Webhooks: Benutzerbereitstellung für Entra ID

Dieser Artikel beschreibt unsere einseitige Verbindung von Leapsome zu Microsoft Entra ID für die Accountbereitstellung.

Die Accountbereitstellung von Leapsome zu Entra ID erfordert Mitarbeitenden-Attribute, die nur in Leapsome HRIS-Accounts verfügbar sind. Wenn du Leapsome HRIS nicht nutzt, beachte bitte, dass es Einschränkungen geben kann.

Es ist möglich:

• Eine Verbindung zwischen Leapsome und einem Microsoft Entra ID-Tenant zu authentifizieren, wobei unser Partner Kombo die Authentifizierung verwaltet.
• Zu definieren, wie Leapsome-Mitarbeitendeneigenschaften sowohl mit Standard- als auch mit Erweiterungseigenschaften in Entra ID verknüpft werden.
• Einen Leapsome-Workflow zu erstellen, der durch Ereignisse wie Aktualisierungen von Eigenschaften ausgelöst wird und Mitarbeitende im verbundenen Entra ID-Tenant erstellt oder aktualisiert.

Authentifizierung

Derzeit wird die Authentifizierung über einen Service-Account unterstützt, was bedeutet, dass alle Aktionen von Leapsome unter den Anmeldedaten und Berechtigungen dieses Service-Accounts ausgeführt werden.

Die folgenden Graph API-Endpunkte werden aufgerufen – entweder indirekt über Kombo oder direkt über Kombos Passthrough-API. Der Service-Account benötigt die angegebenen Berechtigungen, um die Aufrufe auszuführen.

• Für das Erstellen von Accounts: User.ReadWrite.All, Directory.ReadWrite.All
• Für das Aktualisieren von Accounts: User.ManageIdentities.All, User.EnableDisableAccount.All, User.ReadWrite.All, Directory.ReadWrite.All
• Für das Lesen von Accounts: User.ReadBasic.All, User.Read.All, User.ReadWrite.All, Directory.Read.All, Directory.ReadWrite.All

Datenformatierung

Leapsome-Eigenschaften werden ohne jegliche Formatierung oder Verarbeitung direkt an den Entra ID-Tenant übermittelt. Jegliche erforderliche Verarbeitung muss extern im System des Kunden erfolgen.

Es gibt eine feste Zuordnung zwischen dem Lebenszyklusstatus der Leapsome-Mitarbeitenden und dem Aktivierungs-/Deaktivierungsstatus des Kontos in Entra ID.

Accounts werden in Entra ID mit den folgenden Lebenszyklusstatus als aktiv erstellt/aktualisiert:

• Aktiv
• Offboarding

Accounts werden in Entra ID mit den folgenden Lebenszyklusstatus als deaktiviert erstellt/aktualisiert:

• Eingestellt
• Freistellung
• Beendet
• Deaktiviert
• Kein Status festgelegt / jeder andere Status

Weitere Hinweise

• Das Leapsome-Benutzernamenfeld (E-Mail-Adresse) wird als anfänglicher Identifikator für Accounts in Entra ID verwendet.
  • Wenn ein Account noch nie von Leapsome zu Entra ID synchronisiert wurde, wird der Benutzername verwendet, um den Account mithilfe des Entra ID User principal name zu suchen.
  • Wenn kein passender Account gefunden wird, wird ein neuer Account in Entra ID erstellt.
  • Nach dieser ersten Synchronisierung wird die eindeutige Benutzerobjekt-ID von Entra ID zur Identifizierung des Accounts verwendet, was bedeutet, dass die Synchronisierung zwischen Leapsome und Entra ID fortgesetzt wird, selbst wenn sich der User principal name ändert.
• Accounts können nur dann mit Entra ID synchronisiert werden, wenn ihre E-Mail-Domain den vom Entra ID-Tenant unterstützten Domains entspricht. Synchronisierungen schlagen bei nicht übereinstimmenden Domains fehl.
• Es werden nur einwertige Erweiterungseigenschaften (mit isMultiValued:false) unterstützt. Die Synchronisierung von Array-Erweiterungseigenschaften schlägt fehl.
• Neu erstellte Accounts werden mit einem zufällig generierten 12-stelligen Einmalpasswort erstellt, das mindestens einen Kleinbuchstaben, Großbuchstaben, eine Zahl und ein Symbol enthält. Diese Passwörter werden von Leapsome weder gespeichert noch verteilt. Der Besitzer des Entra ID-Tenants muss die Passwörter zurücksetzen und neue Einmalpasswörter an die Accounts verteilen.
• Obwohl wir Fehlerbehandlungen für häufige Probleme implementiert haben, können die nachgelagerten APIs vage oder schlecht dokumentierte Fehler zurückgeben. Wenn du generische Meldungen wie „Fehler beim Erstellen/Aktualisieren des Accounts“, „Fehler beim Abrufen des Accounts“ oder „Fehler beim Erstellen des Accounts“ siehst, kontaktiere uns bitte, um die Fehlerbehandlung zu verbessern.
• Derzeit synchronisieren Leapsome-Attribute, die auf andere Leapsome-Entitäten verweisen (z. B. Primäre Führungskraft, die auf eine andere Person verweist), nur die Leapsome-ID dieser Entität und nicht deren Eigenschaften (z. B. Name). Dies könnte in zukünftigen Versionen überarbeitet werden.

