Artikel über: Arbeitsbereichskonfiguration

Dieser Artikel ist auch verfügbar in:

Automatisierte Bereitstellung mit Microsoft Entra und SCIM

Auf dieser Seite wird beschrieben, wie Sie Brainframe-Benutzer und/oder Brainframe-Kontakte (mit Gruppen-Tags) automatisch erstellen können – basierend auf Ihren in Microsoft Entra konfigurierten Benutzern und Gruppen Ihres Identity Providers.

Wir haben die SCIM-Benutzerbereitstellung so umgesetzt, dass keine Ihrer bestehenden Benutzer-/Gruppenkonfigurationen beeinflusst werden. Die IdP-Benutzer/Gruppen werden unabhängig von bestehenden Entitäten synchronisiert, und das System „verknüpft“ diese Identitäten anschließend anhand der in dieser Dokumentation erklärten Regeln (z. B. wenn sie Teil der Gruppen brainframeUser oder brainframeContact in Ihrem IdP sind).

1️⃣ Anwendung erstellen

(dieser Schritt kann übersprungen werden, wenn Sie bereits eine Anwendung für SSO erstellt haben)

Gehen Sie zum Entra Admin Center → https://entra.microsoft.com/#home und klicken Sie auf New application.

Wählen Sie Create your own application.

Geben Sie einen Namen für Ihre Anwendung ein, wählen Sie Non-gallery application und klicken Sie auf Create.

📌 Tipp: Verwenden Sie einen aussagekräftigen Namen (z. B. Brainframe GRC SSO), damit die Anwendung leicht erkennbar ist.

2️⃣ Entra-Anwendung konfigurieren

Gehen Sie zum Provisioning menu

Klicken Sie auf New configuration

Tragen Sie die tenant URL und den secret code aus den Brainframe GRC-Benutzerbereitstellungs-Einstellungen ein

Gehen Sie zu Brainframe GRC > Workspace Settings > User provisioning und aktivieren Sie SCIM. Dadurch werden Ihnen die SCIM URL und das Token angezeigt, die konfiguriert werden müssen. Damit kann sich Ihr IdP bei Brainframe authentifizieren, um die automatisierte Bereitstellung der IdP-Benutzer und Gruppen durchzuführen, die der Entra-Anwendung zugewiesen sind.

Belassen Sie „Bearer authentication“ als Authentifizierungsmethode und tragen Sie URL und Token in Microsoft Entra ein. Klicken Sie anschließend auf Test connection. Wenn alles korrekt ist, erhalten Sie eine Erfolgsbestätigung.

Klicken Sie nun unten auf Create, wodurch die Bereitstellung in Entra für diese Anwendung eingerichtet wird.

3️⃣ Bereitstellungs-Mapping konfigurieren

Damit die Werte Ihrer IdP-Benutzer und -Gruppen korrekt auf das in Brainframe GRC erwartete Format gemappt werden, muss das IdP-Attribut-Mapping richtig konfiguriert sein.

Attribut-Mapping des Benutzers:

Wählen Sie das Attribut-Mapping in der Anwendung aus, die Sie in den vorherigen Schritten erstellt haben, und wählen Sie Provision Microsoft entra ID Users

Die nächste Seite enthält viele Details, die an Ihre Unternehmens-Defaults angepasst sind. Von Brainframe-Seite müssen Sie lediglich sicherstellen, dass die folgenden App-Attribute (Ziel = an Brainframe gesendet) auf die Microsoft Entra ID-Attribute (Quelle = aus Ihren Identitäten) gemappt sind.

Stellen Sie sicher, dass die folgenden Zielaktionen aktiviert sind: Create, Update and Delete

Brainframe-Zielattribut	Microsoft Entra ID-Quellattribut	Beschreibung
externalId	objectId	Eindeutige Kennung zur Verknüpfung von IdP-Benutzern zwischen beiden Systemen
active	accountEnabled	Gibt an, ob ein Nutzer actif is und deaktiviert Brainframe Benutzer/entfernt Brainframe Kontakte
name.givenName	givenName	Vorname des Benutzers
name.familyName	surname	Nachname des Benutzers
emails[type eq "work"].value	mail	Diese E-Mail wird für sämtliche Kommunikation verwendet und dient als Benutzername für das Workspace-Mapping beim Login
preferredLanguage	preferredLanguage

Klicken Sie oben auf der Seite auf Speichern.

