SCIM configureren voor Microsoft Entra ID

In dit artikel leggen we uit hoe je SCIM configureert voor Microsoft Entra ID (voorheen Azure Active Directory). Door SCIM te configureren in Microsoft Entra ID kun je gebruikers en groepen in je KSAT-console toevoegen en beheren.

De instructies in dit artikel is voor externe software. Heb je problemen met user provisioning (gebruikers inrichten) in Microsoft Entra ID, neem dan contact op met Microsoft Entra voor ondersteuning. Je kunt ook contact opnemen met ons ondersteuningsteam ondersteuningsteam (link wordt geopend in nieuw venster). Wij staan graag voor je klaar.

Let op: Je hebt een Microsoft Entra-abonnement nodig om gebruikers en groepen te synchroniseren met SCIM. Meer informatie over hoe je gebruikers en groepen via Microsoft Entra synchroniseert, vind je in het Microsoft-artikel Toewijzing van gebruikers en groepen aan een toepassing beheren .

SCIM configureren

In dit gedeelte leggen we uit hoe je de SCIM-instellingen configureert in Microsoft Entra. Voer deze stappen pas uit nadat je de instellingen in je KSAT-console hebt geconfigureerd. In onze Gids voor SCIM-configuratie vind je meer informatie over hoe je SCIM configureert in je KSAT-console.

Zo configureer je de SCIM-instellingen in Microsoft Entra:

Log in op de Azure-portal via https://portal.azure.com/ https://portal.azure.com/ (link wordt geopend in een nieuw venster).
Selecteer op de startpagina van de Azure-portal de knop Weergeven in de tegel Microsoft Entra ID beheren.
In het vervolgkeuzemenu + Toevoegen selecteer je vervolgens Ondernemingstoepassing.
Typ 'KnowBe4' in de zoekbalk van de Microsoft Entra-galerie om de resultaten te filteren.
Selecteer de tegel KnowBe4 Security Awareness Training.
Selecteer Maken in het pop-upvenster rechts.
Nadat je op Maken hebt geklikt, kom je op de pagina Overzicht voor deze toepassing terecht.
1. Word je niet automatisch naar de pagina Overzichtgebracht, open de toepassing dan handmatig uit de lijst bij Ondernemingstoepassingen. Voor alle ondernemingstoepassingen klik je op Alle services in het linkerpaneel. Vervolgens klik je vanuit het uitklapmenu op Recente en dan Ondernemingstoepassingen.
Selecteer Aan de slag in de tegel Gebruikersaccounts inrichten onder de header Aan de slag.
Selecteer + Nieuwe configuratie.
Voer vervolgens de gegevens in van de pagina Accountinstellingen. In de Gids voor SCIM-configuratie lees je waar je deze gegevens precies vindt. Voer in het veld Tenant-URL de Tenant-URL in. Voer in het veld Secret Token de SCIM-token in.

Let op: deze functie werkt momenteel niet met de on-demand inrichtingsservice.
Als je alle gegevens hebt ingevuld, klik je op Verbinding testen. Als je op deze knop klikt, controleer je ook direct of de ingevoerde gegevens juist zijn. Als de verbinding is gelukt, verschijnt er rechtsboven een bevestigingsmelding.
Selecteer Opslaan bovenaan de pagina.

Bepalen welke gebruikers en groepen je vanuit Microsoft Entra wil synchroniseren

Let op: In dit gedeelte stel je in hoe gebruikers en groepen worden gesynchroniseerd. Wil je alle gebruikers en groepen vanuit Microsoft Entra ID synchroniseren, lees dan de Veelgestelde vragen van dit artikel.

Nadat je SCIM hebt geconfigureerd, bepaal je welke gebruikers en groepen je wil synchroniseren. Deze configuratie is vereist om gebruikers en groepen te synchroniseren vanuit je identiteitsprovider (IdP).

Let op: Ingebedde groepen worden momenteel niet ondersteund door SCIM en de Microsoft Entra ID-inrichtingsservice. Meer informatie vind je in de sectie Bereik bepalen in het Microsoft-artikel Hoe toepassingsinrichting werkt in Microsoft Entra ID .

Zo kies je welke gebruikers en groepen je synchroniseert vanuit Microsoft Entra ID:

Ga vanuit Microsoft Entra ID naar Ondernemingstoepassingen.
Selecteer de applicatie die je voor de KnowBe4-verbinding hebt gemaakt.
Selecteer Gebruikers en groepen toewijzen op de tegel Gebruikers en groepen toewijzen.
Klik op + Gebruiker/groep toevoegen om de gebruikers en groepen te selecteren die je wil synchroniseren.
Selecteer Geen geselecteerd om te zoeken naar gebruikers of groepen die je wil opnemen in de synchronisatie. Klik op de naam van een gebruiker of groep om deze toe te voegen. Deze verschijnen nu in het zijpaneel Geselecteerd.

