SCIM-integraation määrittäminen
Tämä opas opastaa sinua SCIM-integraation (System for Cross-domain Identity Management) määrittämisessä identiteetin tarjoajasi ja Cosafen välillä.
Tämä artikkeli käsittelee SCIM-integraatiota Entra ID:n (Azure AD) kanssa identiteetin tarjoajana. Jos haluat määrittää Cosafe SCIM:n muiden identiteetin tarjoajien kanssa, ota yhteyttä tukeen.
Edellytykset
Ennen SCIM-asennuksen aloittamista varmista, että sinulla on:
- Ylläpitäjän käyttöoikeudet identiteetin tarjoajaasi
- Cosafe-tilisi järjestelmänvalvojan oikeudet
- Cosafe-tuen tarjoamat API-tunnukset
Vaihe 1: Ota yhteyttä Cosafen tukeen
- Pyydä SCIM-aktivointia: Lähetä sähköpostia osoitteeseen support@cosafe.com pyytääksesi SCIM-integraation aktivointia
- Yhteystietojen vastaanotto: Cosafen tuki antaa sinulle SCIM-URL-osoitteen.
Vaihe 2: Luo API-avain SCIM-integraatiota varten
- Käytä Cosafe-hallintapaneeliasi
- Siirry kohtaan Tili -> Integraatiot-välilehti
- Luo SCIM API -avain
- Kopioi avain
Muista kopioida API-avain, koska et voi nähdä sitä uudelleen.

Vaihe 3: Määritä ryhmät Cosafessa
Ennen SCIM-synkronoinnin käyttöönottoa määritä ryhmät Cosafessa:
- Käytä Cosafe-hallintapaneeliasi
- Siirry ryhmien hallintaan
- Luo ryhmiä, joihin SCIM-käyttäjät määritetään. Sijoita kyseiset ryhmät asianmukaisiin alitileihin. Jos ryhmä on jo olemassa, voit käyttää olemassa olevaa ryhmää yhdistämiseen.
- Vain Entrassa — Ulkoisen tunnuksen määrittäminen: Aseta Cosafe-hallintapaneelin kullekin ryhmälle Ryhmätunnus-kenttä vastaamaan identiteetin tarjoajasi ryhmätunnusta (objectId Entrassa).
Vaihe 4: Identiteetin tarjoajan konfigurointi
Määritä identiteetin tarjoajasi käyttämään Cosafe SCIM -perus-URL-osoitetta. Tarkat vaiheet vaihtelevat palvelun tarjoajasta riippuen:
Entra-tunnusta varten:
- Siirry Entra ID:ssä kohtaan Yrityssovellukset
- Luo uusi tai valitse olemassa oleva Cosafe-sovelluksesi. Uusille sovelluksille:
- 2.1. "Uusi hakemus" -> "Luo oma hakemuksesi" (vasen yläkulma)
- 2.2. "Sovelluksesi nimi" — mikä tahansa nimi, esimerkiksi Cosafe SCIM. On parempi, että sen voi myöhemmin erottaa.
- 2.3. Valitse "Ei galleria"
 
- Siirry kohtaan "Provisionointi" (vasen puoli), "Luo uusi kokoonpano" (ylhäällä)
- Syötä SCIM-perus-URL-osoite vaiheesta [vaihe 1] (#step-1-contact-cosafe-support) ja API-avain vaiheesta [vaihe 2] (#step-2-create-api-key-for-scim-integration)
Huomautus: Sinun ei tarvitse lisätä "Bearer"-osaa API-avaimeen; liitä se suoraan syötteeseen annetussa muodossa. 
- Paina "Testaa yhteys"
- Varmista, että määrityksen laajuus on "Synkronoi vain määritetyt käyttäjät ja ryhmät" (Pitäisi olla oletusarvoinen asetus)

Vaihe 5: Attribuuttien määritykset
Entra
Ryhmäattribuuttien kartoittaminen:
| Cosafe SCIM -attribuutti | Identiteetin tarjoajan attribuutti | Pakollinen | Vastaavuuden ensisijaisuus | Kuvaus | 
|---|---|---|---|---|
| ulkoinen tunniste | objektin tunniste | Kyllä | 1 | Tunnus, jota käytettiin ryhmien luomiseen Cosafessa | 
| näyttöNimi | näyttöNimi | Kyllä | Ryhmän nimi | |
| jäsenet | jäsenet | Kyllä | Käyttäjäryhmän jäsenyydet | 
ulkoinen tunniste-attribuutin on oltava vastaavuusattribuutti. Oletusarvoisesti vastaava attribuutti on asetettu arvoon näyttöNimi, jonka vastaavan arvon prioriteetti on 1.
Jotta Entra sallisi näyttöNimi-attribuutin korvaamisen vastaavana attribuuttina ulkoinen tunniste-attribuutilla:
- Muuta näyttöNimi-kohta ensisijaisuus 2
- Muokkaa ulkoinen tunniste-attribuuttia "muokkaa"-painikkeella (katso kuvakaappaus), aseta"Yhdistä objektit tämän attribuutin avulla": "Kyllä","Vastaavuuden ensisijaisuus": 1
- Palaa näyttöNimi-muuttujaan ja aseta"Yhdistä objektit tämän attribuutin avulla": "No"poistaaksesi vastaavuuden ensisijaisuuden tästä attribuutista. Tallenna


