Support Centre

Benutzerbereitstellung - Benutzeridentitätssynchronisation (SCIM)

In diesem Artikel erfahren Sie :

  • Was ist Benutzeridentitätssynchronisation (SCIM)
  • Vorteile der Verwendung von SCIM
  • SCIM-Terminologie
  • So verwenden Sie SCIM mit Sherpany

Vorwort

Mit Single Sign-on (SSO) können sich Benutzer in Sherpany über einen externen Identity Provider authentifizieren. Benutzerattribute wie E-Mail und Name werden in Sherpany jedes Mal aktualisiert, wenn sich ein Benutzer anmeldet.


User Identity Sync baut darauf auf und ermöglicht es dem Enterprise Identity Provider auch, Benutzerattribute in die Sherpany-Datenbank zu schreiben, wann immer es nötig ist (ohne darauf zu warten, dass sich ein Benutzer anmeldet).

ERFORDERLICHES Paket: Enterprise (mit SSO)


Vorteile der Benutzeridentitätssynchronisation

Die Implementierung von User Identity Sync bringt mehrere Vorteile für Ihre Organisation.

  • Reduzierte Verwaltungskosten - Mit User Identity Sync müssen Änderungen an Benutzerdetails nur noch an einer Stelle vorgenommen werden und reduzieren den Zeitaufwand der Administratoren, die Berechtigungen in Sherpany auf dem neuesten Stand zu halten.
  • Bestehende Investitionen nutzen - Viele Unternehmen verwenden eine zentrale LDAP-Datenbank, um Benutzeridentitäten zu verwalten. Sie können das bestehende System und die Prozesse nutzen, um Rollen in Sherpany zuzuweisen. Wenn also ein Benutzer von einer Abteilung in eine andere wechselt, kann dies automatisch in Sherpany in die Rechtevergabe einfließen.
  • Erhöhte Sicherheit - Benutzer, die die Abteilung innerhalb des Unternehmens wechseln, haben nicht automatisch Zugriff auf Ressourcen, die sie in Sherpany nicht sehen sollen. SCIM unterstützt auch das Offboarding von Benutzern, wenn diese das Unternehmen verlassen.

SCIM

System for Cross-Domain Identity Management (SCIM) ist ein Standard für die anwendungsübergreifende Verwaltung von Benutzeridentitäten.


Es handelt sich um eine REST-API mit einer klar definierten Struktur. Viele Anbieter (z. B. Microsoft, Github, Slack und Salesforce) unterstützen den SCIM-Standard und es sind Bibliotheken für verschiedene Programmiersprachen (z. B. Java, Python) verfügbar.

Sherpany unterstützt SCIM2 (Version 1.x wird nicht unterstützt).

Wir verzichten in diesem Dokument auf ausführliche technische Beschreibungen der SCIM-API im Allgemeinen, siehe http://www.simplecloud.info/ für Details.


Definitionen

Begriff
Beschreibung
Dienstanbieter

Die Webanwendung, die die Bearbeitung von Identitätsinformationen über das SCIM-Protokoll ermöglicht.


Sherpany ist die Dienstanbieter.

Kunde

Eine Anwendung, die das SCIM-Protokoll verwendet, um die vom Dienstanbieter verwalteten Identitätsdaten zu verwalten.

Der Kunde von Sherpany Enterprise ist der Auftraggeber.

Ressource (z. B. Benutzer)Ein Artefakt, das von einem Dienstanbieter verwaltet wird und Attribute enthält, z. B. einen Benutzer.
OrganisationDer Sherpany-Kunde
BenutzerEine Person, die Zugriff auf die Sherpany-App hat.


Ressourcen


externalIdmaximale Länge 255 Zeichen


Benutzer

Schema: urn:ietf:params:scim:schemas:core:2.0:User

Siehe https://tools.ietf.org/html/rfc7643#section-4.1 foder die vollständige Definition in SCIM. Sherpany unterstützt die folgende Teilmenge:


FeldBeispielBeschreibung
id85d0c1a8-fda3-4656-b4d3-7bcf8fda6d95Von Sherpany eingestellt. Eine einzigartige, unveränderliche Id.
externalIdx1234asdfuiopqere

Vom Client festgelegt. Eine eindeutige, unveränderliche ID, die einem Benutzer zugewiesen wird. Der Wert muss innerhalb der Organisation eindeutig sein und muss mit der in SAML verwendeten NameID übereinstimmen.


Erforderlich

aktivwahr oder falsch

Der administrative Status des Benutzers. Ein Wert von true bedeutet, dass sich der Benutzer anmelden kann, während ein Wert von false bedeutet, dass das Konto des Benutzers gesperrt wurde.

userNamebjensen@example.com

Die E-Mail des Benutzers. Wir validieren, dass der Domänenteil (@example.com) is on the whitelist of allowed domains for this client.

Required

name

{
    "familyName": "Jensen",
    "givenName": "Barbara"
}

Sherpany verwendet Familie Name und givenName (required) von Name. Andere Werte werden ignoriert.

