Profil-Import via SCIM

Folgen

Überblick

SCIM (System for Cross-domain Identity Management) ist ein offener Standard zur automatisierten Bereitstellung von Benutzerkonten und Nutzergruppen.

Das Importieren von Profilen mittels SCIM bietet einige Vorteile gegenüber unseren anderen Import-Möglichkeiten:

Vorteile gegenüber LDAP-Anbindung

  • kein Zugriff auf Kunden-LDAP nötig
  • Provisioning on demand statt zu festgelegten Zeiten
  • Mapping der Felder kann ohne Hilfe des Supports selbständig eingerichtet und angepasst werden
  • Löschen von Nutzern möglich

Vorteile gegenüber CSV-Import

  • Kein manuelles Pflegen einer CSV-Datei
  • Provisioning on demand statt zu festgelegten Zeiten
  • Mapping der Felder kann ohne Hilfe des Supports selbständig eingerichtet und angepasst werden
  • Löschen von Nutzern möglich

Vorteile gegenüber REST-Api-Import

  • Standardisiert, direkte Unterstützung durch viele Identity Provider (IDP)
  • Löschen von Nutzern möglich

 

Funktionalität

Über den SCIM-Import können Nutzer und Gruppen

  • angelegt
  • aktualisiert
  • gelöscht

Nutzer können außerdem zu Gruppen hinzugefügt und aus diesen entfernt werden.

 

Umgang mit bestehenden Nutzern

Nutzer, die bereits in Just angelegt wurden, bevor der Import mittels SCIM eingerichtet wurde, können anhand ihrer E-Mail-Adresse den Nutzern aus dem SCIM-Client (dem IDP) zugeordnet werden. Microsoft Entra ID macht dies ganz automatisch. Bevor Entra ID Nutzer anlegt oder aktualisiert, wird Just nach einem Nutzer mit übereinstimmender E-Mail-Adresse durchsucht. Bei einem Treffer werden die Nutzer verknüpft und der bestehende Just-Nutzer aktualisiert. Wird kein passender Nutzer gefunden, wird ein neuer angelegt.

 

Einrichtung am Beispiel Microsoft Entra ID (ehem. Azure)

Zur Einrichtung des SCIM-Imports wird Zugriff auf die Admin-App benötigt (in der Regel ein Account mit Mandanten-Admin-Rechten).

 

Verbindungseinstellungen

  • In Admin-App unter "Anbindungen -> SCIM Profile/Gruppen Import -> Verbindungseinstellungen" kann der SCIM-Import aktiviert werden
  • Es wird dadurch ein neuer Token für den Zugriff auf die JUST-Api generiert
  • In Entra ID in der entsprechenden Enterprise Application unter "Provisioning" die Credentials eintragen:
    • Tenant URL = Entra ID Verbindungs-URL (bei anderen IDPs die andere URL verwenden)
    • Secret Token = API Token
  • In Entra ID "Test Connection" drücken, bei Erfolg speichern


Attributszuordnung

  • im IDP:
    • Es müssen mindestens die Zielattribute "userName", "externalId", "name.familyName" und "name.givenName" gemapped werden.
    • Wenn der Nutzer E-Mails von Just erhalten können soll, muss "userName" die E-Mail-Adresse enthalten, an die die E-Mails geschickt werden sollen. Andernfalls kann "userName" einen beliebigen Wert enthalten.
    • "userName" und "externalId" müssen eindeutig sein
  • In Just:
    • Account-Email-Adresse (userName), Vorname (name.givenName), Nachname (name.familyName), Titel (name.honorificPrefix) und nachgestellter Titel (name.honorificSuffix) werden automatisch zugeordnet - diese Zuordnung kann nicht angepasst werden.
    • Die genannten Attribute können aber zusätzlich anderen Profil-Feldern zugeordnet werden.
    • Für alle anderen Profil-Attribute kann eine Zuordnung über die Auswahlfelder angelegt werden.
    • Nach Klick auf "Zuordnung speichern" werden bereits über SCIM importierte Profile entsprechend der neuen Attributszuordnung aktualisiert. Dies kann, je nach Anzahl der importierten Profile, einige Minuten dauern. 


Technische Details 

Spezifikation: RFC 7643 und RFC 7644

0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.