Opsæt Manager i Office 365 ved at bruge Okta Workflows

Indtil videre kan Okta og Office 365-integrationen ikke angive attributten Manager direkte i Office 365. Men der findes et workaround, det kræver en lokal Active Directory, som håndterer dele af synkroniseringen og fungerer som mellemstation for Okta og Office 365. I artiklen beskriver vi derfor, hvordan en direktesync nemt kan sættes op ved hjælp af Okta Workflows i stedet.

Andreas Faltin
06. april 2022

Andreas er Cloud Architect i Cloudworks og Okta Technical Champion. Han hjælper kunder på deres digitale identitetsrejse ved at designe og implementere komplekse IAM-løsninger. Disse er i stor grad automatiserede for at opnå mest mulig indvirkning med minimal brugerfriktion.

Dette er en teknisk beskrivelse i en serie om Okta Workflows

Office 365 funksjonen

For at sætte Manager i Office 365 tilbyder Microsoft et Graph API-kald som gør det muligt at tilordne en manager til en bruger ved at henvise til deres respektive IDer: https://docs.microsoft.com/en-us/graph/api/user-post-manager?view=graph-rest-1.0&tabs=http*

Assign-manager-example
Uddrag fra Microsoft Docs, eksempel på Assign Manager

Med disse oplysninger har vi allerede det, vi har brug for til at kunne tilføje denne funktion til Okta Workflows. Dette kræver, at vi tilføjer en API-URL med brugerens Office 365 {id} og tilføjer et JSON-objekt med en URL, der inkluderer administratorens Office 365 {id}.

Afhængigt af brugstilfældet skal du nogle gange finde bruger- og manager-ID. I vores tilfælde fungerede eksemplet ved kun at bruge e-mailadresse på manager i de data, vi brugte i det opslag, vi foretog. At finde ID'et er dog bare endnu et kald i Okta Workflows, som vi har tilføjet til eksemplet til brugeren.

*Dette API-kald virker muligvis ikke, hvis du bruger 'User sync' eller 'Universal sync', da kontoen er låst af integrationen

Workflowen

Vi sætter dette op som en “child flow”, så vi kan koble det til enhver hændelse, vi vil fange. Efter at have indsamlet information om brugeren i Okta, stopper vi workflowet hvis brugeren ikke har en "managerEmail", så det ikke kører unødigt.

Workflow-Office365-Manager
Workflow opsætning for Office 365 Manager del 1: Tjek, om administratoren er indstillet, og hent bruger-ID fra Office 365

Det sidste trin i forberedelsen er at læse oplysninger om brugeren i Office 365. Dette er for at finde det interne Office 365 ID, som vi derefter kan bruge i det næste trin, hvor vi bygger API-kaldet.

Workflow-Office365-Manager-2
Workflow opsærning for Office 365 Manager del 2: Skriv de data, vi skal sende, og URL'en for API-kaldet, og kald Graph API'et

Vi kan nu opsætte selve API-kaldet, og bruger en connector til Office 365 og en "Custom API Action". (Læs mere om fordelene ved Custom API Action). Det eneste dette kræver af os er at specificere relativ URL* og hvilke data vi skal sende over. Vi komponerer begge ud fra de attributter, vi har indhentet i den første del af workflowet; brugerens Office 365 ID fra "Read user” og e-mailadresse til manager for kaldets data.

Efter at vi har etableret en Custom API Action, afslutter vi workflowet med en “Return Error IF” (ikke vist på skærmbillederne), som returnerer en fejl, hvis kaldet for at angive en manager mislykkedes. Dette er for at rapportere fejlen tilbage til workflowet for kaldet, så den er synlig der, og dermed gøre fejlsøgning lettere. Hvis vi ønsker det, kan vi tilføje yderligere håndtering eller meddelelse, hvis sådanne fejl opstår.

*Relativ URL er delen efter “https://graph.microsoft.com/v1.0"

Sammenfatning

Opsætning af Manager i Office 365 er nemt med Okta Workflows:

- Gør dig bekendt med Graph API-kaldet
- Hent Manager informationen i Okta
- Gjør kallet for å oppdatere Office 365

Ved at opsætte en simpel arbejdsgang har vi tilføjet en del funktionalitet til den eksisterende Office 365-integration og dermed sparet tid og sikret bedre datakvalitet, da attributten ikke længere indstilles manuelt.