SCIM-integraation määrittäminen
Tämä opas opastaa sinua SCIM-integraation (System for Cross-domain Identity Management) määrittämisessä identiteetintarjoajasi ja Cosafen välillä.
Tämä artikkeli käsittelee SCIM-integraatiota Entra ID:n (Azure AD) kanssa identiteetintarjoajana. Jos haluat määrittää Cosafe SCIM:n muiden identiteetintarjoajien kanssa, ota yhteyttä tukeen.
Edellytykset
Ennen SCIM-asennuksen aloittamista varmista, että sinulla on:
- Ylläpitäjän käyttöoikeudet identiteetintarjoajaasi
- Cosafe-tilisi järjestelmänvalvojan oikeudet
- Cosafe-tuen tarjoamat API-tunnukset
Vaihe 1: Ota yhteyttä Cosafen tukeen
- Pyydä SCIM-aktivointia: Lähetä sähköpostia osoitteeseen support@cosafe.com pyytääksesi SCIM-integraation aktivointia
- Yhteystietojen vastaanotto: Cosafen tuki antaa sinulle SCIM-URL-osoitteen.
Vaihe 2: Luo API-avain SCIM-integraatiota varten
- Käytä Cosafe-hallintapaneeliasi
- Siirry kohtaan Tili -> Integraatiot-välilehti
- Luo SCIM API -avain
- Kopioi avain
Muista kopioida API-avain, koska et voi nähdä sitä uudelleen.
Vaihe 3: Määritä ryhmät Cosafessa
Ennen SCIM-synkronoinnin käyttöönottoa määritä ryhmät Cosafessa:
- Käytä Cosafe-hallintapaneeliasi
- Siirry ryhmien hallintaan
- Luo ryhmiä, joihin SCIM-käyttäjät määritetään. Sijoita kyseiset ryhmät asianmukaisiin alatileihin. Jos ryhmä on jo olemassa, voit käyttää olemassa olevaa ryhmää yhdistämiseen.
- Vain Entrassa — Ulkoisen tunnuksen määrittäminen: Aseta Cosafe-hallintapaneelin kullekin ryhmälle Ryhmätunnus-kenttä vastaamaan identiteetintarjoajasi ryhmätunnusta (objectId Entrassa).
Vaihe 4: Tunnistetietojen tarjoajan konfigurointi
Määritä identiteetintarjoajasi käyttämään Cosafe SCIM -perus-URL-osoitetta. Tarkat vaiheet vaihtelevat palveluntarjoajasta riippuen:
Entra-tunnusta varten:
- Siirry Entra ID:ssä kohtaan Yrityssovellukset
- Luo uusi tai valitse olemassa oleva Cosafe-sovelluksesi. Uusille sovelluksille:
- 2.1. "Uusi hakemus" -> "Luo oma hakemuksesi" (vasen yläkulma)
- 2.2. "Sovelluksesi nimi" — mikä tahansa nimi, esimerkiksi
Cosafe SCIM
. On parempi, että sen voi myöhemmin erottaa. - 2.3. Valitse "Ei galleria"
- Siirry kohtaan "Valmistaminen" (vasen puoli), "Luo uusi kokoonpano" (ylhäällä)
- Syötä SCIM-perus-URL-osoite vaiheesta [vaihe 1] (#step-1-contact-cosafe-support) ja API-avain vaiheesta [vaihe 2] (#step-2-create-api-key-for-scim-integration)
Huomautus: Sinun ei tarvitse lisätä "Bearer"-osaa API-avaimeen; liitä se suoraan syötteeseen annetussa muodossa.
- Paina "Testaa yhteys"
- Varmista, että määrityksen laajuus on "Synkronoi vain määritetyt käyttäjät ja ryhmät" (Pitäisi olla oletusarvoinen asetus)
Vaihe 5: Määritysten yhdistäminen
Sisäänkäynti
Ryhmän attribuuttien yhdistäminen:
Cosafe SCIM -attribuutti | Tunnistetietojen tarjoajan attribuutti | Pakollinen | Vastaavien etusija | Kuvaus |
---|---|---|---|---|
ulkoinen tunniste | objektin tunnus | Kyllä | 1 | Tunnus, jota käytettiin ryhmien luomiseen Cosafessa |
näyttöNimi | näyttöNimi | Kyllä | Ryhmän nimi | |
jäsenet | jäsenet | Kyllä | Käyttäjäryhmän jäsenyydet |
externalId
-attribuutin on oltava vastaava. Oletusarvoisesti vastaava attribuutti on asetettu arvoon displayName
, jonka vastaavan arvon prioriteetti on 1.