Käyttäjäattribuuttien yhdistäminen:
| Cosafe SCIM -attribuutti | Identiteetin tarjoajan attribuutti | Pakollinen | Vastaavuuden ensisijaisuus | Kuvaus | 
|---|---|---|---|---|
| käyttäjänimi | PääkäyttäjäNimi | Kyllä | 1 | Yksilöllinen käyttäjätunnus. Täytyy olla sähköpostiosoite | 
| aktiivinen | Switch([IsSoftDeleted], , "Epätosi", "Tosi", "Tosi", "Epätosi") | Kyllä | Ilmaisee, onko käyttäjä käytössä | |
| näyttöNimi | näyttöNimitainimi | Kyllä | Käyttäjän koko nimi | |
| titteli | työnimike | Ei | Käyttäjän työtehtävä | |
| puhelinnumerot[tyyppi yhtälö "työ".arvo | puhelinnumero | Ei | Ensisijainen puhelinnumero | 
- Käyttäjätunnuksen on oltava sähköpostiosoite
- Käyttäjätunnuksen (sähköpostiosoitteen) on oltava yksilöllinen koko Cosafe-alustalla
- Käyttäjätunnuksen (sähköpostiosoitteen) tulee vastata sähköpostiosoitetta, jonka haluat synkronoiduilla käyttäjilläsi olevan cosafessa. Jos se ei vastaa entrassa olevaa Pääkäyttäjänimeä-, voit yhdistää sen Entransähköpostiin
- Sinun on poistettava rivi sähköposti[type eq "work"].arvo
- Puhelinnumeroiden on oltava kansainvälisessä muodossa (esim. +46701234567)
- Entra: Puhelinnumeron on oltava täsmälleen yksi
- Aktiivinen-arvo, kuten- Switch([IsSoftDeleted], , "Epätosi", "Tosi", "Tosi", "Epätosi")— on oletusarvoinen yhdistämismääritys
- Asettamalla aktiivinen-arvoksi epätosi, käyttäjän oikeudet poistetaan. Lisätietoja käyttäjien oikeuksien poistamisesta: Käyttäjän oikeuksien poistaminen

