PowerDMARC unterstützt nun die Zuordnung von Domänengruppen über SCIM, sodass Sie direkt über Ihren Identitätsanbieter steuern können, zu welchen Domänengruppen ein Benutzer gehört. In dieser Anleitung erfahren Sie, wie Sie die Zuordnung von Domänengruppen in Azure Entra ID konfigurieren, damit die Gruppenzuordnungen bei der Benutzerbereitstellung und bei Aktualisierungen automatisch mit PowerDMARC synchronisiert werden.
Schritt 1: Das Attribut „Benutzerdefinierte Domänengruppen“ hinzufügen
- Gehen Sie im Azure-Portal zu „Startseite > Unternehmensanwendungen“ und öffnen Sie Ihre PowerDMARC-Anwendung.
- Klicken Sie im linken Bereich auf „Provisioning “ und anschließend auf „Attributzuordnung“.
- Klicken Sie auf den Link „Microsoft Entra ID-Benutzer bereitstellen “.
- Aktivieren Sie unten auf der Seite das Kontrollkästchen „Erweiterte Optionen anzeigen “ und klicken Sie dann auf den Link „Attributliste für customappsso bearbeiten “.
- Scrollen Sie zum Ende der Attributliste, geben Sie den folgenden Wert in die erste leere Spalte ein und klicken Sie auf „Speichern“:
urn:ietf:params:scim:schemas:extension:custom:2.0:User:domainGroups
Schritt 2: Ordnen Sie das Attribut einem Quellfeld zu
- Nach dem Speichern gelangen Sie zurück zur Seite „Attributzuordnung“. Klicken Sie auf den Link „Neue Zuordnung hinzufügen “.
- In der Attribut bearbeiten Konfigurieren Sie die Zuordnung wie folgt:
- Zielattribut:
urn:ietf:params:scim:schemas:extension:custom:2.0:User:domainGroups - Quellattribut: Wählen Sie ein beliebiges Feld vom Typ „Zeichenkette“ aus, in das Sie Werte für die Domänengruppe eingeben möchten – zum Beispiel „Abteilung“.
- Zielattribut:
Domänengruppen einem Benutzer zuweisen
Je nachdem, welches Quellattribut Sie ausgewählt haben, gibt es zwei Möglichkeiten, Domänengruppen zuzuweisen:
über ein Standardbenutzerattribut (z. B. Abteilung)
- Navigieren Sie im Azure-Portal zu „Startseite“ > „Benutzer“ und klicken Sie auf den Benutzer, den Sie aktualisieren möchten.
- Klicken Sie auf die Schaltfläche „Eigenschaften bearbeiten “.
- Suchen Sie das Feld, das Sie als Quellattribut ausgewählt haben, und geben Sie die Domänengruppen durch Kommas getrennt ein – zum Beispiel:
Gruppe 1, Gruppe 2.
Gruppe 1, Gruppe 2 nicht Gruppe 1, Gruppe 2.Über ein Erweiterungsattribut (extensionAttribute1–15)
Wenn Sie eine der Erweiterungsattribut 1–15 Felder als Quellattribut verwenden, aktualisieren Sie diese über die Azure Graph-API. Die erforderliche Berechtigung lautet User.ReadWrite.All.
In diesem Beispiel wird „extensionAttribute1“ als Quellattribut verwendet:
PATCH https://graph.microsoft.com/v1.0/users/{user-id}
{ "onPremisesExtensionAttributes": { "extensionAttribute1": "Group1,Group2" } }
Alle Domänengruppen von einem Benutzer entfernen
PowerDMARC führt keine Aktion aus, wenn der Wert für die Domain-Gruppen leer ist. Wenn Sie alle einem Benutzer zugewiesenen Domain-Gruppen entfernen möchten, setzen Sie den Wert auf -1 anstatt es leer zu lassen. Dies gilt sowohl für das Standardfeld für Benutzerattribute als auch für den Anfragetext der Azure Graph-API.
-1 Dies ist die richtige Vorgehensweise, um alle Domänengruppen vollständig von einem Benutzer zu entfernen. Ein leeres Feld wird von PowerDMARC ignoriert.