Suche

Benutzerdefinierte SAML SCIM-Konfigurationsanleitung über Entra ID

Eine benutzerdefinierte SAML-Anwendung, die in Microsoft Entra ID erstellt wurde, früher bekannt als Azure, bietet eingeschränkte automatische Bereitstellung, einschließlich der Erstellung und Entfernung von Benutzern.

Was du wissen musst

  • Bevor du die Bereitstellung einrichten kannst, musst du benutzerdefiniertes SAML für deinen Workspace aktiviert haben.
  • Nur Entra ID-Administratoren können Entra ID SCIM konfigurieren.

Microsoft Entra ID benutzerdefinierte SAML-Anwendung einstellen

So richten Sie die benutzerdefinierte SAML-Anwendung ein:

  1. Erstelle eine neue benutzerdefinierte SAML-Anwendung in Microsoft Entra ID.

    Dies ist nicht die offizielle ClickUp Microsoft Entra ID Gallery-Anwendung ClickUp Produktivitätsplattform.

    Screenshot von jemandem, der eine neue benutzerdefinierte SAML App in Microsoft Entra ID einstellt.

  2. In ClickUp, klicke in der oberen linken Ecke auf deinen Workspace-Avatar. 
  3. Wähle Einstellungen.
  4. Klicke in der Seitenleiste „Alle Einstellungen“ auf Sicherheit & Berechtigungen.
  5. Im Abschnitt Single Sign-On (SSO) wählst du SAML aus.
    Screenshot der SAML-Option in den Einstellungen für Sicherheit und Berechtigungen von ClickUp.
  6. Für eine neue Microsoft Entra ID App kopierst du die SP Entity ID von ClickUp.
    Screenshot der SP Entity ID von ClickUp.
  7. Füge die SP Entity ID aus ClickUp in das Feld Identifier (Entity ID) in Microsoft Entra ID ein.
    Screenshot, wie jemand die SP-Entity-ID in das Feld "Identifier" einfügt.
  8. Kopiere die Single Sign-On URL (ACS URL) aus ClickUp und füge sie in das Feld Reply URL (Assertion Consumer Service URL) in Microsoft Entra ID ein.
  9. Klicke auf Speichern in Microsoft Entra ID.
    Screenshot der Speichern-Schaltfläche in Microsoft Entra.

Verknüpfe SSO in ClickUp

Jetzt, da die Anwendung eingerichtet ist, können Sie die SSO-Verbindung in ClickUp vervollständigen:

  1. Stellen Sie sicher, dass die Person, die die SSO-Integration einrichtet, in der Microsoft Entra ID-App zugewiesen ist. Weitere können später hinzugefügt werden.
  2. Kopieren Sie die Login-URL und das IDP Public Certificate von Microsoft Entra ID.
    Screenshot der URL zum Anmelden und des öffentlichen IDP-Zertifikats in Microsoft Entra ID.
  3. Fügen Sie diese Werte im Nur-Text in die entsprechenden leeren ClickUp-Felder ein, wenn Sie den SAML-Connector auswählen.
    • Um das Zertifikat im Klartext zu erhalten, laden Sie die Datei herunter und öffnen Sie sie mit einem Texteditor Ihrer Wahl per Rechtsklick. Der Text beginnt mit -----BEGIN CERTIFICATE-----. Fügen Sie den gesamten Textwert ohne Änderungen in das Feld IDP Public Certificate ein.
      Screenshot eines Zertifikats. 
  4. Wähle Metadaten speichernaus .
    Screenshot der Schaltfläche „Metadaten speichern“.
  5. Sie werden aufgefordert, den Link durch Anmeldung mit SSO zu vervollständigen. Bei Erfolg werden Sie zu ClickUp weitergeleitet.
  6. Auf der Seite Sicherheit & Berechtigungen in ClickUp findest du drei neue Optionen:
    • SCIM Base URL: Diese Info gibst du im nächsten Schritt ein. 
    • SCIM API Token: Diese Info gibst du im nächsten Schritt ein. 
    • Anmelderichtlinie: Wähle eine dieser vier Optionen:
      • Alle Benutzer müssen SAML-Authentifizierung verwenden: Alle Mitgliedertypen und Gasttypen müssen die SAML-Authentifizierung verwenden.
      • Alle Benutzer außer Gästen müssen SAML-Authentifizierung verwenden: Benutzer des Gasttyps müssen die SAML-Authentifizierung nicht verwenden. 
      • Alle Benutzer außer eingeschränkten Mitgliedern und Gästen müssen die SAML-Authentifizierung verwenden: Eingeschränkte Mitglieder, eingeschränkte Mitglieder nur lesen, und alle Benutzer des Gasttyps müssen die SAML-Authentifizierung nicht verwenden. 
      • Die Verwendung der SAML-Authentifizierung ist optional: Die Verwendung der SAML-Authentifizierung ist für alle Benutzer optional. 
  7. Gehe zum nächsten Schritt, um die anderen Personen in deinem Workspace bereitzustellen. 

