azure AD-synken så måste funktionen "Aktivera automatiskt skapande av användare från plattformen" vara inaktiverad. Är funktionen redan inaktiverad kan ni gå vidare till nästa steg.

  1. Gå till Stratsys administration och Användare
  2. Gå till "Standardbehörighet för nya användare"
  3. Är toggeln "Aktivera automatiskt skapande av användare från plattformen" aktiverad --> Inaktivera denna
  4. Klicka på Spara

Steg 3 - Generera en nyckel

  1. Gå till Plattformsadministrationen och klicka på Användarsynk
  2. Välj Azure under rubriken Användarsynk
  3. Klicka på Inställningar > Aktivera synkronisering av användare via Azure AD
  4. Under Nycklar välj rätt databas i drop-down listen för Ange CompanyCode välj sedan Generera nyckel.



Kopiera Azure AD Sync Url, denna Url kommer behövas vid ett senare tillfälle.

OBS! Kopiera nyckeln och placera på en säker plats eftersom du inte kommer kunna få fram denna nyckel igen.

Steg 4 - Skapa och konfigurera grupper

Skapa

Behörighetsgrupperna skapas i Stratsys och kopplas mot användarsynken i Stratsys Plattform. Är grupperna redan skapade kan du gå vidare i uppsättningsguiden. Är grupperna inte skapade i Stratsys ännu behöver detta göras tillsammans med en Stratsyskonsult om ni är osäkra på hur ni går tillväga.

När grupperna är skapade, gå till Grupper i Plattformsadministrationen och klicka på Visa icke-externa grupper. Här finns alla grupper som finns i er Stratsys databas. Välj de grupper som ska användas för Azure AD synken och klicka på Sätt till extern.

Grupperna är sorterade i prioriteringsordning. Det innebär att när en användare får en behörighet tilldelad till sig så beslutar prioriteten om behörighetsgruppen blir satt som huvudbehörighet eller extra behörighet. Ett exempel kan vara om användaren Anna tillhör två grupper i Azure AD:t och blir tilldelad 2 behörigheter i Stratsys; "4. Fullständig administratör" och "2. Rapportör". Då skulle 4. Fullständig administratör bli huvudbehörigheten och 2. Rapportör bli extrabehörigheten eftersom den ligger längre ner i prioriteringslistan.

Det finns möjlighet att för varje behörighetsgrupp mappa en reservenhet. Denna används när en användare synkas in från Azure AD:t med en enhet som inte existerar i Stratsys. Detta kan bero på att enheten saknar aliasmappning eller att enheten inte skapats i Stratsys. Denna enhet kan sättas för vardera behörighetsgrupp som bilden nedan visar. Notera att det är valfritt att sätta reservenhet för behörighetsgrupperna. 

Konfigurera

  1. Klicka på en behörighetsgrupp i plattformsadministrationen för att se och justera konfigurationen. När du klickar på enheten så öppnas en sidoflik med möjlighet att justera Alias
  2. Alla grupper som ska synkas med Azure AD:t behöver konfigureras med ett Alias, alias:et ska vara namnet på gruppen i Azure AD:t. Om en grupp saknar ett alias så kommer inte provisioneringen av gruppen fungera.

Steg 5 - Konfigurera enheter

Likt behörighetsgrupperna behöver enheterna ha ett unikt alias. Det innebär att namnen på de enheter som finns i Azure AD:t behöver mappas som alias med motsvarande enhet i Stratsys. Detta för att användarna ska få rätt enhetstillhörighet i Stratsys. Enheter behöver däremot inte sättas som externa, de importeras direkt från Stratsys och uppdateras efter ändringar när du uppdaterar webbläsarfönstret. Precis som för behörighetsgrupperna sätts Alias genom att klicka på enheten och skriva in Alias. Aliaset ska motsvara namn som finns uppsatt i Azure AD.

Konfigurera

  1. Gå till Enheter, här hittar ni ert organisationsträd.
  2. Klicka på en enhet, då dyker det upp en sidoflik Ändra enhet.
  3. Skriv Alias för enheten, alias:et ska vara namnet på den enhet i Azure AD:t som ska mappas mot enheten i Stratsys.

 

Reservenhet

Konfigurerar man en Reservenhet så kommer användare som synkas in från Azure AD:t med en enhet som inte existerar i Stratsys att få enheten som är satt till Reservenhet på användarens grupp. Detta scenario uppstår om enheten som användaren tillhör i Azure AD:t inte är mappad som alias mot någon enhet i Stratsys. Det är inget krav att sätta Reservenhet, om en användare synkas in med en enhet som inte matchar något alias och man inte har konfigurerat reservenhet så kommer ett felmeddelande att genereras och skickas till Provisioning Logs i Azure och användaren kommer att läggas till i Stratsys Plattform men ej få behörighet till Stratsys. Användaren kommer att få behörighet till Stratsys så snart dennes enhet från Azure AD:t finns mappat med alias mot någon enhet i Stratsys.