Jotta Entra sallisi displayName
-attribuutin korvaamisen vastaavana attribuuttina externalId
-attribuutilla:
- Muuta
displayName
-kohdan ennakkotapaukseksi 2 - Muokkaa
externalId
-attribuuttia "muokkaa"-painikkeella (katso kuvakaappaus), aseta"Match objects using this attribute": "Kyllä"
,"Matching precedence": 1
- Palaa
displayName
-muuttujaan ja aseta"Match objects using this attribute": "No"
poistaaksesi täsmäytysjärjestyksen tästä attribuutista. Tallentaa
Käyttäjäattribuuttien yhdistäminen:
Cosafe SCIM -attribuutti | Tunnistetietojen tarjoajan attribuutti | Pakollinen | Vastaavien etusija | Kuvaus |
---|---|---|---|---|
käyttäjänimi | käyttäjänPääkäyttäjänNimi | Kyllä | 1 | Yksilöllinen käyttäjätunnus. Täytyy olla sähköpostiosoite |
aktiivinen | Switch([IsSoftDeleted], , "Epätosi", "Tosi", "Tosi", "Epätosi") | Kyllä | Ilmaisee, onko käyttäjä käytössä | |
näyttöNimi | displayName tai name | Kyllä | Käyttäjän koko nimi | |
otsikko | työnimike | Ei | Käyttäjän työtehtävä | |
puhelinnumerot[tyyppi yhtälö "työ".arvo | puhelinnumero | Ei | Ensisijainen puhelinnumero |
- Käyttäjätunnuksen on oltava sähköpostiosoite
- Käyttäjätunnuksen (sähköpostiosoitteen) on oltava yksilöllinen koko Cosafe-alustalla
- Käyttäjätunnuksen (sähköpostiosoitteen) tulee vastata sähköpostiosoitetta, jonka haluat synkronoiduilla käyttäjilläsi olevan cosafessa. Jos se ei vastaa entrassa olevaa
userPrincipalName
-ominaisuutta, voit yhdistää sen Entranemail
-ominaisuuteen. - Sinun on poistettava rivi
emails[type eq "work"].value
- Puhelinnumeroiden on oltava kansainvälisessä muodossa (esim. +46701234567)
- Syötä: Puhelinnumeron on oltava täsmälleen yksi
active
-arvo, kutenSwitch([IsSoftDeleted], , "False", "True", "True", "False")
— on oletusarvoinen yhdistämismääritys- Asettamalla
active
-arvoksi false, käyttäjä poistetaan oikeuksista. Lisätietoja käyttäjien oikeuksien poistamisesta: Käyttäjän oikeuksien poistaminen
Lisätietoja attribuuttien yhdistämismäärityksen määrittämisestä Entrassa: Entra Customize Application Attributes
Vaihe 6: Ryhmien määrittäminen integraatiolle
Sisäänkäynti
Siirry kohtaan "Valmistelu" -> "Käyttäjät ja ryhmät"
- Paina "Lisää käyttäjä/ryhmä"
- Valitse ryhmät, jotka haluat määrittää. Huomautus: Voit valita useita samanaikaisesti
- Paina "Määritä"
Jos käyttäjä on AD:ssä ryhmän jäsen, joka on liitetty scim-integraatioon, myös kyseinen käyttäjä katsotaan liitetyksi scim-integraatioon.
Vaihe 7: Aloita valmistelu
Voit nyt aloittaa varaamisen!
