Siirry pääsisältöön

Cosafe Support Center


Usein kysytyt kysymykset SCIMistä

Yleisiä kysymyksiä

Mikä on SCIM ja miksi minun pitäisi käyttää sitä?

SCIM (System for Cross-domain Identity Management) on alan standardiprotokolla käyttäjien identiteetin hallinnan automatisoimiseksi järjestelmien välillä. SCIM-integraation avulla voit:

  • Luo käyttäjätilit automaattisesti, kun uusia työntekijöitä liittyy
  • Päivitä käyttäjätiedot, kun identiteetin tarjoajaan tehdään muutoksia
  • Poista tilit välittömästi työntekijöiden lähtiessä
  • Vähennä manuaalista hallinnollista työtä ja inhimillisiä virheitä
  • Varmista käyttäjätietojen yhdenmukaisuus eri järjestelmissä

Mitä identiteetin tarjoajia tuetaan?

  • Microsoft Entra ID (entinen Azure Active Directory, Azure AD)

Jos haluat määrittää Cosafe SCIM:n muiden IdP:iden kanssa, ota yhteyttä tukeen.

Tekniset kysymykset

Mitä SCIM-versiota Cosafe tukee?

Cosafe käyttää SCIM 2.0 -protokollaa, joka tukee erityisesti osaa toiminnoista, jotka keskittyvät käyttäjien vakiointiin ja ryhmien hallintaan. Tätä protokollaa käyttävät useimmat identiteetin tarjoajat.

Mitä tapahtuu, jos API-avaimeni vaarantuu?

Jos epäilet, että API-avaimesi on vaarantunut:

  1. Ota välittömästi yhteyttä Cosafen tukeen osoitteessa support@cosafe.com
  2. Tuki poistaa nykyisen avaimen käytöstä ja myöntää uuden.
  3. Päivitä identiteetin tarjoajasi määritykset uudella avaimella
  4. Valvo identiteetin tarjoajasi tarkastuslokeja

Käyttäjien ja ryhmien hallintaan liittyvät kysymykset

Mitä käyttäjätietoja synkronoidaan?

Seuraavat käyttäjäominaisuudet synkronoidaan:

  • Pakollinen: Käyttäjänimi, näyttönimi
  • Valinnainen: Puhelinnumerot, työtehtävä
  • Tila: Aktiivinen tila tilinhallinnassa

Päivitettävät ominaisuudet:

  • Päivitettävissä: Käyttäjätunnus, näyttönimi, työtehtävä, puhelinnumerot

Lisätietoja määritteistä on kohdassa Tuetut määritteet

Mitä ryhmätietoja synkronoidaan?

Seuraavat ryhmän määritteet synkronoidaan:

  • Valinnainen: Näyttönimi

Lisätietoja näyttönimen määrityksen poistamisesta on kohdassa Vaihe 5: Määritteiden määrityksen määritys ja vierittämällä hieman alaspäin.

Voinko käyttää samaa ryhmätunnusta useille ryhmille Cosafessa?

SCIM-protokollan avulla yhteensovittamisen on oltava yksilöllistä. Yksi ulkoinen tunnus Cosafe-ryhmää kohden.

Voinko sulkea tiettyjä käyttäjiä tai ryhmiä pois SCIM-synkronoinnista?

Kyllä, useimmat identiteetintarjoajat sallivat sinun:

  • Luo provisiointiintegraatio, jossa on vain määritetyt käyttäjät ja ryhmät
  • Määritä laajuusrajoitukset valmisteluasetuksissasi

Ota yhteyttä Cosafen tukeen saadaksesi tarkempia määritysohjeita.

Miten Cosafe-kutsut toimivat SCIM:n luomien käyttäjien kanssa?

Kun käyttäjät luodaan SCIM:n kautta:

  • Käyttäjät aktivoidaan välittömästi, joten he voivat kirjautua sisään kertakirjautumisella tai käyttämällä ”unohtunut salasana” -toimintoa.
  • Tällä hetkellä he eivät automaattisesti saa kutsusähköpostia. Jos haluat käyttäjien vastaanottavan kutsusähköpostin, sinun on kutsuttava heidät manuaalisesti.

Mitä tapahtuu, jos saavutamme lisenssirajan käyttäjien synkronoinnin aikana?

SCIM ei pysty ylittämään enimmäisrajaa. Jos raja saavutetaan, käyttäjiä ei enää oteta käyttöön ja SCIM-palveluntarjoajasi antaa virheilmoituksen. Sinun on otettava yhteyttä tukeemme nostaaksesi rajaa. Kun lisää lisenssejä on saatavilla, käyttäjien käyttöoikeudet aloitetaan uudelleen.

