Überblick
SCIM (System for Cross-domain Identity Management) ist ein offener Standard zur automatisierten Bereitstellung von Benutzerkonten und Nutzergruppen.
Das Importieren von Profilen mittels SCIM bietet einige Vorteile gegenüber unseren anderen Import-Möglichkeiten:
Vorteile gegenüber LDAP-Anbindung
- kein Zugriff auf Kunden-LDAP nötig
- Provisioning on demand statt zu festgelegten Zeiten
- Mapping der Felder kann ohne Hilfe des Supports selbständig eingerichtet und angepasst werden
- Löschen von Nutzern möglich
Vorteile gegenüber CSV-Import
- Kein manuelles Pflegen einer CSV-Datei
- Provisioning on demand statt zu festgelegten Zeiten
- Mapping der Felder kann ohne Hilfe des Supports selbständig eingerichtet und angepasst werden
- Löschen von Nutzern möglich
Vorteile gegenüber REST-Api-Import
- Standardisiert, direkte Unterstützung durch viele Identity Provider (IDP)
- Löschen von Nutzern möglich
Funktionalität
Über den SCIM-Import können Nutzer und Gruppen
- angelegt
- aktualisiert
- gelöscht
Nutzer können außerdem zu Gruppen hinzugefügt und aus diesen entfernt werden.
Umgang mit bestehenden Nutzern
Nutzer, die bereits in Just angelegt wurden, bevor der Import mittels SCIM eingerichtet wurde, können anhand ihrer E-Mail-Adresse den Nutzern aus dem SCIM-Client (dem IDP) zugeordnet werden. Microsoft Entra ID macht dies ganz automatisch. Bevor Entra ID Nutzer anlegt oder aktualisiert, wird Just nach einem Nutzer mit übereinstimmender E-Mail-Adresse durchsucht. Bei einem Treffer werden die Nutzer verknüpft und der bestehende Just-Nutzer aktualisiert. Wird kein passender Nutzer gefunden, wird ein neuer angelegt.
Einrichtung am Beispiel Microsoft Entra ID (ehem. Azure)
Zur Einrichtung des SCIM-Imports wird Zugriff auf die Admin-App benötigt (in der Regel ein Account mit Mandanten-Admin-Rechten).
Verbindungseinstellungen
- In Admin-App unter "Anbindungen -> SCIM Profile/Gruppen Import -> Verbindungseinstellungen" kann der SCIM-Import aktiviert werden
- Es wird dadurch ein neuer Token für den Zugriff auf die JUST-API generiert
- In Entra ID in der entsprechenden Enterprise Application unter "Provisioning" die Credentials eintragen:
- Tenant URL = Entra ID Verbindungs-URL (bei anderen IDPs die andere URL verwenden)
- Secret Token = API Token
- In Entra ID "Test Connection" drücken, bei Erfolg speichern
Attributszuordnung
- im IDP:
- Es müssen mindestens die Zielattribute "userName", "externalId", "name.familyName" und "name.givenName" gemapped werden.
- Wenn der Nutzer E-Mails von Just erhalten können soll, muss "userName" die E-Mail-Adresse enthalten, an die die E-Mails geschickt werden sollen. Andernfalls kann "userName" einen beliebigen Wert enthalten.
- "userName" und "externalId" müssen eindeutig sein
- In Entra, wie oben bereits beschrieben zum Editieren der Provisionierung durchklicken, dann:
- In Just:
- Account-Email-Adresse (userName), Vorname (name.givenName), Nachname (name.familyName), Titel (name.honorificPrefix) und nachgestellter Titel (name.honorificSuffix) werden automatisch zugeordnet - diese Zuordnung kann nicht angepasst werden.
- Diese automatisch zugeordneten Attribute können aber zusätzlich auch noch anderen Profilfeldern zugeordnet werden
- Für alle anderen Profil-Attribute kann eine Zuordnung über die Auswahlfelder angelegt werden.
- Nach Klick auf "Zuordnung speichern" werden bereits über SCIM importierte Profile entsprechend der neuen Attributszuordnung aktualisiert. Dies kann, je nach Anzahl der importierten Profile, einige Minuten dauern
- In den Quellattributen steht ein Standardset an Attributen zur Verfügung, das von Entra und vielen anderen SCIM-Providern zur Verfügung gestellt wird, dieses Set aus Quellattributen kann jederzeit angepasst werden. Die Hinweise zu "Eigene Attribute hinzufügen" beachten.
Eigene Attribute hinzufügen
EntraId Beispiel: https://learn.microsoft.com/en-us/entra/identity/app-provisioning/inbound-provisioning-api-custom-attributes
Attribute die nicht im SCIM Standard abgedeckt sind, können manuell hinzugefügt werden. Dafür muss das Attribut auf SCIM Provider Seite (bspw EntraId) in folgendem Format definiert werden:
urn:ietf:params:scim:schemas:extension:justsocial:1.0:User:CustomAttribute
- urn:ietf:params:scim:schemas:extension ist ein immer benötigtes Präfix, das signalisiert, dass ein Attribut übermittelt wird, das nicht im SCIM Standard abgedeckt ist
- justsocial ist hier ein beliebiger Namespace, beispielsweise der Firmenname
- 1.0 ist eine Versionsangabe, falls man das Attribut in verschiedenen Versionen übermitteln möchte
- User gibt an, dass es ein Attribut auf einer "User" Resource ist (eigene Attribute auf Gruppen werden nicht unterstützt)
- CustomAttribute ist der Name des Attributs
Das Attribut muss auf SCIM Provider Seite eingestellt und an Just übermittelt werden und auf Just-Seite in der Admin-App mit dem gleichen kompletten Namen (die komplette Attributsdefinition, inklusive Präfix, Namespace, Version etc...) hinzugefügt und werden.
Löschen von Accounts
Wenn ihr einen Account in Entra ID löscht, wird er dort zunächst in den Papierkorb geschoben und daraufhin das Profil in Just deaktiviert. Nach dreißig Tagen löscht Entra ID die Accounts im Papierkorb. Direkt danach wird das Profil auch in Just Social gelöscht.
Ihr könnt die Accounts auch manuell in Entra aus dem Papierkorb löschen, um den Vorgang in Just zu beschleunigen.
Wichtig: Einschränkungen seitens EntraId
Es gibt bei EntraId eine Reihe bekannter Einschränkungen oder nicht unterstützter Szenarien, beispielsweise:
- festes, nicht konfigurierbares Provisionierungsintervall
- genullte Felder werden nicht provisioniert (d.h. einmal befüllte und dann geleerte Profilfelder werden nicht nach Just Social übertragen)
- verschiedene Änderungen am User Scope erfordern einen manuellen Neustart der Provisionierung
Die vollständige Liste mit Erklärungen ist hier zu finden:
Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.