Nach der Einrichtung von SSO (Single Sign-on) kannst du Udemy für die SCIM 2.0-Bereitstellung (System for Cross-domain Identity Management) in Entra ID (früher bekannt als „Azure AD“) mit Udemy Business konfigurieren.
Dank der Bereitstellung von SCIM kannst du in Entra ID Bereitstellungen durchführen und aufheben, Gruppen erstellen, Gruppenmitgliedschaften und Lizenzen verwalten und Nutzerprofilangaben wie Name und E-Mail-Adresse ändern, wobei Udemy Business automatisch aktualisiert wird. Du brauchst diese Vorgänge dann nicht mehr einzeln in Entra ID und Udemy Business durchzuführen, da alles von Entra ID synchronisiert wird.
Wichtiger Hinweis:
- Vor der SCIM-Aktivierung muss erst SSO aktiviert werden.
- SSO und Bereitstellung sind für Udemy Business-Kund:innen mit einem Enterprise-Abo verfügbar.
- Über Entra ID bereitgestellte Nutzer:innen nehmen erst dann eine Lizenz in Anspruch, wenn sie sich zum ersten Mal bei der Udemy Business-App anmelden.
- Änderungen an der SCIM-Aktivierung können nur von Entra ID aus nach Udemy Business synchronisiert werden, die umgekehrte Richtung ist nicht möglich.
- Mit SCIM in Entra ID verwaltete Nutzer:innen und Gruppen können in der Udemy Business-App nicht verändert werden. Alle Nutzer- und Gruppendaten stammen immer von SCIM und sind nur dort änderbar.
- Du kannst aber weiterhin Gruppen manuell in Udemy Business anlegen, wenn du Nutzer:innen hast, die du nicht von Entra ID übertragen musst oder möchtest, z. B. befristete Mitarbeiter:innen oder Aushilfen.
- Hinweis: SCIM-API-Token für Udemy Business sind etwa zwei Jahre lang gültig. Administrator:innen erhalten eine Benachrichtigung über Folgendes:
- 30 Tage vor Ablauf des Token
- nach Ablauf des Token
Inhalt
SCIM-Bereitstellung mit Entra ID konfigurieren
1. Navigiere in deinem Udemy Business-Konto zu Verwalten > Einstellungen > Bereitstellung (SCIM).
2. Klicke auf Einrichtung beginnen, wähle deinen Identitätsanbieter aus und befolge die Anleitung zum Erzeugen des geheimen Tokens (der „Bearer-Token“), den du anschließend in Entra ID eingeben musst.
3. Rufe dein Entra ID-Konto auf, navigiere dort zu deiner Udemy Business-SSO-App und führe die folgenden Schritte zur Einrichtung durch. Microsoft bietet auch eine Konfigurationsanleitung zur SCIM-Bereitstellung mit Entra ID, in der du weitere Einzelheiten findest.
Wähle im Azure-Portal den Tab Provisioning (Bereitstellung) aus.
Hinweis: „udemyazure“ ist ein Testname, den wir in den folgenden Screenshots verwendet haben, um die SCIM-Konfiguration zu veranschaulichen. Nutze bei der Konfiguration deiner eigenen Instanz die App, die von deinem Team benannt wurde.
4. Wähle im Feld Provisioning Mode (Bereitstellungsmodus) die Option Automatic (Automatisch) aus.
5. Im Abschnitt Admin Credentials (Administratoranmeldeinformationen):
Die Tenant URL (Mandanten-URL) lautet: https://deinedomain.udemy.com/scim/v2 („deinedomain“ steht hier für die URL deines Udemy Business-Kontos).
Secret Token (Geheimer Token): Dies ist ein sogenannter Bearer-Token, den du in deinem Udemy Business-Konto erzeugen oder einsehen kannst.
- Den geheimen Token kannst du unter Verwalten > Einstellungen > Nutzerzugriff abrufen.
6. Klicke auf Test Connection (Verbindung testen), um zu prüfen, ob es funktioniert.
7. (Optional) Gib eine E-Mail-Adresse ein, wenn du dich von Azure per E-Mail über Fehler benachrichtigen lassen möchtest.
8. In Mappings (Zuordnungen):
Gehe zu Bereitstellung Microsoft Entra ID-Benutzer:
Du solltest nun die Liste der Attributzuordnungen sehen.
Unterstützte Attribute
Vergewissere dich, dass die erforderlichen Attribute unten in den Attributen „customappsso“ hinzugefügt wurden, da diese Felder für die SCIM-Bereitstellung in Udemy benötigt werden.