Required

bevorzugte Spracheen-gb

erlaubte Werte: en-gb, de-ch, fr-fr, it-it, pt-pt

Optional (fällt zurück auf den Standardwert von en-gb)

Telefone
						
{				
        "value": "+41791234567",				
        "type": "work"				
}
						

Sherpany verwendet nur den ersten Eintrag in der Liste.

Optional


Nicht unterstützte Attribute

Sherpany Benutzerattribute werden von SCIM nicht unterstützt:

  • Profilbild
  • Handschriftliche Unterschrift
  • Geschlecht


Benutzerressourcen können nicht gelöscht werden. Setzen Sie stattdessen Benutzer als inaktiv.


Betrieb


Supported
Operation
Description
SCIM Documentation Link
(tick)GETAbrufen einer vorhandenen Ressource (oder Liste von Ressourcen)https://tools.ietf.org/html/rfc7644#section-3.4
(tick)POSTErstellen einer neuen Ressourcehttps://tools.ietf.org/html/rfc7644#section-3.3
(tick)PUTAktualisieren einer vorhandenen Ressourcehttps://tools.ietf.org/html/rfc7644#section-3.5.1
(minus)DELETE

Löschen einer Ressource


Einige Ressourcen unterstützen das Löschen nicht.

Einige Ressourcen unterstützen das Löschen (Sherpany führt ein "Soft-Delete" auf der Serverseite durch). Die Eindeutigkeitsbeschränkungen gelten weiterhin.


Kann nicht gelöscht werden:

  • Benutzer
https://tools.ietf.org/html/rfc7644#section-3.6
(minus)PATCHAtomares Teil-Updatehttps://tools.ietf.org/html/rfc7644#section-3.5.2


SCIM-Massenoperationen werden nicht unterstützt.


Konfiguration

Sherpany richtet die Organisation ein und konfiguriert SSO (SAML) mit einer Whitelist von erlaubten E-Mail-Domänen, die unter die Zuständigkeit dieser SCIM-Domäne fallen werden.


Name
Wert
SCIM API base URLhttps://app.sherpany.com/api/scim/
Authentifizierung

Verwendung eines Bearer-Tokens im http-Header aller Anfragen

Autorisierung: Überbringer <DerToken>

Der Token ist an eine Organisation gebunden und der Zugriff ist auf Ressourcen beschränkt, die mit dieser Organisation verbunden sind.

Die Mitarbeiter von Sherpany werden den Token über einen sicheren Kanal bereitstellen.

Erweiterte Token-Erstellung

Es ist auch möglich, dass der Sherpany Enterprise Kunde das RSA-Schlüsselpaar generiert und den privaten Schlüssel selbst verwendet, um ein RS512 JWT nach unseren Richtlinien zu generieren.


Dies hat den Vorteil, dass:

  • der geheime Schlüssel muss nie kommuniziert werden (nur der öffentliche Schlüssel muss an Sherpany gesendet werden)
  • Der Kunde kann bei Bedarf kurzlebige Token generieren, was das Risiko eines Token-Diebstahls während des Transports mindert.


Beispiele

Alle Benutzer haben

Beispielabfrage zum Abrufen aller Benutzer

GET /api/scim/Users HTTP/1.1
Host: app.sherpany.com
Accept: application/scim+json
Authorization: Bearer eyJhbG.eyJvaWQiO.a7jxyB_kMcmi5
      

Benutzer anlegen

POST /api/scim/Users HTTP/1.1
Host: app.sherpany.com
Accept: application/scim+json
Content-Type: application/scim+json
Authorization: Bearer eyJhbG.eyJvaWQiO.a7jxyB_kMcmi5
 
{
  "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
  "userName": "test.tester@sherpany.com",
  "externalId": "123",
  "name": {
    "givenName": "Test",
    "familyName": "Tester"
  },
  "active": true
} 

Einen bestehenden Benutzer aktualisieren

PUT /api/scim/Users/965ffb27-6966-472d-a4b6-592bba3eeb82 HTTP/1.1
Host: app.sherpany.com
Accept: application/scim+json
Content-Type: application/scim+json
Authorization: Bearer eyJhbG.eyJvaWQiO.a7jxyB_kMcmi5
 
{
  "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
  "userName": "test.tester@sherpany.com",
  "externalId": "123",
  "name": {
    "givenName": "Test",
    "familyName": "Tester II"
  },
  "active": true
}

Wann wird synchronisiert?

Es wird empfohlen, einzelne Benutzer sofort zu synchronisieren, wenn die Änderungen auftreten. Wenn das nicht möglich ist, kann die vollständige Synchronisierung auch periodisch erfolgen.

War diese Antwort hilfreich? Ja Nein

Feedback senden
Entschuldigen Sie, dass wir nicht hilfreich sein konnten. Helfen Sie uns, diesen Artikel zu verbessern und geben uns dazu ein Feedback.