Attribut-Mapping der Gruppe:

Wählen Sie erneut das Attribut-Mapping in der erstellten Anwendung aus und wählen Sie Provision Microsoft entra ID Groups

Stellen Sie sicher, dass die folgenden Zielaktionen aktiviert sind: Create, Update and Delete

Brainframe-Zielattribut	Microsoft Entra ID-Quellattribut	Beschreibung
displayName	displayName	Name der Gruppe, wie sie in Brainframe unter SCIM-Gruppen angezeigt wird (kann dann mit Brainframe-Gruppen verknüpft werden)
externalId	ObjectId	Eindeutige Kennung zur Verknüpfung von IdP-Gruppen zwischen beiden Systemen
members	members	Liste der Gruppenmitglieder

4️⃣ Dedizierte brainframe-Gruppen in Ihrem IdP erstellen

Die automatisierte Bereitstellung wird verwendet, um einen Brainframe-Benutzer und/oder einen Brainframe-Kontakt zu erstellen – je nachdem, ob der Benutzer Mitglied einer Gruppe namens „brainframeUser“ und/oder „brainframeContact“ ist.

Wenn Benutzer nicht Mitglied einer dieser Gruppen sind, werden sie zwar synchronisiert, aber in Brainframe passiert nichts

Erstellen Sie weiterhin in Microsoft Entra zwei Gruppen „brainframeUser“ und „brainframeContact“, indem Sie auf All groups > New group klicken und die Standardwerte verwenden (noch keine Benutzer zuweisen, das machen wir im Testschritt unten).

Öffnen Sie nun wieder die Enterprise-App, die Sie am Anfang dieses Dokuments erstellt haben, und weisen Sie diese beiden Gruppen der Anwendung zu, indem Sie auf „Users and groups“ > „Add user/group“ klicken.

Fügen Sie anschließend beide Gruppen „brainframeUser“ und „brainframeContact“ hinzu und klicken Sie auf Select.

5️⃣ Test der Brainframe-Kontakterstellung

In diesem Abschnitt zeigen wir, wie Sie einen Kontakt erstellen, der (Auto-)Distributions empfangen kann. Diese Kontakte können sich niemals einloggen, außer sie sind zusätzlich Mitglied der Gruppe brainframeUser.

Wählen Sie innerhalb der Enterprise-Anwendung erneut Users and groups und klicken Sie auf brainframeContact.

Fügen Sie einzelne Benutzer hinzu, oder für Kontakte kann es interessant sein,

Wählen Sie nun erneut Ihre Enterprise-Anwendung und öffnen Sie das Provisioning-Menü

Um das Provisioning der Gruppe brainframeContact zu erzwingen, wählen Sie „Provision on demand“ und wählen die Gruppe „brainframeContact“ aus.

Wählen Sie dann das Kontrollkästchen für die tatsächlichen Mitglieder, die synchronisiert werden sollen, und klicken Sie unten auf der Seite auf provision

Bei Erfolg sehen Sie den Benutzer nun in Brainframe unter Workspace settings > User provisioning. Die IdP-Gruppe brainframeContact wird nicht angezeigt, da es sich um eine Spezialgruppe handelt, die nicht auf Brainframe-Gruppen gemappt werden kann.

Der Benutzer wurde nun auch zu den Brainframe-Kontakten hinzugefügt (ggf. Seite aktualisieren, um sie zu sehen).

Beachten Sie oben, dass die Tags leer sind. Wenn Sie eine andere Abteilungsgruppe (z. B. HR oder Development) auswählen und der Enterprise-Anwendung zuweisen, werden diese automatisch synchronisiert und als Tags am Kontakt erstellt. Diese Tags ermöglichen es Ihnen dann, automatisch eine Distributions-E-Mail an Personen einer bestimmten Abteilung zu senden.