Automatische Bereitstellung mit ClickUp einzurichten

Wir unterstützen die Bereitstellung von einzelnen Benutzern und Gruppierungen mit SCIM. Bei der Gruppierung in ClickUp werden neue Benutzer als Einzelpersonen bereitgestellt, und sowohl neue als auch bestehende Benutzer werden zu einem ClickUp Team hinzugefügt. Wenn du nicht möchtest, dass diese Benutzer einem Team hinzugefügt werden, lösche das Team nach der Bereitstellung.

Wenn du der benutzerdefinierten SAML App ein Benutzerprofil hinzufügst, ist er kein ClickUp Benutzer, bis du ihn über SCIM bereitstellst.

Die automatische Bereitstellung kann bei Bedarf oder in Zyklen erledigt werden, die standardmäßig 30 Minuten dauern. Benutzer, die der Anwendung zugewiesen sind, werden erst hinzugefügt, wenn der nächste Zyklus der automatischen Bereitstellung läuft. Weitere Informationen darüber, wie die Anwendungsbereitstellung in Microsoft Entra ID funktioniert

Screenshot der Schaltfläche „Bei Bedarf bereitstellen“.

Um die automatische Bereitstellung einzurichten:

  1. In Microsoft Entra ID, öffne den Tab Provisioning und ändere das Dropdown von Manuell zu Automatisch. Daraufhin wird das Fenster Administrator Credentials auf der Registerkarte Provisioning angezeigt.
    • Wenn du bis zu fünf Benutzer auf einmal manuell bereitstellen möchtest, wähle auf der Registerkarte Bereitstellung die Option Bereitstellung nach Bedarf.
      Screenshot des Admin-Anmeldefensters im Bereitstellungs-Tab.
  2. Geben Sie die SCIM-Basis-URL von Ihrer ClickUp Sicherheits- & Berechtigungsseite in das Feld Mandanten-URL ein.
  3. Gib das SCIM API Token von der Seite ClickUp Security & Berechtigungen in das Feld Secret Token ein.
  4. Klicke auf Testverbindung.
    Screenshot der Schaltfläche zur Testverbindung.
  5. Sobald der Test erfolgreich war, ist SCIM in deinem Workspace eingerichtet. Benutzer können sich mit der Microsoft Entra ID bei ClickUp anmelden.

Wähle die ClickUp-Benutzerrollen aus, die du bereitstellen möchtest

Die Rolle des Benutzers ist standardmäßig Mitglied, es sei denn, du wählst die ClickUp-Benutzerrollen aus, die du bereitstellen möchtest. 

So ordnest du die Microsoft Entra ID den Rollen der ClickUp Benutzer zu:

  1. Als Administrator melde dich im Microsoft Entra Admin Center an. 
  2. Wähle Identität, Anwendungen, dann Unternehmensanwendungen.
  3. Wähle auf der Seite mit den Enterprise-Anwendungen deine SAML App aus.
  4. Wähle auf der Übersichtsseite in der linken Seitenleiste die Option Provisioning aus.
  5. Klicke auf der Seite "Provisioning" auf " Mappings".
  6. Wähle Provision Microsoft Entra ID Users aus, um eine Liste der Attribute anzuzeigen.
  7. Scrolle nach unten auf der Seite und klicke das Kästchen Erweiterte Optionen anzeigen.
  8. Klicke auf Attributliste bearbeiten.
    Screenshot einer Person, die die Optionen "Erweiterte Optionen anzeigen" und "Attributliste bearbeiten" auswählt
  9. Scrolle zur letzten Zeile der Spalte Name und gib dieses urn-Attribut für Benutzerrollen ein: urn :ietf:params:scim:schemas:extension:ClickUp:2.0:User:role.
  10. Vergewissere dich, dass in der ausklappbaren Spalte "Typ" die Zeichenfolge ausgewählt ist. 
  11. Klicke in der oberen linken Ecke auf Speichern
    • Wenn der Name nicht gespeichert wird, wähle Verwerfen und versuche es erneut. Wenn der Name weiterhin nicht gespeichert werden kann, versuche, deine Karten auf die Standardwerte zurückzusetzen.
  12. Du wirst auf die Seite für die Attributzuordnung weitergeleitet.
  13. Wähle " Neue Karte hinzufügen".
  14. Auf der Seite Attribut bearbeiten wähle für den Zuordnungstyp Konstant.
    • Um eine dynamische Karte zu erstellen, siehe den Abschnitt Dynamische Bereitstellung von Benutzerrollen weiter unten.
  15. Gib bei Konstanter Wert einen der folgenden Werte ein:
    • für Administratoren.
    • 3 für Mitglieder.
    • 4 für Gäste. 
    • 100 für eingeschränkte Mitglieder.
    • {custom_role_id} für benutzerdefinierte Rollen.
  16. Als Einzelziel gibst du urn :ietf:params:scim:schemas:extension:ClickUp:2.0:Benutzer:Rolleein.
  17. Klicke auf OK und Speichern.
  18. Jeder Benutzer, den du bereitstellst, wird als diese ClickUp-Benutzerrolle bereitgestellt.  
    • Um eine andere Rolle des Benutzers zuzuordnen, starte bei Schritt 5 und wähle einen anderen konstanten Wert aus. Um eine dynamische Karte zu erstellen, siehe den Abschnitt Dynamische Bereitstellung von Benutzerrollen weiter unten.