Opmerking: Voeg bij de eerste configuratie slechts enkele gebruikers toe en controleer of de verbinding goed werkt voordat je alle gewenste gebruikers en groepen toevoegt.
Als je eenmaal alle gebruikers en groepen aan de categorie Geselecteerd hebt toegevoegd, klik dan op Selecteren.
Selecteer Toewijzen.

De geselecteerde gebruikers en groepen staan nu in de tabel.

De synchronisatie starten

Heb je SCIM geconfigureerd en de gewenste gebruikers en groepen toegevoegd, start dan de synchronisatie. Nadat je deze hebt gestart, controleert het systeem elke 40 minuten automatisch op wijzigingen in gebruikers en groepen in Microsoft Entra ID en start een synchronisatie als er wijzigingen zijn.

Let op: Heb je meer dan enkele duizenden gebruikers in je SCIM-inrichtingsapplicatie, dan worden ze waarschijnlijk niet allemaal in de eerste synchronisatie meegenomen. In plaats daarvan worden de gebruikers gefaseerd gesynchroniseerd. Houd je gebruikersinrichting in testmodus totdat de synchronisatierapporten bijna geen wijzigingen meer tonen, want zo voorkom je dat gebruikers in je KSAT-console worden gearchiveerd. Houd er ook rekening mee dat groepen synchroniseren langer kan duren dan gebruikers. Bij grotere accounts kun je periodieke synchronisaties verwachten in de KSAT-console.

Zo start je de synchronisatie:

Ga vanuit Microsoft Entra ID naar Ondernemingstoepassingen.
Selecteer de applicatie voor de KnowBe4-verbinding.
Selecteer in het linkermenu Inrichten.
Klik dan op Begin met inrichten.

De synchronisatie start direct. Na de eerste synchronisatie controleert het systeem elke 40 minuten automatisch op wijzigingen in Microsoft Entra ID en start een synchronisatie als er wijzigingen zijn.

Belangrijk: Controleer of alle gebruikers correct zijn gesynchroniseerd en schakel dan de testmodus uit via Accountinstellingen in KSAT. Zodra je deze uitschakelt, kunnen gebruikers bij de volgende synchronisatie worden toegevoegd of gearchiveerd. Je leest meer over de testmodus in de Gids voor SCIM-configuratie.

In je KSAT-console vind je onder User Provisioning de synchronisatiestatus, eventuele fouten en aanvullende informatie.

Geavanceerde configuratieopties

Wanneer je SCIM-synchronisatie met Microsoft Entra ID inschakelt, worden bestaande gebruikersgegevens in de KnowBe4-console overschreven door de SCIM-identiteitsprovider. Controleer daarom eerst in de testomgeving of Microsoft Entra ID de juiste gebruikers en groepen doorstuurt en of de status van de gebruikers correct is geconfigureerd. Zo voorkom je dat er onbedoeld gegevens verloren gaan. Gebruikers die niet in de synchronisatie zijn opgenomen, worden automatisch gearchiveerd. Hun eerdere gegevens blijven behouden.

Belangrijk: e-mailaliassen worden momenteel niet ondersteund door SCIM-inrichting.

Meer informatie over geavanceerde configuratieopties voor Microsoft Entra vind je in de onderstaande secties:

Standaardtoewijzingen

De standaard veldtoewijzingen staan hieronder:

Standaard Microsoft Entra ID-kenmerk	KSAT-kenmerk	KSAT-veld
userPrincipalName	userName	E-mail
givenName	name.givenName	Voornaam
surname	name.familyName	Achternaam
employeeId	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	Medewerkersnummer
jobTitle	title	Functietitel
department	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	Afdeling
manager	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value Let op: Je kunt managerinformatie alleen synchroniseren als de betreffende managers in de synchronisatie zijn opgenomen. Onder Bepalen welke gebruikers en groepen je vanuit Microsoft Entra wil synchroniseren staat hoe je deze toevoegt.	E-mailadres manager
displayName van het Microsoft Entra ID-profiel van de manager	displayName Opmerking: De displayName van een gebruiker wordt overgenomen uit het Entra ID-profiel van de manager. De displayName van een gebruiker verschijnt dus niet in KSAT, omdat de naam via andere kenmerken wordt gesynchroniseerd. Deze wordt wel weergegeven in de profielen van hun directe rapporten.	Naam manager

Let op: De velden Divisie en Organisatie zijn standaard niet gekoppeld. Wil je deze velden gebruiken, voeg dan zelf een toewijzing toe. Volg hiervoor de instructies in de onderstaande sectie Toewijzing toevoegen voor aangepaste gebruikersvelden.