Steg 6 - Skapa en Azure AD Enterprise application

 

Tips! Använd engelska som språk i Azure för att enklast följa stegen nedan

  1. Gå till https://portal.azure.com. Välj Azure Active Directory > Enterprise applications > New application.

  2. Välj "Create your own application"
  3. Non-gallery application > Välj ett valfritt namn på applikationen och välj Create.
  4. Gå till Provisioning > Get started.
  5. Välj Provisioning mode "Automatic" & följ bildstegen nedan.

Bildsteg:

  1. Klistra in Url-länken som kopierades från plattformsadministrationen. Den går att återfinna i plattformsadministrationen under Användarsynk>Inställningar.
  2. Klistra in den sparade nyckeln från plattformsadministrationen. Denna går inte att återfinna om den inte sparats, därför är det viktigt att göra detta i ett tidigt skede.
  3. Kontrollera att kopplingen fungerar genom att välja Test Connection.
  4. Allt bör fungera som det ska, om det mot förmodan inte fungerar kontrollera att uppsättningen är korrekt, kontakta därefter Teknisk support på support@stratsys.se
  5. Klicka på Spara överst på sidan

Steg 7 - Flagga befintliga användare som synkroniserade

I de flesta fall finns det redan befintliga användare i Stratsys, därför behöver vi innan synken kan startas flagga dessa användare som synkroniserade. Görs inte detta kommer det att genereras ett felmeddelande i Provisioning Logs i Azure vid synkronisering som säger "User {platformId} is not set as external and will not be updated eller liknande" eller "{userId} is not flagged as synchronized and won't be updated. Set to Synchronized in platform or remove from provisioning in Azure.". För att flagga befintliga användare går ni till Inställningar och trycker på "Slå på" vid "Flagga alla befintliga användare som synkroniserade"

Exkludera användare från användarsynken

Har ni behov av att någon/några användare ska vara bortkopplade från synken och hantera dessa manuellt, exempelvis om det är någon användare som inte finns med i AD:t men som ska ha behörighet till Stratsys. Gå till Användare (1), sök upp användaren och klicka på användaren så att en sidmeny dyker upp till höger, expandera Inställningar på pilen till höger och slå av toggeln vid "Synkronisering" (2). Detta innebär att ändring och borttagning av användaren måste göras manuellt och kommer ej hanteras av AD-synken. 

 

Steg 8 - Synkronisera användare och grupper

Nu finns det en koppling mellan Azure AD:t och Stratsys och det dags att börja synka grupper med användare. Lägg till de grupper som ska synkas till Stratsys i er Enterprise applikation i Azure. Observera att det är bara användare som ligger direkt i grupperna som kommer att synkas med Stratsys, det finns ej stöd för nästlade grupper.
Klicka sedan på Provisioning i vänstermenyn> Start Provisioning. Den första synkroniseringen kan ta allt ifrån några minuter till flera timmar beroende på hur många grupper och användare som finns i Azure AD:t. När den första cykeln är färdig så får du fram resultatet på samma sida. Mer information om resultatet från synken hittar ni här.
Om något går fel så visas felet på sidan för synken. Bilden nedan är ett exempel på en synkronisering som genererat 19 fel.  Mer information om felen hittas i Audit logs (1) och Provisioning logs (2). 

 

Synkronisering färdigställd

Om inga fel förekommer i synken så är uppsättningen klar! Användare kommer nu synkas in i Stratsys och ni behöver inte längre skapa upp användare manuellt så länge dessa ingår i någon av grupperna som synkas till Stratsys. Inga användare behöver heller administreras i Stratsys utan allt görs i Azure AD. Synken körs med ett intervall på var 40:onde minut och tidsintervallet kan ej justeras i dagsläget. 

Ni kan nu gå tillbaka till plattformsadministrationen > Användarsynk > Grupper och se vilka grupper som synkroniserats. Dessa är markerade som Provisionerad och har fått upp datum för Ändrad som är senast datum för ändring samt Skapad som är datum för när gruppen skapades.

Gå sedan till användare för att kontrollera att alla användare som ska synkroniseras in finns med i listan.


 

Förvaltning och underhåll

Nedan hittar ni information för att förvalta Azure AD-synklösningen. Observera att användaren som ska sköta underhåll av användarsynk behöver ha rollen "Superadministratör" i Stratsys Plattform.

Organisationsförändring

Ny enhet

Lägger ni till en ny enhet i organisationsträdet i Stratsys och vill att användare ska synkas in till denna behöver ni lägga till ett alias på den nya enheten i plattformsadministrationen för Azure AD-synk, se beskrivning på hur det ska göras här.

Tips! För att se enheter som ännu inte är mappade mot någon enhet i Stratsys, klicka på valfri enhet och börja sedan skriva ett namn på ett alias och ta sedan bort det du skrivit, då kommer en lista med omappade alias att dyka upp om det finns några sådana.

