Naar de hoofdinhoud

Problemen met SCIM oplossen

Inleiding

Lees dit artikel als je problemen ondervindt met geautomatiseerde gebruikersvoorziening via de SCIM API.

Voordat je dit artikel verder leest, lees het introductieartikel voor de vereisten, beperkingen en benodigdheden.

Testverbinding mislukt

Wanneer u de verbinding test tijdens de initiële SCIM-configuratie (zie

configuratiestap 13), zal de Microsoft Entra ID (voorheen Azure AD) SCIM Client proberen te verbinden met de opgegeven URL en toegangstoken en het resultaat melden met een melding.

Als je een foutmelding ontvangt bij het testen van de verbinding, controleer dan of de sleutel geldig is en/of zorg ervoor dat SCIM is ingeschakeld op de beheerinstellingenpagina van de Workspace. Probeer het daarna opnieuw.

Over verwijderde gebruikers en/of groepen

Zoals vermeld in Geautomatiseerde gebruikersvoorziening via SCIM API:

  • Als je een gebruiker hard verwijdert in Microsoft Entra ID, zal deze gebruiker ook permanent worden verwijderd in Workspace.

  • Als je een gebruiker soft verwijdert in Microsoft Entra ID, zal deze gebruiker worden weergegeven in de lijst met verwijderde gebruikers in Workspace.

  • Verwijderde groepen uit de SCIM-clientgebruikersscope moeten handmatig worden verwijderd in Workspace, of permanent worden verwijderd uit het Microsoft Entra ID.

Onze aanbeveling is om gebruikers en/of groepen te beheren vanuit Microsoft Entra ID.

Als je het verwijderen vanuit Workspace handmatig moet doen, moet je eerst de synchronisatie stoppen vanaf de pagina Gebruikersvoorziening (vinkje uit "Sunchronisatie inschakelen met SCIM"- opslaan). Zie de stappen hieronder in de paragraaf 'Gebruiker niet verwijderd uit Workspace'.

Gebruiker niet verwijderd uit Workspace

Wanneer een gebruiker niet wordt verwijderd uit de Workspace door de SCIM-voorziening, kun je de gebruiker handmatig verwijderen als tijdelijke oplossing. Volg de onderstaande stappen om dit te doen:

De onderstaande stappen moeten alleen als tijdelijke oplossing worden toegepast in situaties waarin gebruikers niet door SCIM worden verwijderd wanneer dat wel zou moeten. Gebruik deze stappen niet standaard, omdat dit problemen kan veroorzaken met de SCIM-synchronisatie.

  1. Ga naar de SCIM-applicatie in Microsoft Entra ID, navigeer naar Provisioning en klik op Provisioning stoppen.

  2. Log in op de Workspace als beheerder, navigeer naar Instellingen > Gebruikers & groepen > Gebruikersvoorziening.

  3. Haal het vinkje weg bij Synchronisatie inschakelen met SCIM en klik op Opslaan in de rechterbovenhoek. Verander niets in de andere instellingen.

  4. Ga naar Gebruikersbeheer en verwijder de gebruiker uit de Workspace.

  5. Keer terug naar Gebruikersprovisioning en vink Synchronisatie inschakelen met SCIM weer aan, klik op Opslaan in de rechterbovenhoek.

  6. Ga terug naar de Provisioningpage van de SCIM-applicatie in Microsoft Entra ID en klik op Provisioning starten om SCIM opnieuw te starten.

In Entra verwijderd telefoonnummer blijft staan in Workspace 365

Als je het veld 'Mobile Phone' van een gebruiker leegmaakt in Entra ID, blijft het telefoonnummer toch in Workspace 365 staan. Dit is een bekende beperking van Entra/de SCIM-tool.

Workaround:

  • In het veld 'Mobile Phone', vul een waarde in, bijvoorbeeld een '-'. Die waarde wordt dan gesynchroniseerd.

  • Zet de synchronisatie tijdelijk uit (zie stappenplan in voorgaande paragraaf 'Gebruiker niet verwijderd uit Workspace') en laat de gebruiker handmatig zijn telefoonnummer verwijderen. NB: niet vergeten na afloop de synchronisatie weer aan te zetten.

Error 500

Error500SCIM.png

Deze fout kan optreden wanneer je SCIM voor het eerst activeert en een gebruiker een andere UPN in Azure AD heeft dan in Workspace. In dit geval moet je de gebruiker handmatig uit Workspace verwijderen voordat je de gebruiker opnieuw synchroniseert.

Volg hiervoor deze stappen:

  1. Ga naar de SCIM Enterprise-applicatie in Microsoft Entra ID en stop de synchronisatie tijdelijk.

  2. Log in op de Workspace als beheerder en navigeer naar Instellingen > Gebruikers & groepen > Gebruikersprovisioning.

  3. Verwijder het vinkje bij "Synchronisatie inschakelen met SCIM" en klik op "Opslaan".

  4. Ga naar Gebruikersbeheer.

  5. Selecteer de gebruiker en klik op "Verwijderen".

  6. Ga naar Verwijderde gebruikers.

  7. Selecteer de gebruiker en verwijder het account permanent uit Workspace.

  8. Ga terug naar Gebruikersprovisioning.

  9. Vink "Synchronisatie inschakelen met SCIM" opnieuw aan en klik op "Opslaan".

  10. Start in Microsoft Entra ID de SCIM Enterprise-applicatie opnieuw.

  11. Klik op "Provision on demand".

  12. Voer de naam van de gebruiker in en klik op "Provision".

  13. De gebruiker zou nu opnieuw aan Workspace moeten worden toegevoegd met de juiste informatie.

Probleem met gebruikersbereik (workaround)

Volg de onderstaande instructies als:​

  • je niet in staat bent om het bereik van gebruikers en/of groepen te beperken die je wilt synchroniseren met Workspace 365, vanwege een foutmelding in Microsoft Entra ID: "We encountered an error while updating provisioning configuration".