Tuetut SCIM-toiminnot
Cosafe toteuttaa osan SCIM 2.0 -standardista, joka tukee seuraavia toimintoja:
Käyttäjätoiminnot
- ✅ Listaa käyttäjät (
GET /Users
) - ✅ Etsi käyttäjä (
GET /Users?filter=userName eq "user@example.com"
) - ✅ Lue käyttäjä (
GET /Users/{id}
) - ✅ Luo käyttäjä (
POST /Käyttäjät
) - ✅ Päivitä käyttäjä (
PUT /Käyttäjät/{id}
) - ✅ Korjauskäyttäjä (
PATCH /Käyttäjät/{id}
) - ✅ Poista käyttäjä (
DELETE /Users/{id}
, lisätietoja käyttäjien oikeuksien poistamisesta: User Deprovision)
Konsernin toiminnot
- ✅ Listaa ryhmät (
GET /Groups
) - ✅ Etsi ryhmä (
GET /Groups?filter=externalId eq "xxxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx"
) - ✅ Lue ryhmä (
GET /Groups/{id}
) - ❌ Luo (ryhmät luodaan Cosafessa)
- ✅ Päivitä ryhmä (
PUT /Groups/{id}
) - ✅ Korjausryhmä (
KORJAUS /Ryhmät/{id}
) - ✅ Poista ryhmä (
POISTA /Ryhmät/{id}
)
Tuetut ominaisuudet
Käyttäjät:
käyttäjänimi
(pakollinen, päivitettävissä)displayName
(pakollinen, päivitettävissä)puhelinnumerot
(valinnainen, ei päivitettävissä)otsikko
(valinnainen, päivitettävä)id
(Cosafen määrittämä, ei päivitettävissä)ulkoinenId
(valinnainen, päivitettävä)sähköpostiosoitteet
(Cosafen määrittämät, aina yhtä suuret kuinkäyttäjänimi
)aktiivinen
(pakollinen)
Ryhmät:
id
(Cosafen määrittämä, ei päivitettävissä)ulkoinenId
(pakollinen, päivitettävissä)displayName
(pakollinen, päivitettävissä)jäsenet
(pakollinen, päivitettävissä)
Käyttäjän oikeuksien poistoprosessi
Käyttäjää poistetaan käytöstä, kun Cosafe SCIM vastaanottaa:
POISTA /Käyttäjät/{id}
PUT /Käyttäjät/{id}
jossaactive: false
PATCH /Users/{id}
jossaactive: false
Kaikki nämä kolme varianttia laukaisevat käyttäjän oikeuksien poistamisen, ja käyttäjä poistetaan. Käyttäjäistunnot mitätöityvät, eivätkä käyttäjät enää pääse Cosafe-mobiili- tai verkkosovellukseen. Käyttäjä voidaan myöhemmin luoda automaattisesti uudelleen.
Milloin oikeuksien poistaminen käynnistetään?
- Kun käyttäjä poistetaan hakemistostasi pehmeästi, identiteetintarjoaja lähettää SCIM-pyynnön PATCH- tai PUT-komennon kautta asettaakseen käyttäjän tilaan
active: false
. - Kun käyttäjä poistetaan pysyvästi hakemistostasi, identiteetintarjoaja lähettää SCIM-pyynnön DELETE-komennon kautta. Mutta käyttäjän pysyvää poistamista varten identiteetintarjoajien on yleensä ensin poistettava käyttäjä pehmeästi, mikä laukaisee ensimmäisen tapauksen.
- Kun käyttäjällä ei enää ole suoraa tai epäsuoraa SCIM-integraatiomääritystä (määritetyn ryhmän jäsenyyden kautta; katso Ryhmien määrittäminen), käyttäjä poistetaan.
Jos palveluntarjoaja on Entra, voit siirtää käyttäjän ryhmien välillä synkronointivälin sisällä käynnistämättä käyttöoikeuksien poistamista.
Vianmääritys
Yleisiä ongelmia
Käyttäjät eivät synkronoi:
- Varmista, että API-avain on oikein ja aktiivinen
- Varmista, että SCIM-perus-URL-osoitteen muoto on sama kuin kohdassa Vaihe 1: Ota yhteyttä Cosafen tukeen annetussa muodossa.
- Varmista, että tarvittavat käyttäjät ovat tunnistetietojen toimittajassasi määritettyjen ryhmien jäseniä.
- Vahvista käyttäjämäärityksen määritys
- Tarkista tunnistetietojen toimittajasi käyttölokit
Ryhmätehtävät eivät toimi:
- Varmista, että ryhmätunnukset ovat olemassa Cosafessa
- Varmista, että ryhmät on määritetty integraatioon identiteetintarjoajan integraatioasetuksissa.
- Vahvista ryhmän yhdistämismääritykset
- Tarkista tunnistetietojen toimittajasi käyttölokit
Synkronointiviiveet:
- SCIM-asennuksen alkuvaiheet kestävät yleensä 3–5 minuuttia.
- Synkronoinnin SCIM-toimintojen nopeus riippuu identiteetintarjoajastasi. Katso Kuinka nopeasti muutokset synkronoidaan
- Suurten käyttäjäerien käsittely voi kestää kauemmin
Tuen saaminen
Jos kohtaat ongelmia SCIM-integraation kanssa:
- Kerää virheiden valmistelulokit ja aikaleimat
- Huomaa, mitkä toiminnot epäonnistuvat
- Ota yhteyttä osoitteeseen support@cosafe.com ja kerro yksityiskohtaiset tiedot osoitteesta support@cosafe.com.
Jos sinulla on lisäkysymyksiä SCIM-integraatiosta, ota yhteyttä tukitiimiimme osoitteessa support@cosafe.com.