Dit artikel is ook beschikbaar in:

Geautomatiseerde provisioning met Microsoft Entra en SCIM

Deze pagina beschrijft hoe u automatisch Brainframe-gebruikers en/of Brainframe-contacten (met groepstags) kunt aanmaken op basis van de gebruikers en groepen van uw identity provider die zijn geconfigureerd in Microsoft Entra.

We hebben de SCIM-gebruikersprovisioning zo opgebouwd dat geen van uw bestaande gebruikers-/groepconfiguraties wordt beïnvloed. De IdP-gebruikers/-groepen worden onafhankelijk van bestaande entiteiten gesynchroniseerd en het systeem zal deze identiteiten aan elkaar koppelen op basis van de regels die in deze documentatie worden uitgelegd (bijv. als ze deel uitmaken van de groepen brainframeUser of brainframeContact in uw IdP).

1️⃣ De applicatie aanmaken

(deze stap kan worden overgeslagen als u al een applicatie voor SSO hebt aangemaakt)

Ga naar het Entra-beheercentrum → https://entra.microsoft.com/#home en klik op Nieuwe applicatie.

Selecteer Uw eigen applicatie maken.

Voer een naam in voor uw applicatie, kies Niet-galerijapplicatie en klik op Maken.

📌 Tip: Gebruik een beschrijvende naam (bijv. Brainframe GRC SSO) zodat de applicatie gemakkelijk herkenbaar is.

2️⃣ De Entra-applicatie configureren

Ga naar het Provisioning-menu

Klik op Nieuwe configuratie

Vul de tenant-URL en secret code in vanuit de Brainframe GRC-instellingen voor gebruikersprovisioning.

Ga naar Brainframe GRC > Workspace-instellingen > User provisioning en activeer SCIM. Dit toont de SCIM-URL en het Token die moeten worden geconfigureerd. Hiermee kan uw IdP zich authenticeren bij Brainframe voor geautomatiseerde provisioning van de IdP-gebruikers en -groepen die aan de Entra-applicatie zijn toegewezen.

Laat Bearer authentication als authenticatiemethode staan en vul de URL en het token in Microsoft Entra in. Klik vervolgens op Test connection; als alles correct is, ontvangt u een bevestiging van succes.

Klik nu onderaan het scherm op Create, waarmee het provisioninggedeelte in Entra voor deze applicatie wordt ingesteld.

3️⃣ De provisioning-mapping configureren

Om de waarden van uw IdP-gebruikers en -groepen correct te mappen naar wat Brainframe GRC verwacht, moeten we ervoor zorgen dat de IdP-attribuutmapping correct is geconfigureerd.

Attribuutmapping van gebruikers:

Selecteer attribuutmapping vanuit de applicatie die u in de vorige stappen hebt aangemaakt en selecteer Provision Microsoft Entra ID Users.

De volgende pagina bevat veel details die zijn afgestemd op de standaardinstellingen van uw organisatie. Vanuit Brainframe is het alleen nodig dat u ervoor zorgt dat de volgende app-attributen (doel dat naar Brainframe wordt gestuurd) correct zijn gemapt op de Microsoft Entra ID-attributen (bron vanuit uw identiteiten).

Zorg ervoor dat de volgende doelacties zijn ingeschakeld: Create, Update en Delete

Brainframe doelattribuut	Microsoft Entra ID bronattribuut	Beschrijving
externalId	objectId	De unieke identifier om IdP-gebruikers tussen beide systemen te koppelen
active	accountEnabled	Geeft aan of een gebruiker geactiveerd is of niet en zal gebruikers uitschakelen/contacten verwijderen
name.givenName	givenName	De voornaam van de gebruiker
name.familyName	surname	De achternaam van de gebruiker
emails[type eq "work"].value	mail	Dit is het e-mailadres dat wordt gebruikt voor alle communicatie en gebruikersnaam-naar-workspace-mapping tijdens het inloggen
preferredLanguage	preferredLanguage

Klik bovenaan het scherm op Save.

Attribuutmapping van groepen:

Selecteer opnieuw attribuutmapping vanuit de aangemaakte applicatie en selecteer Provision Microsoft Entra ID Groups.

Zorg ervoor dat de volgende doelacties zijn ingeschakeld: Create, Update en Delete

Brainframe doelattribuut	Microsoft Entra ID bronattribuut	Beschrijving
displayName	displayName	Dit wordt de naam van de groep zoals die in Brainframe onder SCIM-groepen wordt weergegeven (die vervolgens aan Brainframe-groepen kan worden gekoppeld)
externalId	ObjectId	De unieke identifier om IdP-groepen tussen beide systemen te koppelen
members	members	Lijst van leden van de groep

4️⃣ Aparte Brainframe-groepen aanmaken in uw IdP

De geautomatiseerde provisioning wordt gebruikt om een Brainframe-gebruiker en/of een Brainframe-contact aan te maken, afhankelijk van of de gebruiker deel uitmaakt van een groep met de naam brainframeUser en/of brainframeContact.

Als gebruikers geen deel uitmaken van een van deze groepen, worden ze wel gesynchroniseerd, maar gebeurt er binnen Brainframe niets.

Maak binnen Microsoft Entra twee groepen aan met de namen brainframeUser en brainframeContact door te klikken op All groups > New group met standaardwaarden (het is nog niet nodig om gebruikers toe te wijzen; dat doen we in de teststap hieronder).

Open nu opnieuw de Enterprise-app die u aan het begin van dit document hebt aangemaakt en wijs deze twee groepen toe aan de applicatie via Users and groups > Add user/group.

