Teil 2 – Externe Projektmitglieder über Power Automate anlegen lassen

Active Directory, Azure, Azure Active Directory

Einige Leser hatten in den Kommentaren zum ersten Blogbeitrag dieser Serie gefragt, wann der zweite Teil hierzu kommt, bzw. wo man diesen finden kann. Da die Kommentare in einem doch kurzeitigen Zeitabstand kamen, habe ich mich endlich dazu entschlossen nun den zweiten Blog-Artikel zu schreiben. Da der letzte Artikel doch schon etwas her ist, möchte ich nochmal kurz zusammenfassen, worum es in meinem ersten Teil ging. Wir wollen externe Projektteilnehmer in unserem Azure-AD anlegen, ohne dass diese eine Einladung bekommen. Da die Power-Automate Ausführung stehts mit den Anmeldeinformationen des Users ausgeführt wird, der den Workflow startet, haben wir im ersten Teil eine App-Registrierung erstellt, die es ermöglicht auch Benutzern ohne Administratorenrechten diese externen Benutzer anzulegen. In diesem Blog werden wir jetzt den dazugehörigen Workflow erstellen und die registrierte App aus meinem ersten Teil hierzu nutzen.

Hinweis: Leider ist es so, dass dieses Szenario nicht mit der Standard Power Automate Lizenz abgebildet werden kann. Du benötigst mindestens eine Pro-Benutzer-Plan Lizenz (Stand Juli 23). Du kannst aber auch die Lizenz für einen Monat testen.

Trigger anlegen

Melde dich an Power-Automate an (Link) oder öffne die Seite über das Start-Menü in Office 365 Portal.  Klicke dann auf der linken Seite die Option: „Meine Flow“. In meinem Szenario möchte ich, dass der Flow manuell gestartet wird. Ich möchte diesen gerne auf meine Intranet Seite meinen Usern in der Organisation anbieten. Klicke in der oberen Spalte den Button „+ Neuer Flow“ und wähle dann im Kontextmenü die Option „Sofortiger Cloud-Flow“ aus.

Ich gebe dann einen Namen für den Flow ein. In meinem Beispiel „Externe User anlegen“ und markiere dann die Option „Löst einen Flow manuell aus“. Klicke abschließend auf „Erstellen“. Klicke dann auf das Flow-Element und wähle „+ Eingabe hinzufügen“ aus. Klicke auf „Text“. Gebe im Feld „Eingabe“ die Bezeichnung „Vor- und Nachname“ ein. Klicke erneut auf „+ Eingabe hinzufügen“. Klicke wieder auf Text und trage dort das Wort „E-Mail“ ein. Die Ansicht sollte wie folgt aussehen.

Hinweis: Warum habe ich nicht die Option „E-Mail“ gewählt? In einem Text-Feld ist die Formatierung für den nächsten Schritt einfacher und ich brauche keine Umformatierungen durchzuführen.

HTTP-Connector einrichten

Nun kommen wir zum letzten Schritt unseres Flows. Für diesen Schritt benötigst du jetzt die Pro-Benutzer-Plan Lizenz, da der Connector nur mit dieser Lizenz genutzt werden kann. Solltest Du die Lizenz deinem Konto zugewiesen haben, gehe wie folgt vor.

Klicke erneut auf „+ Neuer Schritt“. Klicke in der oberen Spalte auf „Integriert“ und wähle dann „HTTP“ aus. In dem unteren Auswahlmenü selektierst du die Aktion „HTTP (Premium)“. Als Methode wählst du „POST“ und als URI den Link „https://graph.microsoft.com/v1.0/invitations“. Die Überschriften und Abfragen kannst du leer lassen. Jetzt müssen wir in dem Körper über Code die Adressierung der Azure AD-Felder vornehmen. In meinem Beispiel trage ich nur den erfassten Vor- und Nachnamen, sowie die E-Mail-Adresse aus dem Trigger ein. Kopiere den folgenden Code in den Body-Bereich.

{

  „invitedUserEmailAddress“: E-MAIL VON FLOW,

  „inviteRedirectUrl“: „https://myaccess.microsoft.com/“,

  „invitedUserDisplayName“:VOR-  UND NACHNAME VON FLOW,

  „sendInvitationMessage“: „false“

}

Natürlich musst du den Code ein wenig anpassen. Lösche „E-MAIL VON FLOW“ aus dem Beispiel heraus. Setze den Cursor hinter dem Doppelpunkt. In dem sich öffnenden Kontextmenü scrollst du dann bis zum Bereich „manuel“ und suchst hier den Namen des ersten Textfeldes (E-Mail), was wir oben angelegt haben. Klicke auf den dynamischen Inhalt. Führe den gleichen Schritt mit dem Bereich „NAME VOM FLOW“ in dem Code aus. Nur wählst du für dieses Feld unser angelegtes Feld „Vor- und Nachname“ aus.

Hinweis. Dir werden mehrere dynamische Inhalte angezeigt. Unter den Namen des jeweiligen dynamischen Inhalts, wird dir eine kurze Beschreibung eingeblendet. Du kannst die selbst angelegten Felder an der Beschreibung „Eingabe eingeben“ erkennen.

Nun müssen wir die Authentifizierung einrichten. Dafür hatten wir in dem ersten Teil das registrierte App erstellt, über dessen Berechtigung wollen wir die Einträge durchführen. Klicke als erstes auf den Link „Erweiterte Optionen anzeigen“. Wähle im Auswahlmenü „Authentifizierung“ die Option „Active Directory OAuth“ aus. Unter Autorität trägst Du den Link „https://login.microsoft.com“ ein. Unter Mandanten trägst du die notierte Mandanten-ID aus dem ersten Teil und unter Zielgruppe den Link „https://graph.microsoft.com“ ein. Die Client-ID und den Geheimschlüssel hast du ja auch dem ersten Teil. Als Typ unter den Anmeldeinformationen wählst du „Geheim“ aus. Die Ansicht sollte jetzt wie folgt bei dir aussehen. Klicke anschließend auf „Speichern“.

Hinweis: Die hier gezeigte Möglichkeit ist natürlich sehr einfach gehalten. Du kannst den Workflow nach belieben ausbauen.

Kommentar hinterlassen , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die folgenden im Rahmen der DSGVO notwendigen Bedingungen müssen gelesen und akzeptiert werden:
Durch Abschicken des Formulars wird dein Name, E-Mail-Adresse und eingegebene Text in der Datenbank gespeichert. Für weitere Informationen wirf bitte einen Blick in die Datenschutzerklärung.