Support Centre

Provisionnement des utilisateurs - Synchronisation des identités des utilisateurs (SCIM)

Dans cet article, vous apprendrez :

  • Qu'est-ce que la synchronisation des identités des utilisateurs (SCIM) 
  • Avantages de l'utilisation de SCIM
  • Terminologie de SCIM
  • Comment utiliser SCIM avec Sherpany

Préface

Grâce à l'authentification unique (SSO), les utilisateurs peuvent s'authentifier à Sherpany en utilisant un fournisseur d'identité externe. Les attributs de l'utilisateur tels que l'email et le nom sont mis à jour dans Sherpany chaque fois qu'un utilisateur se connecte.


La synchronisation de l'identité de l'utilisateur s'ajoute à cela et permet également au fournisseur d'identité d'entreprise d'écrire les attributs de l'utilisateur dans la base de données Sherpany (sans attendre qu'un utilisateur se connecte).

Paquet REQUIS : Enterprise (avec SSO)


Avantages de la synchronisation de l'identité de l'utilisateur

La mise en œuvre de User Identity Sync apporte plusieurs avantages à votre organisation.

  • Réduction des coûts administratifs - Avec User Identity Sync, les modifications des détails de l'utilisateur ne doivent être effectuées qu'à un seul endroit et réduisent le temps passé par les administrateurs à maintenir les permissions à jour dans Sherpany.
  • Exploitation des investissements existants - De nombreuses entreprises utilisent une base de données LDAP centrale pour gérer les identités des utilisateurs. Vous pouvez utiliser le système et les processus existants pour attribuer des rôles dans Sherpany. Ainsi, si un utilisateur passe d'un département à un autre, cela peut se refléter automatiquement dans les changements de permission dans Sherpany.
  • Sécurité accrue - Les utilisateurs qui changent de département au sein de l'entreprise n'auront pas automatiquement accès aux ressources qu'ils ne sont pas censés voir dans Sherpany. SCIM prend également en charge l'intégration des utilisateurs lorsqu'ils quittent l'entreprise.

SCIM

Le système de gestion des identités multi-domaines (SCIM) est une norme pour la gestion des identités des utilisateurs entre les applications.

Il s'agit d'une API REST dont la structure est clairement définie. De nombreux fournisseurs (tels que Microsoft, Github, Slack et Salesforce) prennent en charge la norme SCIM et des bibliothèques sont disponibles pour divers langages de programmation (tels que Java et Python).

Sherpany prend en charge la norme SCIM2 (la version 1.x n'est pas prise en charge).

Nous n'incluons pas de descriptions techniques approfondies sur l'API SCIM en général dans ce document, consultez http://www.simplecloud.info/ pour plus de détails.


Definitions

Terme
Description
Prestataire de services

L'application web qui permet de modifier les informations d'identité via le protocole SCIM.


Sherpany est le fournisseur de services.

Client

Une application qui utilise le protocole SCIM pour gérer les données d'identité maintenues par le fournisseur de services.


Le client de l'entreprise Sherpany est le client.

Resource (e.g User)

Un artefact qui est géré par un fournisseur de services et qui contient des attributs, par exemple un utilisateur.

OrganisationLe client 
UtilisateurUne personne qui a accès à l'application Sherpany.


Ressources


externalIdmax length 255 characters


Utilisateur

Schema: urn:ietf:params:scim:schemas:core:2.0:User

Consultez cette page pour la définition complète dans SCIM. Sherpany prend en charge le sous-ensemble suivant :



ChampExempleDescription
id85d0c1a8-fda3-4656-b4d3-7bcf8fda6d95Défini par Sherpany. Une identité unique et immuable.
externalIdx1234asdfuiopqere

Défini par le client. Un identifiant unique et immuable attribué à un utilisateur. La valeur doit être unique au sein de l'organisation et doit correspondre au NameID utilisé dans SAML.


Requis

actifvrai ou faux

Le statut administratif de l'utilisateur. Une valeur de true implique que l'utilisateur peut se connecter, tandis qu'une valeur de false implique que le compte de l'utilisateur a été suspendu.

nom d'utilisateurbjensen@example.com

L'email de l'utilisateur. Nous validons que la partie domaine (@exemple.com) est sur la liste blanche des domaines autorisés pour ce client.


Requis

nom

{
    "familyName": "Jensen",
    "givenName": "Barbara"
}

Sherpany utilise le familyName et le givenName (obligatoire) du nom. Les autres valeurs sont ignorées. 