| SCIM-Attribut | Erforderlich? | Beschreibung |
emails[type eq "work"].value |
Ja | E-Mail-Adresse des:der Nutzers:Nutzerin. Muss eindeutig sein. |
userName |
Ja | Der userName vom Identitätsanbieter. Muss eindeutig sein. |
aktiv |
Ja | Flag setzen, um Nutzer:innen zu deaktivieren/reaktivieren |
externalId |
Ja | Die externalId des Nutzers bzw. der Nutzerin vom Identitätsanbieter. Muss eindeutig sein. |
urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:employeeNumber |
Ja | Gibt das Feld „employeeNumber“ aus „EnterpriseSchema“ zurück und speichert es als Feld „external_id“. Muss dem Attribut entsprechen, das an „externalId“ gesendet werden soll. |
name.givenName |
Nein | Der Vorname des:der Nutzers:Nutzerin. Diese Attribute sind zwar nicht obligatorisch, wir empfehlen die Angabe aber trotzdem, weil es die Identifizierung der Nutzer:innen erleichtert. |
name.familyName |
Nein | Der Nachname (Familienname) des:der Nutzers:Nutzerin. Diese Attribute sind zwar nicht obligatorisch, wir empfehlen die Angabe aber trotzdem, weil es die Identifizierung der Nutzer:innen erleichtert. |
name, { givenName, familyName } |
Nein | Vor- und Nachname des Nutzers bzw. der Nutzerin. Diese Attribute sind zwar nicht obligatorisch, wir empfehlen die Angabe aber trotzdem, weil es die Identifizierung der Nutzer:innen erleichtert. |
Titel |
Nein | Stellenbezeichnung des:der Nutzers:Nutzerin, z. B. „Senior Engineer“. |
urn:ietf:params:scim:schemas:extension: udemy:2.0:User:licensePoolName |
Nein | Die Lizenzpool-Bezeichnung. |
urn:ietf:params:scim:schemas:extension: udemy:2.0:User:licenseTypes |
Nein |
Eine Liste von Lizenztypen, die durch Kommas getrennt sind. Zulässige Werte:
|
Stelle sicher, dass das Microsoft Entra ID-Attribut für emails[type eq "work"].value mit dem Wert übereinstimmt, den du in deinem SSO-E-Mail-Attribut und den Claims (Attribute and Claims) konfiguriert hast. (also mail oder userPrincipalName)
Vergewissere dich, dass das Attribut Switch([IsSoftDeleted], , "False", "True", "True", "False") zu active zugeordnet ist (dies ermöglicht es, die Deaktivierung von Nutzer:innen zu übergeben).
Wenn du die Attribute hinzugefügt hast, aktualisiere die Matching precedence (Matching-Prioritä), sodass emails[typ eq "work"].valueden Wert 1. erhält.
Du musst möglicherweise uderName auf 2 oder 3 setzen.
9. Scrolle in User Attributes Mapping (Nutzerattributzuordnung) ganz nach unten und aktiviere Show advanced options (Erweiterte Optionen anzeigen). Wähle Edit attribute list for customappsso (Attributliste für customappsso bearbeiten) und aktiviere Exact case (Groß-/Kleinschreibung beachten) für id und userName.
10. Gehe zum Haupt-Einstellungsbildschirm für die Bereitstellung zurück:
11. Wähle im Feld Scope (Geltungsbereich) aus, wie die Nutzer:innen und Gruppen synchronisiert werden sollen.
Wähle Sync only users and groups who are assigned the Udemy Business app (Nur Nutzer:innen und Gruppen synchronisieren, die der Udemy Business-App zugewiesen sind), wenn du den Zugriff auf bestimmte Mitarbeiter:innen oder Abteilungen beschränken willst. Wenn alle Mitarbeiter:innen Zugriff haben sollen, wählst du Sync all users and groups (Alle Nutzer:innen und Gruppen synchronisieren).
So kannst du weiteren Nutzer:innen und Gruppen Zugriff auf Udemy Business bereitstellen:
12. Klicke auf Users and groups (Nutzer:innen und Gruppen).
13. Klicke auf Add User (Nutzer:in hinzufügen). Du kannst dann sowohl Nutzer:innen als auch Gruppen hinzufügen.
Wähle alle Nutzer:innen oder Gruppen aus, die du der Anwendung hinzufügen möchtest, und klicke dann auf Select (Auswählen).
Problembehebung
In Bezug auf Zuordnungen:
Falls bei der Bereitstellung dieser Fehler auftritt:
{"schemas":["urn:ietf:params:scim:api:messages:2.0:Error"],"status":400,"detail":"{'emails': ['This field is required.']}"}
In diesem Fall musst du die Zuordnung des bzw. der Nutzer:in ändern.
emails[type eq "work"].value muss zu userPrincipalName zugeordnet werden, sofern sich die E-Mail-Adresse in userPrincipalName befindet.
Du kannst im Nutzerprofil nachsehen, in welchem Feld sich die E-Mail-Adresse befindet.
Falls bei der Nutzerbereitstellung Fehler auftreten, kannst du den Bereitstellungsprotokollen weitere Einzelheiten entnehmen.
- Zum Einsehen dieser Protokolle gehst du in Azure unter „Provisioning (Bereitstellung) > Provisioning Logs (Bereitstellungsprotokolle) > Search for the affected user (Betroffene:n Nutzer:in suchen) > Troubleshooting & Recommendations (Fehlerbehebung & Empfehlungen)“ zur Udemy-App.
- Falls du ein Support-Ticket eröffnen musst, sende bitte einen Screenshot der Azure-Bereitstellungsprotokolle mit, damit wir die Fehlerursache ermitteln können.