Standaard Microsoft Entra ID-kenmerk	KSAT-kenmerk	KSAT-veld
N.v.t.	N.v.t.	Tijdzone
N.v.t.	N.v.t.	Toestelnummer
N.v.t.	N.v.t.	Opmerking
N.v.t.	N.v.t.	Startdatum medewerker

Standaardtoewijzingen veranderen

Je kunt de standaardtoewijzingen aanpassen om te bepalen welke gebruikersgegevens worden gesynchroniseerd tussen Microsoft Entra en je KSAT-console.

Volg hiervoor onderstaande stappen:

Ga vanuit Microsoft Entra ID naar Ondernemingstoepassingen.
Selecteer de applicatie die je voor de KnowBe4-verbinding hebt gemaakt.
Selecteer in het linkermenu Inrichten.
Klik in het venster Inrichten onder Inrichting beheren op Kenmerktoewijzingen bewerken.
Klik op de pijl bij Toewijzingen om het tabbladToewijzingen uit te klappen.
Klik op Microsoft Entra ID-gebruikers inrichten.
Scrol naar beneden naar de sectie Kenmerktoewijzingen. Hier vind je een overzicht van alle kenmerktoewijzingen. De kolom Microsoft Entra ID-kenmerk toont welke gegevens uit Microsoft Entra worden gebruikt. De kolom KnowBe4-kenmerk toont de standaardnaam van dit SCIM-kenmerk.
Selecteer het kenmerk dat je wil aanpassen.
Klik dan in het zijpaneel op Kenmerk bewerken. In onderstaande lijst staan de beschikbare aanpassingsopties:
1. Toewijzingstype: selecteer Directe in het vervolgkeuzemenu.
2. Bron-kenmerk: selecteer het Microsoft Entra ID-kenmerk dat je aan dit aangepaste veld wil toewijzen.
  
  Let op: Gebruik je SSO (eenmalige aanmelding) met Microsoft Entra ID, zorg er dan voor dat dit kenmerk gelijk is aan het SSO-bron-kenmerk. Standaard is dat user.userprincipalname. Meer informatie vind je in de sectie De KnowBe4-applicatie toevoegen aan Microsoft Entra ID in het artikel SAML-eenmalige aanmelding (SSO) inschakelen met Microsoft Entra ID.
3. Standaardwaarde bij null: dit veld is optioneel en we raden aan het leeg te laten.
4. Doel-kenmerk: kies het aangepaste veld dat je aan het geselecteerde Microsoft Entra ID-veld wil koppelen.
5. Objecten koppelen op basis van dit kenmerk: we raden aan Nee te selecteren.
6. Deze toewijzing toepassen: we raden aan Altijd te selecteren.
  
  Let op: Wil je een kenmerk niet synchroniseren, klik dan op Verwijderen naast dat kenmerk. Hiermee verwijder je alleen de koppeling met het veld in je KSAT-console. Er worden geen gegevens uit Microsoft Entra ID verwijderd.
Nadat je alle gewenste veranderingen hebt gemaakt, klik je op OK.

Let op: We raden aan om alleen het veld Bron-kenmerk te wijzigen. Pas je andere instellingen van het kenmerk aan, dan kan dit de koppeling tussen Microsoft Entra en je KSAT-console verbreken.

Kenmerktoewijzingen toevoegen voor aangepaste gebruikersvelden

Je kunt ook maximaal zes aangepaste velden toevoegen. Deze zijn standaard niet toegewezen, maar zo voeg je ze aan Microsoft Entra toe:

Ga vanuit Microsoft Entra ID naar Ondernemingstoepassingen.
Selecteer de applicatie die je voor de KnowBe4-verbinding hebt gemaakt.
Selecteer in het linkermenu Inrichten.
Klik in het venster Inrichten onder Inrichting beheren op Kenmerktoewijzingen bewerken.
Klik op de pijl bij Toewijzingen om het tabbladToewijzingen uit te klappen.
Klik op Microsoft Entra ID-gebruikers inrichten.
Klik op Nieuwe toewijzing toevoegen onderaan de tabel.
Vanuit het venster Kenmerk bewerken selecteer je het gewenste bron-kenmerk.

Selecteer vervolgens het gewenste doel-kenmerk. We bieden de volgende aangepaste velden:

Let op: Gebruik exact dezelfde notatie van de ondersteunde talen, inclusief hoofdletters en kleine letters.

