Diese Dokumentation wird Sie durch die Einrichtung von Provisioning in Tresorit mit Azure AD führen. Dafür müssen Sie eine auf dem SCIM-Protokoll basierende neue Enterprise-Anwendung erstellen und konfigurieren. Um dies zu tun, müssen Sie sich in Ihrem Azure-Portal anmelden und zur Konfigurationsseite für Azure Active Directory navigieren. Während dieser Einrichtung müssen Sie sich außerdem in Ihrem Tresorit-Firmenabonnement anmelden, um bestimmte Aktionen im Admin-Center auszuführen.
Dieses Feature ist ausschließlich für die Enterprise-Lizenz verfügbar.
Wie kann Sie eine neue Anwendung in Azure Active Directory konfigurieren
Eine neue Enterprise-Anwendung erstellen
Klicken Sie auf Enterprise-Anwendungen und erstellen Sie eine Neue Anwendung.
Klicken Sie auf Ihre eigene Anwendung erstellen.
Geben Sie Ihrer Anwendung einen Namen (z. B. Tresorit SCIM Provisioning) und wählen Sie Alle anderen nicht in der Galerie enthaltenen (Nicht-Galerie-)Anwendungen integrieren. Klicken Sie auf Erstellen.
Wählen Sie Provisioning in der erstellten Anwendung. Klicken Sie dann auf Loslegen.
Für den nächsten Schritt müssen Sie die Mandanten-URL und das von Tresorit zur Verfügung gestellte Token angeben.
Gehen Sie zu Tresorits Admin-Center, öffnen Sie die Einstellungen und klicken Sie im Provisioning-Abschnitt auf Aktivieren.
Kopieren Sie im Admin-Center die Basis-URL und das API-Token und fügen Sie diese in das Anmeldedaten-Feld für Azure AD Provisioning ein. Klicken Sie dann auf Verbindung testen.
Wenn dies erfolgreich ausgeführt wurde, wird eine Benachrichtigung angezeigt werden.
Klicken Sie auf Speichern.
Nun müssen Sie die Seite in Ihrem Browser neu laden. Die Provisioning-Einstellungen werden erst dann ordnungsgemäß auf die Webseite angewendet, wenn Sie die Seite neu laden.
Gruppensynchronisation deaktivieren
Die Synchronisation von Gruppen wird derzeit nicht von Tresorit unterstützt. Daher muss diese Funktion in der erstellten Enterprise-Anwendung deaktiviert werden.
Öffnen Sie Zuordnungen, klicken Sie anschließend auf Azure Active Directory-Gruppen bereitstellen und geben Sie Nein für Aktiviert ein. Klicken Sie dann auf Speichern.
Attributtuordnung für Nutzer aktualisieren
Die Attributzuordnung für Nutzer muss aktualisiert werden, damit nur die relevanten Informationen an Tresorit gesendet werden. Klicken Sie unter Zuordnungen auf Azure Active Directory-Benutzer bereitstellen.
Aktualisieren Sie die Attributzuordnungen, sodass nur die im untenstehenden Screenshot angezeigten Zuordnungen enthalten sind. Klicken Sie dann auf Speichern.
📝 Anmerkung: Aus der oben aufgeführten Liste haben nur die Änderungen an dem Attribut, das active zugeordnet ist, Auswirkungen auf die Benutzer.. Die anderen Attribute werden nur zur Einladung von Nutzern und zur Kontoerstellung verwendet.
Planen Sie einen Pilotversuch
Wir empfehlen, die erste Konfiguration der automatischen Nutzerbereitstellung in einem Testumfeld mit einer kleinen Teilgruppe von Nutzern auszuführen, bevor Sie dies auf alle Nutzer ausweiten. Hier finden Sie den offiziellen Microsoft-Leitfaden: Planen einer automatischen Benutzerbereitstellung in Azure Active Directory
Technische Erwägungen für die Nutzung von Tresorits Provisioning-Integration
- Neu bereitgestellte Nutzer werden automatisch dem Standard-Richtlinienprofil zugewiesen, das Sie im Tresorit-Admin-Center konfigurieren können.
- Eine Aktualisierung des Benutzernamens wirkt sich nicht auf den Tresorit-Nutzer aus. Der bei der Registrierung angegebene Name wird weiterhin verwendet.
- Falls Sie den Status von „SCIM-verwalteter Nutzer“ in Tresorits Admin-Center auf „Gesperrt“ ändern, wird sich dies nicht auf das „Aktiv“-Attribut des Nutzers in Ihrer Provisioning-Anwendung auswirken.
- Die E-Mail-Adresse des bereitgestellten Tresorit-Nutzers kann im Identitätsanbieter nicht geändert werden. E-Mail-Adressen werden in Tresorit als Identifizierungsmerkmal verwendet.
Verifizierung der E-Mail-Domain
Auch wenn dies nicht erforderlich ist, empfehlen wir, Ihre E-Mail-Domain zu verifizieren, damit Sie eine bessere Kontrolle über Ihre Nutzer haben. Hier erfahren Sie, wie’s geht: Wie verifizieren Sie Ihre E-Mail-Domain
📝 Anmerkung: Die Verwendung der Option Automatisch zur Lizenz hinzufügen für eine verifizierte Domain kann dazu führen, dass Nutzer außerhalb des SCIM-Provisioning zu Ihrem Abonnement hinzugefügt werden. Wenn Sie Provisioning einrichten, empfehlen wir für Ihre verifizierte Domain die Einstellung Registrierung nur mit Einladung oder Nicht zur Lizenz hinzufügen.