  • na het wijzigen van het gebruikersbereik van 'alle' naar 'toegewezen', geselecteerde gebruikers en/of groepen niet worden verwijderd uit Workspace zoals verwacht.

  • je alle andere mogelijkheden goed hebt onderzocht.

Stap 1. Stop geautomatiseerde gebruikersvoorziening via SCIM

  • Ga naar de SCIM Enterprise-applicatie in Microsoft Entra ID.

  • Navigeer naar het tabblad Provisioning.

  • Klik op Provisioning stoppen.

Stap 2. Wijzig de gebruikersvoorzieningsmethode naar Azure AD-sync

  • Ga in Workspace naar Gebruikers & groepen.

  • Selecteer GebruikersProvisioning.

  • Wijzig de GebruikersProvisioning naar Azure Active Directory (AD)-sync.

  • Klik op Opslaan.

  • Er verschijnt een dialoogvenster. Kopieer de API-sleutel. Deze sleutel wordt slechts één keer weergegeven.

Stap 3. Configureer de Azure AD synctool om alleen geselecteerde groepen en/of domeinen naar Workspace te synchroniseren

Als je de Azure AD synctool nog niet eerder hebt gebruikt, klik dan hier voor instructies. En zo ja, dan hoef je de cache niet te wissen.

  • Plak in de configuratie-UI van de Azure AD synctool de API-sleutel onder Sync API authenticatietoken verzameld van stap 2.5.

  • Klik op Opslaan.

  • Wis de cache van de synctool. Voor verdere instructies over het wissen van de cache, klik hier.

  • Zorg ervoor dat domein- en groepsfiltering is uitgeschakeld door deze filteropties uit te vinken.

  • Start de Windows-service van de synctool om een volledige synchronisatie te starten en wacht tot deze is voltooid.

  • Na het voltooien van de synchronisatie kun je groeps-/domeinfiltering inschakelen.

  • Start de synchronisatie. Nu worden alleen geselecteerde groepen en/of domeinen gesynchroniseerd met Workspace.

  • Je kunt nu de Windows-service van de synctool stoppen wanneer de synchronisatie is voltooid.

Stap 4. Schakel terug naar geautomatiseerde gebruikersvoorziening via SCIM

  • Wijzig vanuit de Workspace-instellingenpagina de voorzieningsmethode terug naar Geautomatiseerde gebruikersvoorziening (SCIM).

  • Klik op Opslaan.

  • Er verschijnt een dialoogvenster. Kopieer de API-sleutel. Deze sleutel wordt slechts één keer weergegeven.

Stap 5. Start gebruikersvoorziening via SCIM

  • Ga in Azure terug naar het tabblad Provisioning van de SCIM Enterprise-applicatie.

  • Selecteer Provisioning bewerken.

  • Open Beheerdersreferenties.

  • Plak de API-sleutel die u hebt gekopieerd van stap 4.3 onder Secret token.

  • Wijzig het bereik van 'alle' naar 'toegewezen' gebruikers en groepen onder instellingen.

  • Klik op Opslaan.

  • Ga terug naar het tabblad Gebruikers en groepen.

  • Zorg ervoor dat u dezelfde gebruikers en groepen synchroniseert met Workspace zoals in stap 3.6.

  • Klik op Provisioning starten vanaf het tabblad Provisioning.

Je hebt nu met succes het bereik van gebruikers en/of groepen die je synchroniseert met Workspace 365 beperkt. Voortaan kun je gebruikers en/of groepen toevoegen of verwijderen uit het SCIM-gebruikersbereik via de scope.

Regenerate API key (secret token)

Als je de SCIM API-sleutel opnieuw moet genereren, volgt u deze stappen:

  1. Ga in Workspace naar de beheerinstellingenpagina.

  2. Ga naar Gebruikers & groepen.

  3. Selecteer Gebruikersvoorziening.

  4. Klik op Opnieuw genereren om een nieuwe SCIM API-sleutel te maken.

  5. Bevestig door op Opnieuw genereren te klikken.

  6. Kopieer de nieuw gegenereerde API-sleutel. Deze sleutel wordt slechts één keer weergegeven. Zorg ervoor dat je deze sleutel opslaat of noteert.

  7. Klik op "Opslaan".

  8. Ga in Azure naar de SCIM Enterprise-applicatie.

  9. Selecteer het tabblad Provisioning.

  10. Klik op Provisioning bewerken.

  11. Open Beheerdersreferenties.

  12. Vul onder Secret token de API-sleutel in die je hebt gekopieerd uit stap 6.

  13. Je kunt de verbinding testen.

  14. Klik op Opslaan nadat de verbinding succesvol is getest.

    secret_token.png
Gerelateerde artikelen
Geautomatiseerde gebruikersvoorziening via SCIM
Azure SCIM client setup
Over domein- of tenantmigraties in Microsoft Entra ID of Workspace 365
Problemen met gebruikersbeheer oplossen
Problemen oplossen met de Azure AD-synchronisatietool
Was dit een antwoord op uw vraag?