Die folgenden Attribute der Benutzerrolle können ebenfalls auf Karten abgebildet werden:

Modell Benutzerrollenattribute
Basis

ID

Benutzername

Name: {givenName and familyName}

aktiv

E-Mails

Array von E.Mails mit Wert-Eigenschaft und primärer (boolescher) Eigenschaft

Titel

Manager
Erweiterung

Rolle

customRoleId: Gib die benutzerdefinierte ClickUp Rolle ID ein.

Um die benutzerdefinierte Rolle ID zu finden, sende die Anfrage Get User von der ClickUp API. Dieser Endpunkt ist nur bei Enterprise-Plänen verfügbar.

customRoleName: Gib den Namen der benutzerdefinierten ClickUp Rolle ein.
Enterprise Manager

Dynamische Bereitstellung von Benutzerrollen

Verwalte die Benutzerrollen in ClickUp dynamisch auf der Grundlage der zuweisbaren Benutzerrollen in Entra. Dies geschieht durch das dynamische Freigeben von Werten der Rolle mit dem Einzelziel-Attribut. Mit dem Ergebnis kannst du in Entra Rollen zuweisen, die den ClickUp Rollen entsprechen, was die Bereitstellung vereinfacht.

So passt du die Zuordnung des Einzelziels von einer Konstante zu einem Ausdruck an, um die Rollen der Benutzer dynamisch bereitzustellen:

  1. Wähle auf der Übersichtsseite in der linken Seitenleiste die Option Provisioning aus.
  2. Klicke auf der Seite "Provisioning" auf " Mappings" und dann auf "Provision Microsoft Entra ID Users".
    • Wenn du es noch nicht getan hast, scrolle zur letzten Zeile der Spalte Name und gib dieses urn-Attribut für Benutzerrollen ein: urn :ietf:params:scim:schemas:extension:ClickUp:2.0:User:role.
  3. Wähle rechts neben dem Urnenattribut die Option Bearbeiten aus.
  4. Wähle den Typ der Ausdruckszuordnung und füge diesen Ausdruck hinzu: Switch(SingleAppRoleAssignment([appRoleAssignments]), " 3 ", "ClickUpAdmin", "2 ", "ClickUpGuest", "4 ", "ClickUpLimitedMember", "100").
    • In diesem Ausdruck ist 3 der Standardwert, gefolgt von den entsprechenden Schlüssel- und Wertepaaren für die Entra Rolle / ClickUp Rolle. Weitere Informationen über das Schreiben von Ausdrücken für Attribut-Zuordnungen in Microsoft Entra ID
    • Du kannst diese Entra-Rollen benennen, wie du willst, wenn du sie unter dem Abschnitt App-Registrierung erstellst. Solange das folgende Argument dem richtigen Wert der ClickUp-Benutzerrolle entspricht und du diese Entra-Rollen bei der Zuweisung von Benutzern zu ClickUp auswählst, werden sie korrekt bereitgestellt.
    • Du kannst auch andere logische Ausdrücke wählen, solange das ClickUp-Urnenattribut eine gültige Nummer erhält, die einer Rolle des Benutzers entspricht.
  5. Klicke auf Speichern.
  6. Wenn du jetzt unter Benutzer und Gruppen Benutzer oder Gruppen zuweist, wählst du die entsprechende Rolle aus, die der Benutzer in ClickUp einnehmen soll.

  7. Wenn du den Benutzer bereitstellst, wird ihm die richtige Rolle zugewiesen.

    Wenn ein Benutzer sowohl als Einzelbenutzer als auch in einer Gruppe bereitgestellt wird, stelle sicher, dass der Benutzer nicht zwei verschiedenen Rollen in der App zugewiesen ist, da dies zu Fehlern führt.