Profil- und Gruppenimport via SCIM

Folgen

Überblick

SCIM (System for Cross-domain Identity Management) ist ein offener Standard zur automatisierten Bereitstellung von Benutzerkonten und Nutzergruppen.

Das Importieren von Profilen mittels SCIM bietet einige Vorteile gegenüber unseren anderen Import-Möglichkeiten:

Vorteile gegenüber LDAP-Anbindung

  • kein Zugriff auf Kunden-LDAP nötig
  • Provisioning on demand statt zu festgelegten Zeiten
  • Mapping der Felder kann ohne Hilfe des Supports selbständig eingerichtet und angepasst werden
  • Löschen von Nutzern möglich

Vorteile gegenüber CSV-Import

  • Kein manuelles Pflegen einer CSV-Datei
  • Provisioning on demand statt zu festgelegten Zeiten
  • Mapping der Felder kann ohne Hilfe des Supports selbständig eingerichtet und angepasst werden
  • Löschen von Nutzern möglich

Vorteile gegenüber REST-Api-Import

  • Standardisiert, direkte Unterstützung durch viele Identity Provider (IDP)
  • Löschen von Nutzern möglich

Funktionalität

Über den SCIM-Import können Nutzer und Gruppen

  • angelegt
  • aktualisiert
  • gelöscht

Nutzer können außerdem zu Gruppen hinzugefügt und aus diesen entfernt werden.

Umgang mit bestehenden Nutzern

Nutzer, die bereits in Just angelegt wurden, bevor der Import mittels SCIM eingerichtet wurde, können anhand ihrer E-Mail-Adresse den Nutzern aus dem SCIM-Client (dem IDP) zugeordnet werden. Microsoft Entra ID macht dies ganz automatisch. Bevor Entra ID Nutzer anlegt oder aktualisiert, wird Just nach einem Nutzer mit übereinstimmender E-Mail-Adresse durchsucht. Bei einem Treffer werden die Nutzer verknüpft und der bestehende Just-Nutzer aktualisiert. Wird kein passender Nutzer gefunden, wird ein neuer angelegt.

Einrichtung am Beispiel Microsoft Entra ID (ehem. Azure)

Zur Einrichtung des SCIM-Imports wird Zugriff auf die Admin-App benötigt (in der Regel ein Account mit Mandanten-Admin-Rechten).

Verbindungseinstellungen

  • In Admin-App unter "Anbindungen -> SCIM Profile/Gruppen Import -> Verbindungseinstellungen" kann der SCIM-Import aktiviert werden
  • Es wird dadurch ein neuer Token für den Zugriff auf die JUST-API generiertSCIM - Verbindungseinstellungen.png
  • In Entra ID in der entsprechenden Enterprise Application unter "Provisioning" die Credentials eintragen:
    • Tenant URL = Entra ID Verbindungs-URL (bei anderen IDPs die andere URL verwenden)
    • Secret Token = API Token
  • In Entra ID "Test Connection" drücken, bei Erfolg speichern

SCIM - Enterprise Application Provisioning.pngSCIM - Edit Provisioning anklicken.pngSCIM - Admin Credentials eintragen.png

Attributszuordnung

  • im IDP:
    • Es müssen mindestens die Zielattribute "userName", "externalId", "name.familyName" und "name.givenName" gemapped werden.
    • Wenn der Nutzer E-Mails von Just erhalten können soll, muss "userName" die E-Mail-Adresse enthalten, an die die E-Mails geschickt werden sollen. Andernfalls kann "userName" einen beliebigen Wert enthalten.
    • "userName" und "externalId" müssen eindeutig sein
    • In Entra, wie oben bereits beschrieben zum Editieren der Provisionierung durchklicken, dann:SCIM - how to get to attribute mapping.pngSCIM - Attribute Mapping (Entra).png

 

  • In Just:
    • Account-Email-Adresse (userName), Vorname (name.givenName), Nachname (name.familyName), Titel (name.honorificPrefix) und nachgestellter Titel (name.honorificSuffix) werden automatisch zugeordnet - diese Zuordnung kann nicht angepasst werden.
    • Diese automatisch zugeordneten Attribute können aber zusätzlich auch noch anderen Profilfeldern zugeordnet werden
    • Für alle anderen Profil-Attribute kann eine Zuordnung über die Auswahlfelder angelegt werden.
    • Nach Klick auf "Zuordnung speichern" werden bereits über SCIM importierte Profile entsprechend der neuen Attributszuordnung aktualisiert. Dies kann, je nach Anzahl der importierten Profile, einige Minuten dauernSCIM - Attributszuordnungen.png
    • In den Quellattributen steht ein Standardset an Attributen zur Verfügung, das von Entra und vielen anderen SCIM-Providern zur Verfügung gestellt wird, dieses Set aus Quellattributen kann jederzeit angepasst werden. Die Hinweise zu "Eigene Attribute hinzufügen" beachten.SCIM - Attribute verfügbar machen.png

Eigene Attribute hinzufügen

EntraId Beispiel: https://learn.microsoft.com/en-us/entra/identity/app-provisioning/inbound-provisioning-api-custom-attributes

Attribute die nicht im SCIM Standard abgedeckt sind, können manuell hinzugefügt werden. Dafür muss das Attribut auf SCIM Provider Seite (bspw EntraId) in folgendem Format definiert werden:

urn:ietf:params:scim:schemas:extension:justsocial:1.0:User:CustomAttribute
  • urn:ietf:params:scim:schemas:extension ist ein immer benötigtes Präfix, das signalisiert, dass ein Attribut übermittelt wird, das nicht im SCIM Standard abgedeckt ist
  • justsocial ist hier ein beliebiger Namespace, beispielsweise der Firmenname
  • 1.0 ist eine Versionsangabe, falls man das Attribut in verschiedenen Versionen übermitteln möchte
  • User gibt an, dass es ein Attribut auf einer "User" Resource ist (eigene Attribute auf Gruppen werden nicht unterstützt)
  • CustomAttribute ist der Name des Attributs

Das Attribut muss auf SCIM Provider Seite eingestellt und an Just übermittelt werden und auf Just-Seite in der Admin-App mit dem gleichen kompletten Namen (die komplette Attributsdefinition, inklusive Präfix, Namespace, Version etc...) hinzugefügt und werden.

Löschen von Accounts

Wenn ihr einen Account in Entra ID löscht, wird er dort zunächst in den Papierkorb geschoben und daraufhin das Profil in Just deaktiviert. Nach dreißig Tagen löscht Entra ID die Accounts im Papierkorb. Direkt danach wird das Profil auch in Just Social gelöscht.

Ihr könnt die Accounts auch manuell in Entra aus dem Papierkorb löschen, um den Vorgang in Just zu beschleunigen.

Wichtig: Einschränkungen seitens EntraId

Es gibt bei EntraId eine Reihe bekannter Einschränkungen oder nicht unterstützter Szenarien, beispielsweise:

  • festes, nicht konfigurierbares Provisionierungsintervall
  • genullte Felder werden nicht provisioniert (d.h. einmal befüllte und dann geleerte Profilfelder werden nicht nach Just Social übertragen)
  • verschiedene Änderungen am User Scope erfordern einen manuellen Neustart der Provisionierung

Die vollständige Liste mit Erklärungen ist hier zu finden:

https://learn.microsoft.com/en-us/entra/identity/app-provisioning/known-issues?pivots=app-provisioning

 

 

Technische Details 

Spezifikation: RFC 7643 und RFC 7644

0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.