Synchroniseren met Microsoft Entra ID
Dit artikel helpt u op weg met Directory Connector om gebruikers en groepen uit uw Microsoft Entra ID Directory te synchroniseren met uw Bitwarden-organisatie.
Voltooi de volgende processen vanuit de Microsoft Azure Portal voordat je Directory Connector configureert. Directory Connector heeft de informatie uit deze processen nodig om goed te kunnen functioneren.
Voer de volgende stappen uit om een app-registratie te maken voor Directory Connector:
Navigeer vanuit uw Microsoft Azure-portaal naar de Microsoft Entra ID-directory.
Selecteer App-registraties in de linkernavigatie.
Selecteer de knop Nieuwe registratie en geef uw registratie een Bitwarden-specifieke naam (zoals
bitwarden-dc).Selecteer register.
Voer de volgende stappen uit om de gemaakte app-registratie de vereiste machtigingen te geven:
Selecteer in de gemaakte Bitwarden-app API-rechten in de linker navigatie.
Selecteer de knop Toestemming toevoegen.
Wanneer je wordt gevraagd om een API te selecteren, selecteer je Microsoft Graph.
Stel de volgende gedelegeerde rechten in:
User > User.ReadBasic.All (Lees de basisprofielen van alle gebruikers)
User > User.Read.All (Lees het volledige profiel van alle gebruikers)
Groep > Groep.Read.All (Alle groepen lezen)
AdministrativeUnit > AdministrativeUnit.Read.All (alleen vereist als je Administratieve Eenheden gaat synchroniseren)
Stel de volgende toepassingsrechten in:
User > User.Read.All (Lees het volledige profiel van alle gebruikers)
Groep > Groep.Read.All (Alle groepen lezen)
AdministrativeUnit > Administrative.Unit.Read.All (alleen vereist als je Administratieve Eenheden gaat synchroniseren)
Selecteer op de pagina API-rechten de knop Toestemming verlenen voor....
Voer de volgende stappen uit om een geheime sleutel te maken voor gebruik door Directory Connector:
Op de gemaakte Bitwarden-app selecteert u Certificaten & geheimen in de linkernavigatie.
Selecteer de knop Nieuw cliëntgeheim en voeg een Bitwarden-specifieke beschrijving (zoals
bitwarden-dc-secret) en een vervaldatum toe. We raden aan Nooit te selecteren.Selecteer Opslaan als je klaar bent.
Kopieer de waarde van het geheim naar een veilige plaats voor later gebruik.
Voer de volgende stappen uit om de app ID te verkrijgen die moet worden gebruikt door Directory Connector:
In de gemaakte Bitwarden-app kiest u Overzicht in de linkernavigatie.
Kopieer de applicatie (client) ID naar een veilige plaats voor later gebruik.
Voer de volgende stappen uit om de hostnaam van de huurder te verkrijgen die moet worden gebruikt door Directory Connector:
Selecteer overal in het Azure-portaal het pictogram in de navigatiebalk rechtsboven.
Selecteer de knop Directory + subscription filter in het menu aan de linkerkant.
Kopieer de waarde Current directory: naar een veilige plaats voor later gebruik.
Voer de volgende stappen uit om Directory Connector te configureren voor het gebruik van Microsoft Entra ID. Als je dit nog niet hebt gedaan, volg dan de juiste stappen voor het instellen van de Microsoft Entra ID voordat je verder gaat:
Open de Directory Connector desktop app.
Navigeer naar het tabblad Instellingen.
Selecteer Azure Active Directory in de vervolgkeuzelijst Type.
De beschikbare velden in dit gedeelte veranderen afhankelijk van het geselecteerde type.
Voer de verzamelde tenant hostnaam, applicatie-iden geheime sleutel.
tip
When you are finished configuring, navigate to the More tab and select the Clear Sync Cache button to prevent potential conflicts with prior sync operations. For more information, see Clear Sync Cache.
Voer de volgende stappen uit om de instellingen te configureren die worden gebruikt bij het synchroniseren met Directory Connector:
Open de Directory Connector desktop app.
Navigeer naar het tabblad Instellingen.
Configureer de volgende opties naar wens in het gedeelte Sync:
Optie | Beschrijving |
|---|---|
Interval | Tijd tussen automatische synchronisatiecontroles (in minuten). |
Verwijder uitgeschakelde gebruikers tijdens synchronisatie | Vink dit vakje aan om gebruikers te verwijderen uit de Bitwarden-organisatie die zijn uitgeschakeld in uw directory. |
Bestaande organisatiegebruikers overschrijven op basis van huidige synchronisatie-instellingen | Vink dit vakje aan om altijd een volledige synchronisatie uit te voeren en gebruikers uit de Bitwarden-organisatie te verwijderen als ze niet in de gesynchroniseerde gebruikersset staan. |
Naar verwachting zullen meer dan 2000 gebruikers of groepen synchroniseren. | Vink dit vakje aan als je verwacht 2000+ gebruikers of groepen te synchroniseren. Als je dit vakje niet aanvinkt, zal Directory Connector een synchronisatie beperken tot 2000 gebruikers of groepen. |
Gebruikers synchroniseren | Vink dit vakje aan om gebruikers te synchroniseren met je organisatie. |
Gebruikersfilter | Zie Sync-filters opgeven. |
Groepen synchroniseren | Vink dit vakje aan om groepen te synchroniseren met je organisatie. Als je dit vakje aanvinkt, kun je Groepsfilters opgeven. |
Groepsfilter | Zie Sync-filters opgeven. |
Gebruik door komma's gescheiden lijsten om op te nemen in of uit te sluiten van een synchronisatie op basis van gebruikerse-mail, groepsnaam of groepslidmaatschap.