Mitä tapahtuu, kun käyttäjä poistetaan identiteetin tarjoajastani?

Kun käyttäjä poistetaan tai aktivoidaan identiteetin tarjoajassasi:

  • Cosafe-käyttäjätili poistetaan automaattisesti
  • Käyttäjä menettää pääsyn Cosafeen välittömästi
  • Aiemmat tiedot ja lokitiedot säilytetään

Voinko ohittaa SCIM:n hallinnoimat tiedot manuaalisesti?

Voit muokata määritteitä, joita ei ole yhdistetty SCIM:n (Tuetut määritteet) kautta.

On erittäin suositeltavaa olla muokkaamatta SCIM:n kautta kartoitettuja tietoja ja attribuutteja. Tämä johtaa ristiriitaisiin tai virheellisiin käyttäjätietoihin Cosafen ja IdP:n välillä.

Voinko edelleen luoda käyttäjiä manuaalisesti, jos olen ottanut SCIM:n käyttöön?

Kyllä! Manuaalisesti luomasi käyttäjät ohitetaan SCIM-synkronoinnissa, ellei identiteetintarjoajasi hallinnoi heitä.

Tämä sisältää käyttäjän lisäämisen SCIM:n hallinnoituihin ryhmiin.

Mitä tapahtuu, jos synkronoitu käyttäjä, joka on lisätty manuaalisesti manuaalisesti hallinnoituihin ryhmiin, poistetaan synkronoidusta ryhmästään?

Jos käyttäjä on asetettu ei-aktiiviseksi, poistettu tai poistettu kaikista AD:n SCIM-ryhmistä, käyttäjä poistetaan Cosafesta ja kaikista ryhmistä, mukaan lukien manuaalisesti hallitut ryhmät.

Jos käyttäjä on kuitenkin edelleen yhden tai useamman SCIM-ryhmän jäsen, käyttäjä pysyy manuaalisesti lisätyissä ryhmissä, kunnes hänet poistetaan manuaalisesti kyseisistä ryhmistä tai kunnes käyttäjä täyttää yllä olevat ehdot.

Voinko synkronoida käyttäjän muuten manuaalisesti hallinnoituun ryhmään?

Kyllä – mutta vain tietyin ehdoin.

Jos sinulla on manuaalisesti hallinnoitu ryhmä ja haluat synkronoida tiettyjä käyttäjiä (esimerkiksi kieltenopettajia) kyseiseen ryhmään AD/IdP:n kautta, se toimii, kunhan ryhmän muut käyttäjät eivät ole mukana samassa AD/IdP-synkronoinnissa.

Jos käyttäjän sähköpostiosoite on osa synkronoitua hakemistoa, identiteetintarjoaja (AD/IdP) ottaa haltuunsa kyseisen käyttäjän ryhmäjäsenyyden. Tässä tapauksessa synkronointi saattaa ohittaa manuaalisen ryhmänhallinnan.

Lyhyesti sanottuna:

  • Voit yhdistää manuaalisesti ja synkronoituja käyttäjiä ryhmään
  • Mutta vain jos manuaalisesti lisätyt käyttäjät eivät ole osa synkronoitua AD/IdP-laajuusaluetta

Voinko lisätä manuaalisesti luodun käyttäjän synkronoituun ryhmään?

Kyllä.

Voit lisätä käyttäjiä ryhmiin manuaalisesti, vaikka kyseiset käyttäjät tulisivatkin AD/IdP:stä. Kuitenkin:

  • Jos ryhmä itse on SCIM-hallittu (synkronoitu), sen jäsenyyttä hallitsee identiteetintarjoaja.
  • SCIM lisää ja poistaa käyttäjiä automaattisesti AD/IdP:ssä määritettyjen asetusten perusteella.
  • SCIM-hallittuun ryhmään tehdyt manuaaliset muutokset voidaan korvata seuraavan synkronoinnin aikana.

Jos ryhmää hallitaan manuaalisesti, voit lisätä siihen AD/IdP-käyttäjiä vapaasti – eikä SCIM poista niitä automaattisesti, ellei ryhmä itse ole osa synkronointikokoonpanoa.

Lyhyesti sanottuna:

  • Voit lisätä AD/IdP-käyttäjiä manuaalisesti hallinnoituihin ryhmiin
  • SCIM ohjaa vain synkronointia varten määritettyjä ryhmiä
  • Synkronoidut ryhmät noudattavat aina IdP:tä – manuaaliset muokkaukset eivät välttämättä säily.