Obligatoire

langue préféréeen-gb

Valeurs autorisées : en-gb, de-ch, fr-fr, it-it, pt-pt


Facultatif (revient à la valeur par défaut de en-gb)

phones
						
{				
        "value": "+41791234567",				
        "type": "work"				
}
						

Sherpany n'utilise que le premier élément de la liste.


Optionnel


Attributs non pris en charge

Attributs utilisateur de Sherpany non pris en charge par SCIM :

  • Photo de profil
  • Signature à la main
  • Sexe

Les ressources des utilisateurs ne peuvent pas être supprimées. Définissez plutôt les utilisateurs comme inactifs.


Operations


Supported
Operation
Description
SCIM Documentation Link
(tick)GETRécupérer une ressource existante (ou une liste de ressources)https://tools.ietf.org/html/rfc7644#section-3.4
(tick)POSTCréer une nouvelle ressourcehttps://tools.ietf.org/html/rfc7644#section-3.3
(tick)PUTMettre à jour une ressource existantehttps://tools.ietf.org/html/rfc7644#section-3.5.1
(minus)DELETE

Supprimer une ressource


Certaines ressources ne permettent pas la suppression.

Certaines ressources peuvent être supprimées (Sherpany effectue une "soft-delete" côté serveur). Les contraintes d'unicité s'appliquent toujours.


Ne peut pas être supprimé :

  • Utilisateur
https://tools.ietf.org/html/rfc7644#section-3.6
(minus)PATCHMise à jour atomique partiellehttps://tools.ietf.org/html/rfc7644#section-3.5.2


Les opérations de masse SCIM ne sont pas prises en charge.


Configuration

Sherpany mettra en place l'organisation et configurera le SSO (SAML) avec une liste blanche de domaines de messagerie autorisés qui seront sous la juridiction de ce domaine SCIM.


Nom
Valeur
SCIM API base URLhttps://app.sherpany.com/api/scim/
Authentification

en utilisant un Bearer Token dans l'en-tête http de toutes les requêtes


Autorisation : Bearer <TheToken>


Le jeton est lié à une organisation et l'accès est limité aux ressources associées à cette organisation.


Le personnel de Sherpany fournira le Token par un canal sécurisé.


Création avancée de tokens

Il est également possible pour le client Entreprise de Sherpany de générer la paire de clés RSA et d'utiliser la clé privée eux-mêmes pour générer un JWT RS512 en suivant nos directives.


Ceci présente l'avantage suivant :

  • la clé secrète n'a jamais à être communiquée (seule la clé publique doit être envoyée à Sherpany)
  • le client peut générer des jetons de courte durée selon ses besoins, ce qui réduit le risque de vol d'un jeton en cours de transfert.


Exemples

Obtenir tous les utilisateurs

Exemple de requête pour obtenir tous les utilisateurs

GET /api/scim/Users HTTP/1.1
Host: app.sherpany.com
Accept: application/scim+json
Authorization: Bearer eyJhbG.eyJvaWQiO.a7jxyB_kMcmi5
      

Créer un utilisateur

POST /api/scim/Users HTTP/1.1
Host: app.sherpany.com
Accept: application/scim+json
Content-Type: application/scim+json
Authorization: Bearer eyJhbG.eyJvaWQiO.a7jxyB_kMcmi5
 
{
  "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
  "userName": "test.tester@sherpany.com",
  "externalId": "123",
  "name": {
    "givenName": "Test",
    "familyName": "Tester"
  },
  "active": true
} 

Mettre à jour un utilisateur existant

PUT /api/scim/Users/965ffb27-6966-472d-a4b6-592bba3eeb82 HTTP/1.1
Host: app.sherpany.com
Accept: application/scim+json
Content-Type: application/scim+json
Authorization: Bearer eyJhbG.eyJvaWQiO.a7jxyB_kMcmi5
 
{
  "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
  "userName": "test.tester@sherpany.com",
  "externalId": "123",
  "name": {
    "givenName": "Test",
    "familyName": "Tester II"
  },
  "active": true
}

Quand synchroniser

Il est recommandé de synchroniser les utilisateurs individuels dès que les changements se produisent. Si cela n'est pas possible, une synchronisation complète peut également être effectuée périodiquement.

Cette réponse a-t-elle été utile ? Oui Non

Envoyer vos commentaires
Nous sommes désolés de ne pas avoir pu répondre à votre question. Aidez-nous à améliorer cet article grâce à vos commentaires.