Gebruikersfilters
De volgende filtersyntaxis moet worden gebruikt in het veld Gebruikersfilter:
Gebruikers per e-mail insluiten/uitsluiten
Specifieke gebruikers in- of uitsluiten van een synchronisatie op basis van e-mailadres:
Bashinclude:joe@example.com,bill@example.com,tom@example.com
Bashexclude:jow@example.com,bill@example.com,tom@example.com
Gebruiker op groepslidmaatschap
Je kunt gebruikers in- of uitsluiten van een synchronisatie op basis van hun Microsoft Entra ID groepslidmaatschap met behulp van de trefwoorden includeGroup en excludeGroup. includeGroup en excludeGroup gebruiken Group Object ID, beschikbaar op de overzichtspagina van de groep in de Azure Portal of via de Azure AD Powershell:
BashincludeGroup:963b5acd-9540-446c-8e99-29d68fcba8eb,9d05a51c-f173-4087-9741-a7543b0fd3bc
BashexcludeGroup:963b5acd-9540-446c-8e99-29d68fcba8eb,9d05a51c-f173-4087-9741-a7543b0fd3bc
Filters groeperen
noot
Nested groups can sync multiple group objects with a single referent in the Directory Connector. Do this by creating an administrative unit with all of your groups listed.
De volgende filtersyntaxis moet worden gebruikt in het veld Groepsfilter:
Groepen insluiten/uitsluiten
Groepen in- of uitsluiten van een synchronisatie op basis van de groepsnaam:
Bashinclude:Group A,Group B
Bashexclude:Group A,Group B
Groepen per administratieve eenheid (AU)
Je kunt groepen in- of uitsluiten van een synchronisatie op basis van hun getagde Microsoft Entra ID Administratieve Eenheden door de trefwoorden includeadministrativeunit en excludeadministrativeunit te gebruiken. includeadministrativeunit en excludeadministrativeunit gebruiken de Object ID van de Administratieve Eenheid:
Bashincludeadministrativeunit:7ckcq6e5-d733-4b96-be17-5bad81fe679d
Bashexcludeadministrativeunit:7ckcq6e5-d733-4b96-be17-5bad81fe679d
tip
Before testing or executing a sync, check that Directory Connector is connected to the right cloud server (e.g. US or EU) or self-hosted server. Learn how to do so with the desktop app or CLI.
Om te testen of Directory Connector succesvol verbinding maakt met je directory en de gewenste gebruikers en groepen retourneert, navigeer je naar het tabblad Dashboard en selecteer je de knop Nu testen. Als dit lukt, worden gebruikers en groepen afgedrukt in het Directory Connector-venster volgens de opgegeven synchronisatieopties en filters.
Het kan tot 15 minuten duren voordat de machtigingen voor je applicatie goed zijn verspreid. In de tussentijd kunt u de foutmelding Onvoldoende rechten ontvangen om de bewerking uit te voeren.
noot
If you get the error message Resource <user id> does not exist or one of its queried reference-property objects are not present, you'll need to permanently delete or restore the user(s) with <user id>. Please note, this was fixed in a recent version of Directory Connector. Update your application if you're still experiencing this error.
Zodra de synchronisatieopties en filters geconfigureerd en getest zijn, kun je beginnen met synchroniseren. Voer de volgende stappen uit om de automatische synchronisatie met Directory Connector te starten:
Open de Directory Connector desktop app.
Navigeer naar het tabblad Dashboard.
Selecteer in het gedeelte Synchronisatie de knop Synchronisatie starten.
U kunt ook de knop Nu synchroniseren selecteren om een eenmalige handmatige synchronisatie uit te voeren.
Directory Connector begint met het controleren van je directory op basis van de geconfigureerde synchronisatieopties en filters.
Als je de toepassing afsluit of sluit, stopt de automatische synchronisatie. Als je Directory Connector op de achtergrond wilt laten draaien, minimaliseer je de toepassing of verberg je deze in het systeemvak.
noot
Als je het Teams Starter-plan gebruikt, ben je beperkt tot 10 leden. Directory Connector geeft een fout weer en stopt met synchroniseren als je meer dan 10 leden probeert te synchroniseren.