Einrichten der Verbindung zwischen Leapsome und Entra ID

Als Administrator gehst du zu 'Admin-Einstellungen' → 'Integrationen und Importe' → 'HRIS-Integrationen' → 'Ausgehende Bereitstellung' → Microsoft Entra ID (früher Azure Active Directory). Das folgende Modal wird geöffnet:

Klicke auf „Verbindung autorisieren“. Dadurch wird das Authentifizierungsfenster von Kombo geöffnet, in dem die erforderlichen Berechtigungen aufgelistet sind. Anschließend kannst du dich mit deinem Service-Account anmelden.

Melde dich mit deinem Service-Account an. Du siehst dann ein Modal, in dem du die Zuordnung von Leapsome-Feldern zu den Standard- und benutzerdefinierten Feldern in Entra ID konfigurieren kannst.

Hinweis: Die Felder first_name und last_name sind erforderlich und feste Werte, um Accounts zu erstellen. Es wird empfohlen, diese mit den Leapsome-Feldern Vorname und Nachname zu verknüpfen, obwohl du bei abweichender Konfiguration auch andere Felder auswählen kannst.

• Konfiguriere die anderen Attributzuordnungen nach Bedarf.
• Aktiviere die Integration.
• Aktualisiere die Integrationseinstellungen.

Konfigurieren des Workflows zur Übertragung von Account-Daten von Leapsome zu Entra ID

Als Nächstes musst du einen Workflow konfigurieren, der ausgelöst wird, wenn eines dieser Attribute aktualisiert wird, sodass Änderungen an diesen Attributen an Entra ID übertragen werden.

Dazu geht ein Administrator zu 'Admin-Einstellungen' → 'Automatisierungen' → 'Workflows' → 'Neuer Workflow'.

Konfiguriere den Workflow so, dass er bei Mitarbeitenden-Update-Ereignissen ausgelöst wird, und lege die beobachteten Attribute als Attribute fest, bei denen Änderungen überwacht werden sollen.

Erstelle einen Schritt mit „Benutzer in Entra ID erstellen oder aktualisieren“ als Art des Schrittes, der sofort beim Trigger-Ereignis „Mitarbeitende aktualisiert“ ausgeführt wird.

Erstmalige Synchronisierung aller Accounts auslösen

Wir möchten dann möglicherweise alle Accounts an Entra ID übertragen, damit sie sofort bereitgestellt werden, anstatt darauf zu warten, dass ein Update den Sync auslöst. Dies kann ein Admin über die Mitarbeitenden-Liste durchführen, indem alle Accounts ausgewählt und im erstellten Workflow angemeldet werden.

Anzeigen des Synchronisierungsergebnisses eines Accounts

Immer wenn der Workflow für einen Account ausgelöst wird – wenn eine der beobachteten Eigenschaften aktualisiert wird – wird dieser Account im Workflow angemeldet.

Du kannst den Status dieser Anmeldung auf der Workflows-Detailseite als Administrator oder im Profil des Accounts auf der Registerkarte Workflows einsehen.

Wenn die Synchronisierung fehlschlägt, wird der Workflow „Blockiert“ und du kannst Änderungen am Account, an den Integrationseinstellungen oder am Entra ID-Tenant vornehmen und dann den Workflow-Schritt „Erneut versuchen“.