Hier ist ein Beispiel, nachdem wir – wie zuvor – ein „Human resources“-Group Provision on demand durchgeführt haben:

Was dazu führt, dass die IdP-Gruppe synchronisiert wird:

nd das Tag dem Kontakt hinzugefügt wird (weil der Benutzer Mitglied der Gruppe brainframeContact ist), was potenziell eine automatisierte Distribution auslösen kann, wenn dieses Tag in der Distribution mit Auto-Send konfiguriert ist

6️⃣ Test der Brainframe-Benutzererstellung

Achtung: Brainframe-Benutzer, die durch die Aktionen in diesem Abschnitt erstellt werden, können nicht entfernt werden, da wir nur das Deaktivieren erstellter Benutzer erlauben. Testen Sie dies daher zunächst mit einzelnen Benutzern.

In diesem Abschnitt zeigen wir, wie Sie einen echten Brainframe-Benutzer erstellen können.

Ähnlich wie in Schritt 4 müssen wir lediglich einen bestimmten Benutzer zur Gruppe brainframeUser hinzufügen und ein Provision on demand auslösen.

Zuerst fügen wir den Benutzer zur Gruppe brainframeUser hinzu

Dann müssen wir die Gruppe brainframeUser der Enterprise-Anwendung hinzufügen (sonst werden Benutzer aus dieser Gruppe nicht synchronisiert)

Dann können wir das Provisioning dieser brainframeUser-Gruppe in derselben Enterprise-Anwendung auslösen, um die Ergebnisse an Brainframe zu übertragen.

Achtung: Im nächsten Schritt erhält der Benutzer sofort eine Workspace-Einladung per E-Mail. Stellen Sie daher sicher, dass LDAP SSO ebenfalls konfiguriert ist, damit er sich tatsächlich einloggen kann. Er darf sich nicht mit Benutzer/Passwort einloggen und kann seine Zugangsdaten nicht zurücksetzen. Falls der Benutzer bereits im Workspace existierte, wird der IdP-Benutzer mit dem bestehenden Brainframe-Benutzer verknüpft, ohne Änderungen daran vorzunehmen (wenn zuvor Passwort-Login aktiviert war, bleibt es aktiv).

Dann wählen Sie den zu provisionierenden Benutzer aus und klicken auf provision

Wenn alles geklappt hat, sollte der Benutzer nun hinzugefügt/mit dem IdP verknüpft sein, mit deaktiviertem Passwort-Login (ggf. Seite aktualisieren, um das Update zu sehen).

7️⃣ IdP-SCIM-Gruppen-Mapping zu Brainframe-Gruppen

Da Brainframe-Gruppen mit Folder Permissions verknüpft sind, die auf verschiedene Workspaces repliziert werden können, und da jedes Unternehmen unterschiedliche IdP-Gruppennamen hat, haben wir das Gruppen-Mapping über SCIM-Provisioning so gebaut, dass Sie pro Workspace konfigurieren können, welche IdP-Gruppe auf welche Brainframe-Gruppe gemappt wird.

Dazu verwenden wir ein Beispiel, um zu zeigen, wie wir Mitglieder der IdP-Gruppe „Human resources“, die wir zuvor synchronisiert haben, einer bestehenden Brainframe-Gruppe namens „Brainframe HR“ zuordnen können, die wir vorab mit Berechtigungen für bestimmte Ordnerdaten erstellt haben.

Zu Demo-Zwecken haben wir eine Gruppe „Brainframe HR“ ohne zugewiesene Benutzer erstellt:

Und die zuvor synchronisierte IdP-Gruppe „Human resources“:

Durch Klicken auf die Bearbeiten-Schaltfläche rechts neben der IdP-Gruppe „Human resources“ können Sie diese IdP-Gruppe einer Brainframe-Gruppe zuordnen.

Und Sie sehen, dass der Benutzer „Davy Cox“, der bereits Mitglied der IdP-Gruppe „Human resources“ war, nun auch Mitglied der Gruppe „Brainframe HR“ ist.

Aktualisiert am: 24/02/2026

War dieser Beitrag hilfreich?

Danke!