Ta bort enhet

Ska ni ta bort en enhet och istället mappa alias kopplade till den enheten till en annan enhet, gör enligt filmen nedan. 

2022-06-03_13-41-51

Om filmen är suddig, högerklicka på den för att öppna upp i ett nytt fönster.

Ny behörighetsgrupp

Lägger ni till en ny behörighetsgrupp i Stratsys och vill att den gruppen ska kopplas mot Azure AD-synken behöver ni sätta gruppen till extern samt lägga till alias, se beskrivning på hur det ska göras här.

Felsökning

Scim-detaljer

Misstänker ni att en användare synkats in till fel enhet eller fel grupp så kan ni hitta informationen som skickats från Azure om enhet och grupp/grupper på användaren under SCIM-detaljer under Användare i Stratsys Plattform. Där visas Enhetens namn (aliaset som ska mappas mot en enhet i Stratsys plattform) som den heter i Azure samt det Externa Id:t (Azure AD:t) på gruppen. Det externa ID:t kan ni även hitta under Användarsynk --> Azure --> Grupper --> klicka på grupp --> Externt id . På det sättet kan ni se vad som faktiskt har synkats från Azure AD:t. Skulle informationen här inte stämma med så som användaren synkats in, kontakta Stratsys support.

2022-07-13_15-08-52

2022-07-13_15-17-41

Felmeddelanden

Inträffar det fel i Azure AD-synken så skickar Stratsys tillbaka felmeddelanden till er Enterprise Applikation i Azure och hittas i Audit logs och Provisioning logs. Se aktuella felmeddelanden nedan med reservation för att dessa kan komma att ändras. 

"User {userId} has no main membership."

Indikerar på att användaren inte har någon behörighetsgrupp och har därför ingen behörighet till Stratsys.

Lösning: Kan bero på olika anledningar, kontakta Stratsys support.


"No matching group has been found for group with display name {name}. A group has to be configured with this alias."

Lösning: Kontrollera att ni konfigurerat samtliga grupper som ska synkas mot Azure i Stratsys Platform, se hur ni gör här.


"User {user.Id} has no department in platform nor does it exist in database and therefore cannot be added as a member of a group."

Felmeddelandet antyder på att användaren har en department/avdelning i Azure AD som inte är tillagd som alias i Stratsys Plattform.

Lösning: Uppdatera aliasmappningen av enheter, se hur ni gör här.


"{userId} is not flagged as synchronized and won't be updated. Set to Synchronized in platform or remove from provisioning in Azure."

Användaren är inte satt som extern i plattformen.

Lösning: Flagga användare som synkroniserad, se hur ni gör här.


"User {platformId} is not set as external and will not be updated." 

Användaren är inte satt som extern i Stratsys

Lösning: Flagga användare som synkroniserad, se hur ni gör här. Är toggeln "Användare hanteras genom en extern användarkatalog" redan påslagen, slå av toggeln och slå på den igen.


"User {platformId} is not set as external and will not be updated."

Användaren är inte satt som extern i plattformen.

Lösning: Flagga användare som synkroniserad, se hur ni gör här.


"User {userId} not found in Stratsys."

Användaren kan inte hittas i Stratsys.

Lösning: Kontakta Stratsys support.


"No standard department defined"

Felmeddelandet antyder på att en användare har en department/avdelning i Azure AD:t som inte matchar mot något enhets-alias i Azure AD-konfigurationen i Stratsys Platform och att det inte finns någon standardenhet eller reservenhet definierad i Stratsys Platform. Det innebär att användaren inte kommer att läggas till på avdelningen. Har användaren en organisationsenhet i Stratsys sedan tidigare kommer den behålla denna, är det en ny användare kommer den användaren inte att få behörighet till Stratsys.

För att ta reda på vilken användare det handlar om gå till Audit logs i Azure , öppna Audit Log Details och se "Modified Properties" där ni hittar ID:t på användaren. ID:t kan ni sedan lägga in här (se 1 i bilen nedan), då öppnas användaren upp till höger.

Lösning:

Alternativ 1: Kontrollera vilken avdelning/department användaren tillhör i Azure-AD och lägg till namnet på avdelningen som alias på motsvarande organisationsenhet i Stratsys Plattform, se beskrivning på hur det ska göras här. Invänta nästa synk och kontrollera att användaren har lagts till på enheten.

Alternativ 2: Lägg till en standardenhet eller en reservenhet på behörighetsgruppen. Invänta nästa synk och kontrollera att användaren har lagts till på standardenheten/reservenheten.

Har den inte gjort det kan en "Restart Provisioning" utföras från Enterprise applikationen i Azure.

Mailnotiser

Det finns möjlighet att i Azure Enterprise applikationen konfigurera en mejladress för att ta emot mejlnotiser vid fel.