Voeg vervolgens beide groepen brainframeUser en brainframeContact toe en klik op Select.

5️⃣ Testen van het aanmaken van Brainframe-contacten

In deze sectie laten we zien hoe u een contact kunt aanmaken dat (automatische) distributies kan ontvangen. Deze contacten zullen nooit kunnen inloggen, tenzij ze ook deel uitmaken van de groep brainframeUser.

Ga binnen de Enterprise-app opnieuw naar Users and groups en klik op brainframeContact.

Voeg individuele gebruikers toe of — voor contacten — kan het interessant zijn om groepen toe te voegen.

Selecteer vervolgens opnieuw uw Enterprise-app en ga naar het Provisioning-menu.

Om het provisionen van de groep brainframeContact geforceerd te testen, selecteert u Provision on demand en kiest u de groep brainframeContact.

Selecteer vervolgens het selectievakje voor de daadwerkelijke leden die u wilt synchroniseren en klik onderaan de pagina op Provision.

Wanneer dit succesvol is, ziet u de gebruiker verschijnen in Brainframe onder Workspace-instellingen > User provisioning. De IdP-groep brainframeContact zal niet verschijnen, omdat dit een speciale groep is die niet aan Brainframe-groepen kan worden gekoppeld.

De gebruiker is nu ook toegevoegd aan de Brainframe-contacten (mogelijk moet u de pagina vernieuwen om dit te zien).

Let op dat de tags hierboven leeg zijn. Als u een andere bedrijfsafdelingsgroep (bijv. HR of Development) selecteert en deze aan de Enterprise-app toewijst, worden deze automatisch gesynchroniseerd en aangemaakt als tags op het contact. Deze tags maken het vervolgens mogelijk om automatisch een distributie-e-mail te versturen naar mensen van een specifieke afdeling.

Hier is een voorbeeld na het uitvoeren van provision on demand voor een groep Human resources, zoals we eerder hebben gedaan.

Dit resulteert in het synchroniseren van de IdP-groep:

En in het toevoegen van de tag aan het contact (omdat de gebruiker deel uitmaakt van de groep brainframeContact), wat mogelijk een geautomatiseerde distributie kan activeren als deze tag is geconfigureerd in de distributie met automatisch verzenden.

6️⃣ Testen van het aanmaken van Brainframe-gebruikers

Let op: Brainframe-gebruikers die via de acties in deze sectie worden aangemaakt, kunnen niet worden verwijderd; we staan alleen toe dat aangemaakte gebruikers worden uitgeschakeld. Test dit daarom in eerste instantie met individuele gebruikers.

In deze sectie laten we zien hoe u een echte Brainframe-gebruiker kunt aanmaken.

Net zoals in stap 4 hoeven we alleen een specifieke gebruiker toe te voegen aan de groep brainframeUser en vervolgens provision on demand te activeren.

Eerst voegen we de gebruiker toe aan de groep brainframeUser.

Daarna moeten we de groep brainframeUser toevoegen aan de Enterprise-applicatie (anders worden gebruikers uit die groep niet gesynchroniseerd).

Vervolgens kunnen we de provisioning van die brainframeUser-groep activeren op dezelfde Enterprise-applicatie om de resultaten naar Brainframe te pushen.

Let op: in de volgende stap ontvangt de gebruiker onmiddellijk een uitnodiging voor de workspace per e-mail. Zorg er dus voor dat LDAP SSO ook is geconfigureerd, zodat de gebruiker daadwerkelijk kan inloggen. Inloggen met gebruikersnaam/wachtwoord is niet toegestaan en het resetten van inloggegevens is niet mogelijk. Als de gebruiker al bestond in de workspace, wordt de IdP-gebruiker gekoppeld aan de bestaande Brainframe-gebruiker zonder wijzigingen aan te brengen (als wachtwoordlogin eerder was ingeschakeld, blijft dit zo).

Selecteer vervolgens de gebruiker die u wilt provisionen en klik op Provision.

Als alles goed is verlopen, zou de gebruiker nu moeten zijn toegevoegd/gekoppeld aan de IdP met wachtwoordlogin uitgeschakeld (mogelijk moet u de pagina vernieuwen om de update te zien).

7️⃣ IDP SCIM-groepsmapping naar Brainframe-groepen

Omdat Brainframe-groepen zijn gekoppeld aan maprechten die naar verschillende workspaces kunnen worden gerepliceerd, en omdat elke organisatie andere IdP-groepsnamen hanteert, hebben we de groepsmapping via SCIM-provisioning zo opgebouwd dat u per workspace kunt configureren welke IdP-groep wordt gekoppeld aan welke Brainframe-groep.

Om dit te illustreren, gebruiken we een voorbeeld waarin we leden van de eerder gesynchroniseerde IdP-groep Human resources koppelen aan een bestaande Brainframe-groep met de naam Brainframe HR, die we vooraf hebben aangemaakt met rechten op specifieke mapgegevens.

Voor demonstratiedoeleinden hebben we een groep Brainframe HR aangemaakt zonder gekoppelde gebruikers:

En de IdP-groep Human resources die eerder al was gesynchroniseerd:

Door op de bewerkknop rechts van de IdP-groep Human resources te klikken, kunt u deze IdP-groep koppelen aan een Brainframe-groep.

U ziet vervolgens dat de gebruiker Davy Cox, die al lid was van de IdP-groep Human resources, nu ook lid is van de groep Brainframe HR.

Bijgewerkt op: 24/02/2026

Was dit artikel nuttig?

Dankuwel!