Lisätietoja attribuuttien yhdistämismäärityksen määrittämisestä Entrassa: Entra Customize Application Attributes
Vaihe 6: Ryhmien määrittäminen integraatiolle
Entra
Siirry kohtaan "Käyttöönotto" -> "Käyttäjät ja ryhmät"
- Paina "Lisää käyttäjä/ryhmä"
- Valitse ryhmät, jotka haluat määrittää. Huomautus: Voit valita useita samanaikaisesti
- Paina "Määritä"
Jos käyttäjä on AD:ssä ryhmän jäsen, joka on liitetty scim-integraatioon, myös kyseinen käyttäjä katsotaan liitetyksi scim-integraatioon.
Vaihe 7: Aloita käyttöönotto
Voit nyt aloittaa käyttöönoton!
Tuetut SCIM-toiminnot
Cosafe toteuttaa osan SCIM 2.0 -standardista, joka tukee seuraavia toimintoja:
Käyttäjätoiminnot
- ✅ Listaa käyttäjät (GET /Users)
- ✅ Etsi käyttäjä (GET /Users?filter=userName eq "user@example.com")
- ✅ Lue käyttäjä (GET /Users/{id})
- ✅ Luo käyttäjä (POST /Käyttäjät)
- ✅ Päivitä käyttäjä (PUT /Käyttäjät/{id})
- ✅ Korjaa käyttäjä (PATCH /Käyttäjät/{id})
- ✅ Poista käyttäjä (DELETE /Users/{id}, lisätietoja käyttäjien oikeuksien poistamisesta: User Deprovision)
Ryhmätoiminnot
- ✅ Listaa ryhmät (GET /Groups)
- ✅ Etsi ryhmä (GET /Groups?filter=externalId eq "xxxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx")
- ✅ Lue ryhmä (GET /Groups/{id})
- ❌ Luo (ryhmät luodaan Cosafessa)
- ✅ Päivitä ryhmä (PUT /Groups/{id})
- ✅ Korjaa ryhmä (KORJAUS /Ryhmät/{id})
- ✅ Poista ryhmä (POISTA /Ryhmät/{id})
Tuetut ominaisuudet
Käyttäjät:
- käyttäjänimi(pakollinen, päivitettävissä)
- näyttöNimi(pakollinen, päivitettävissä)
- puhelinnumerot(valinnainen, ei päivitettävissä)
- otsikko(valinnainen, päivitettävä)
- id(Cosafen määrittämä, ei päivitettävissä)
- ulkoinen tunniste(valinnainen, päivitettävä)
- sähköpostiosoitteet(Cosafen määrittämät, aina yhtä suuret kuin- käyttäjänimi)
- aktiivinen(pakollinen)
Ryhmät:
- id(Cosafen määrittämä, ei päivitettävissä)
- ulkoinen tunniste(pakollinen, päivitettävissä)
- näyttöNimi(pakollinen, päivitettävissä)
- jäsenet(pakollinen, päivitettävissä)
Käyttäjän oikeuksien poistoprosessi
Käyttäjä poistetaan käytöstä, kun Cosafe SCIM vastaanottaa:
- POISTA /Käyttäjät/{id}
- PUT /Käyttäjät/{id}jossa- aktiivinen: epätosi
- KORJAA /Users/{id}jossa- aktiivinen: epätosi
Kaikki nämä kolme varianttia laukaisevat käyttäjän oikeuksien poistamisen, ja käyttäjä poistetaan. Käyttäjäistunnot mitätöityvät, eivätkä käyttäjät enää pääse Cosafe-mobiili- tai verkkosovellukseen. Käyttäjä voidaan myöhemmin luoda automaattisesti uudelleen.
Milloin oikeuksien poistaminen käynnistetään?
- Kun käyttäjä poistetaan hakemistostasi pehmeästi, identiteetin tarjoaja lähettää SCIM-pyynnön KORJAA- tai PUT-komennon kautta asettaakseen käyttäjän tilaan aktiivinen: epätosi
- Kun käyttäjä poistetaan pysyvästi hakemistostasi, identiteetin tarjoaja lähettää SCIM-pyynnön POISTA-komennon kautta. Mutta käyttäjän pysyvää poistamista varten identiteetin tarjoajien on yleensä ensin poistettava käyttäjä pehmeästi, mikä laukaisee ensimmäisen tapauksen.
- Kun käyttäjällä ei enää ole suoraa tai epäsuoraa SCIM-integraatiomääritystä (määritetyn ryhmän jäsenyyden kautta; katso Ryhmien määrittäminen), käyttäjä poistetaan.
 Jos palveluntarjoaja on Entra, voit siirtää käyttäjän ryhmien välillä synkronointivälin sisällä käynnistämättä käyttöoikeuksien poistamista.
Vianmääritys
Yleisiä ongelmia
Käyttäjät eivät synkronoidu:
- Varmista, että API-avain on oikein ja aktiivinen
- Varmista, että SCIM-perus-URL-osoitteen muoto on sama kuin kohdassa Vaihe 1: Ota yhteyttä Cosafen tukeen annetussa muodossa.
- Varmista, että tarvittavat käyttäjät ovat identiteetin tarjoasi määritettyjen ryhmien jäseniä
- Vahvista käyttäjäkartoituksen määritykset
- Tarkista identiteetin tarjoajasi käyttölokit
Ryhmien määritykset eivät toimi:
- Varmista, että ryhmätunnukset ovat olemassa Cosafessa
- Varmista, että ryhmät on määritetty integraatioon identiteetin tarjoajan integraatioasetuksissa
- Vahvista ryhmän yhdistämismääritykset
- Tarkista identiteetin tarjoajasi käyttölokit
Synkronointiviiveet:
- SCIM-asennuksen alkuvaiheet kestävät yleensä 3–5 minuuttia.
- Synkronoinnin SCIM-toimintojen nopeus riippuu identiteetintarjoajastasi. Katso Kuinka nopeasti muutokset synkronoidaan
- Suurten käyttäjäerien käsittely voi kestää kauemmin
Tuen saaminen
Jos kohtaat ongelmia SCIM-integraation kanssa:
- Kerää virheiden valmistelulokit ja aikaleimat
- Merkitse mitkä toiminnot epäonnistuvat
- Ota yhteyttä osoitteeseen support@cosafe.com ja kerro yksityiskohtaiset tiedot
Jos sinulla on lisäkysymyksiä SCIM-integraatiosta, ota yhteyttä tukitiimiimme osoitteessa support@cosafe.com.