KSAT-veld	Doel-kenmerk
Aangepast veld 1	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1
Aangepast veld 2	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2
Aangepast veld 3	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3
Aangepast veld 4	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4
Aangepaste datum 1	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1 Belangrijk: De datums in dit veld moeten de ISO 8601-indeling gebruiken. De notatie is als volgt: YYYY-MM-DD “T” hh:mm:ssZ. Bijvoorbeeld: 2022-04-04T04:23:30Z.
Aangepaste datum 2	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2 Belangrijk: De datums in dit veld moeten de ISO 8601-indeling gebruiken. De notatie is als volgt: YYYY-MM-DD “T” hh:mm:ssZ. Bijvoorbeeld: 2022-04-04T04:23:30Z.
Divisie	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
Organisatie	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
Einde out-of-office	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:outOfOfficeEnd
Phishing-taal	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:phishingLanguage
Trainingstaal	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:trainingLanguage
Gebruikerstype	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userRole

Standaardkenmerk van Microsoft Entra ID	KSAT-kenmerk	KSAT-veld
physicalDeliveryOfficeName	addresses[type eq "work"].formatted	Locatie
telephoneNumber	phoneNumbers[type eq "work"].value	Telefoonnummer
mobile	phoneNumbers[type eq "mobile"].value	Mobiel telefoonnummer

Kenmerken die standaard in het schema worden weergegeven:

KSAT-veld	Doel-kenmerk
Bedrijfsnaam	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:companyName
Land	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:country
Type medewerker	userType
Hostnaam	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:hostname
Bijnaam voor e-mail	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:mailNickName
Lokale SAM-accountnaam	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSamAccountName
Lokale beveiligingsidentificatie	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSecurityIdentifier
Hoofdnaam van gebruiker	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userPrincipalName
Laatste wachtwoordwijziging	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:lastPasswordChangeDateTime Belangrijk: voor het veld Laatste wachtwoordwijziging moet het doel-kenmerk ingesteld staan op DateTime.

We bieden ook de volgende aangepaste velden aan voor het toewijzen van gebruikers in SecurityCoach:

Laat de overige instellingen op de standaardwaarden staan.
Herhaal stap 8 voor alle aangepaste velden die je in stap 7 hebt toegevoegd.
Klik bovenaan je scherm op Opslaan om alle wijzigingen te bewaren.

Deze aangepaste velden synchroniseren nu met je KSAT-console.

Veelgestelde vragen

Hieronder vind je veelgestelde vragen over hoe je SCIM met Microsoft Entra ID gebruikt.

Hoe vaak vinden synchronisaties plaats?

Elke 40 minuten controleert het systeem op wijzigingen in gebruikers en groepen in Microsoft Entra ID. Zijn er wijzigingen gedetecteerd, dan start een synchronisatie automatisch. Je kunt zelf ook op elk moment een synchronisatie starten. Klik hiervoor op Nu synchroniseren afdwingen in de sectie SCIM-instellingen in je KSAT-accountinstellingen.

Hoe herstel ik de standaardtoewijzingen?

Dat doe je zo:

Ga naar Ondernemingstoepassingen.
Selecteer de applicatie die je voor de KnowBe4-verbinding hebt gemaakt.
Selecteer in het linkermenu Inrichten.
Klik op Kenmerktoewijzingen aanpassen onder Inrichting beheren.
Klik op de pijl bij Toewijzingen om het vervolgkeuzemenu Toewijzingen te openen.
Selecteer Standaardtoewijzingen herstellen.
Klik bovenaan op Opslaan.

Hoe synchroniseer ik al mijn gebruikers en groepen?

Zo synchroniseer je alle gebruikers en groepen vanuit Microsoft Entra ID:

Open de applicatie die je hebt ingesteld voor je SCIM-verbinding.
Ga naar Inrichten.
Selecteer bovenin Inrichting bewerken of selecteer Bereikfilters toevoegen onder Inrichting beheren.
Klik op Instellingen.
Vanuit het vervolgkeuzemenu Bereik selecteer je Alle gebruikers en groepen synchroniseren.
Klik bovenaan op Opslaan.

Ik kan geen gebruikers via groepen aan een applicatie toewijzen. Hoe beperk ik welke gebruikers er naar mijn KSAT-console worden gesynchroniseerd?

Je kunt een bereikfilter instellen om te bepalen welke gebruikers worden gesynchroniseerd met je KSAT-console. Meer informatie over hoe je een bereikfilter maakt, vind je in het Microsoft-artikel Bereik van gebruikers of groepen die moeten worden ingericht met bereikfilters Bereik van gebruikers of groepen die moeten worden ingericht met bereikfilters (link wordt geopend in nieuw venster).

SCIM