Mitä tapahtuu, jos siirrät synkronoidun ryhmän toiselle tilille hallintapaneelissa?

Kun siirrät ryhmän hallintapaneelissa, sinulta kysytään, haluatko lisätä käyttäjät uudelle tilille vai poistaa heidät ryhmästä.

  • Jos valitset Lisää, ne lisätään normaalisti ja synkronoidaan edelleen ryhmään uudella tilillä.
  • Jos valitset Poista, tulokset voivat vaihdella palveluntarjoajasta riippuen. Entra voi esimerkiksi edelleen pitää käyttäjiä ryhmän jäseninä eikä siksi lisätä heitä uudelleen.
Tärkeä huomautus

Huomaa, että SCIM ei voi poistaa käyttäjiä edelliseltä ali- tai päätililtä. Synkronointi lisää käyttäjät vain uudelle tilille. Jos käyttäjät on poistettava heidän edelliseltä ali- tai päätililtään, tämä on tehtävä manuaalisesti.

Mitä käyttäjälle tapahtuu, jos synkronoitu ryhmä poistetaan?

Jos ryhmä poistetaan Entrassa:

  • Jos käyttäjä on synkronoitu Entran kautta ja on vain kyseisen ryhmän jäsen, käyttäjä poistetaan.
  • Jos käyttäjä on synkronoitu Entran kautta ja on useiden ryhmien jäsen, käyttäjä pysyy jäljellä olevissa ryhmissä.

Jos ryhmä poistetaan hallintapaneelista:

  • SCIM-synkronointi epäonnistuu, koska CoSafessa ei ole enää vastaavaa ryhmää.
  • Käyttäjät pysyvät tilillä, johon ryhmät kuuluivat.

Vianmäärityskysymykset

Käyttäjät eivät synkronoidu – mitä minun pitäisi tarkistaa?

Yleisiä vianmääritysohjeita:

  1. Vahvista API-tunnistetiedot:

    • Tarkista, että API-avain on oikein ja aktiivinen
    • Vahvista SCIM-perus-URL-osoitteen muoto
    • Testaa yhteyttä identiteetintarjoajasi integraatiomäärityksen kautta. Yleensä integraatioasetuksissa/tunnistetietojen asetuksissa perus-URL-osoitteen ja käyttöoikeusavaimen/tunnuksen kenttien jälkeen on painike "Testaa", "Yhdistä" tai "Testaa yhteys".

  2. Tarkista identiteetintarjoajan asetukset:

    • Varmista, että provisointi on käytössä
    • Vahvista, että attribuuttien yhdistämismääritykset ovat oikein
    • Vahvista, että ryhmät ja/tai käyttäjät on määritetty SCIM-integraatioon

Miksi jotkin käyttäjäominaisuudet eivät synkronoidu?

Mahdollisia syitä:

  • Puuttuva attribuuttimääritys: Tarkista identiteetintarjoajasi määritykset
  • Ei-tuetut määritteet: Varmista, että Cosafe SCIM tukee määritteitä ja että ne on yhdistetty oikein identiteetintarjoajasi määrityksiin.
  • Tietomuoto-ongelmat: Varmista, että tietomuodot vastaavat odotettuja SCIM-standardeja

Lisätietoja kartoituksesta ja muotovaatimuksista on kohdassa Attribuuttien kartoituksen asetukset

Miten käsittelen ryhmätehtäviin liittyviä ongelmia?

Ryhmätehtävien ongelmien ratkaisemiseksi:

  1. Tarkista ryhmän yhdistäminen: Tarkista, että identiteetin tarjoajan ryhmät vastaavat voimassa olevia Cosafe-ryhmätunnuksia
  2. Tarkista ryhmän käyttöoikeudet: Varmista, että ryhmät ovat olemassa ja käytettävissä Cosafessa.
  3. Attribuuttisääntöjen tarkistaminen: Vahvista ryhmän määrittäminen identiteetin tarjoajastasi

Toteutuskysymykset

Voinko siirtää olemassa olevat käyttäjät SCIM-hallintaan?

Kyllä, olemassa olevat käyttäjät voidaan siirtää SCIM-hallintaan.

Tarvitsetko lisää apua?

Jos sinulla on kysymyksiä, joita ei käsitellä tässä usein kysytyissä kysymyksissä, lähetä sähköpostia tukitiimillemme osoitteeseen support@cosafe.com