Siirry pääsisältöön

Cosafe Support Center


SCIM-integraation määrittäminen

Tämä opas opastaa sinua SCIM-integraation (System for Cross-domain Identity Management) määrittämisessä identiteetintarjoajasi ja Cosafen välillä.

Important Huomautuksia

Tämä artikkeli käsittelee SCIM-integraatiota Entra ID:n (Azure AD) kanssa identiteetintarjoajana. Jos haluat määrittää Cosafe SCIM:n muiden identiteetintarjoajien kanssa, ota yhteyttä tukeen.

Tuetut identiteetintarjoajat

Edellytykset

Ennen SCIM-asennuksen aloittamista varmista, että sinulla on:

  • Ylläpitäjän käyttöoikeudet identiteetintarjoajaasi
  • Cosafe-tilisi järjestelmänvalvojan oikeudet
  • Cosafe-tuen tarjoamat API-tunnukset

Vaihe 1: Ota yhteyttä Cosafen tukeen

  1. Pyydä SCIM-aktivointia: Lähetä sähköpostia osoitteeseen support@cosafe.com pyytääksesi SCIM-integraation aktivointia
  2. Yhteystietojen vastaanotto: Cosafen tuki antaa sinulle SCIM-URL-osoitteen.

Vaihe 2: Luo API-avain SCIM-integraatiota varten

  1. Käytä Cosafe-hallintapaneeliasi
  2. Siirry kohtaan Tili -> Integraatiot-välilehti
  3. Luo SCIM API -avain
  4. Kopioi avain
Important

Muista kopioida API-avain, koska et voi nähdä sitä uudelleen.

Kuvakaappaus hallintapaneelista, jossa näkyy API-avainten luonti

Vaihe 3: Määritä ryhmät Cosafessa

Ennen SCIM-synkronoinnin käyttöönottoa määritä ryhmät Cosafessa:

  1. Käytä Cosafe-hallintapaneeliasi
  2. Siirry ryhmien hallintaan
  3. Luo ryhmiä, joihin SCIM-käyttäjät määritetään. Sijoita kyseiset ryhmät asianmukaisiin alatileihin. Jos ryhmä on jo olemassa, voit käyttää olemassa olevaa ryhmää yhdistämiseen.
  4. Vain Entrassa — Ulkoisen tunnuksen määrittäminen: Aseta Cosafe-hallintapaneelin kullekin ryhmälle Ryhmätunnus-kenttä vastaamaan identiteetintarjoajasi ryhmätunnusta (objectId Entrassa).

Vaihe 4: Tunnistetietojen tarjoajan konfigurointi

Määritä identiteetintarjoajasi käyttämään Cosafe SCIM -perus-URL-osoitetta. Tarkat vaiheet vaihtelevat palveluntarjoajasta riippuen:

Entra-tunnusta varten:

  1. Siirry Entra ID:ssä kohtaan Yrityssovellukset
  2. Luo uusi tai valitse olemassa oleva Cosafe-sovelluksesi. Uusille sovelluksille:
    • 2.1. "Uusi hakemus" -> "Luo oma hakemuksesi" (vasen yläkulma)
    • 2.2. "Sovelluksesi nimi" — mikä tahansa nimi, esimerkiksi Cosafe SCIM. On parempi, että sen voi myöhemmin erottaa.
    • 2.3. Valitse "Ei galleria"
  3. Siirry kohtaan "Valmistaminen" (vasen puoli), "Luo uusi kokoonpano" (ylhäällä)
  4. Syötä SCIM-perus-URL-osoite vaiheesta [vaihe 1] (#step-1-contact-cosafe-support) ja API-avain vaiheesta [vaihe 2] (#step-2-create-api-key-for-scim-integration)

    Huomautus: Sinun ei tarvitse lisätä "Bearer"-osaa API-avaimeen; liitä se suoraan syötteeseen annetussa muodossa.

  5. Paina "Testaa yhteys"
  6. Varmista, että määrityksen laajuus on "Synkronoi vain määritetyt käyttäjät ja ryhmät" (Pitäisi olla oletusarvoinen asetus)

Kuvakaappaus, jossa näkyvät Entran valmisteluasetukset

Vaihe 5: Määritysten yhdistäminen

Sisäänkäynti

Ryhmän attribuuttien yhdistäminen:

Cosafe SCIM -attribuuttiTunnistetietojen tarjoajan attribuuttiPakollinenVastaavien etusijaKuvaus
ulkoinen tunnisteobjektin tunnusKyllä1Tunnus, jota käytettiin ryhmien luomiseen Cosafessa
näyttöNiminäyttöNimiKylläRyhmän nimi
jäsenetjäsenetKylläKäyttäjäryhmän jäsenyydet
Important Huomautuksia

externalId-attribuutin on oltava vastaava. Oletusarvoisesti vastaava attribuutti on asetettu arvoon displayName, jonka vastaavan arvon prioriteetti on 1.

Jotta Entra sallisi displayName-attribuutin korvaamisen vastaavana attribuuttina externalId-attribuutilla:

  • Muuta displayName-kohdan ennakkotapaukseksi 2
  • Muokkaa externalId-attribuuttia "muokkaa"-painikkeella (katso kuvakaappaus), aseta "Match objects using this attribute": "Kyllä", "Matching precedence": 1
  • Palaa displayName-muuttujaan ja aseta "Match objects using this attribute": "No" poistaaksesi täsmäytysjärjestyksen tästä attribuutista. Tallentaa

Kuvakaappaus, jossa näkyy Entra-ryhmän määritemäärityksen yhdistäminen

Kuvakaappaus, joka näyttää, miten externalId asetetaan vastaavaksi attribuutiksi

Käyttäjäattribuuttien yhdistäminen:

Cosafe SCIM -attribuuttiTunnistetietojen tarjoajan attribuuttiPakollinenVastaavien etusijaKuvaus
käyttäjänimikäyttäjänPääkäyttäjänNimiKyllä1Yksilöllinen käyttäjätunnus. Täytyy olla sähköpostiosoite
aktiivinenSwitch([IsSoftDeleted], , "Epätosi", "Tosi", "Tosi", "Epätosi")KylläIlmaisee, onko käyttäjä käytössä
näyttöNimidisplayName tai nameKylläKäyttäjän koko nimi
otsikkotyönimikeEiKäyttäjän työtehtävä
puhelinnumerot[tyyppi yhtälö "työ".arvopuhelinnumeroEiEnsisijainen puhelinnumero
Important Huomautuksia
  • Käyttäjätunnuksen on oltava sähköpostiosoite
  • Käyttäjätunnuksen (sähköpostiosoitteen) on oltava yksilöllinen koko Cosafe-alustalla
  • Käyttäjätunnuksen (sähköpostiosoitteen) tulee vastata sähköpostiosoitetta, jonka haluat synkronoiduilla käyttäjilläsi olevan cosafessa. Jos se ei vastaa entrassa olevaa userPrincipalName-ominaisuutta, voit yhdistää sen Entran email-ominaisuuteen.
  • Sinun on poistettava rivi emails[type eq "work"].value
  • Puhelinnumeroiden on oltava kansainvälisessä muodossa (esim. +46701234567)
  • Syötä: Puhelinnumeron on oltava täsmälleen yksi
  • active-arvo, kuten Switch([IsSoftDeleted], , "False", "True", "True", "False") — on oletusarvoinen yhdistämismääritys
  • Asettamalla active-arvoksi false, käyttäjä poistetaan oikeuksista. Lisätietoja käyttäjien oikeuksien poistamisesta: Käyttäjän oikeuksien poistaminen

Kuvakaappaus, jossa näkyy Entran käyttäjäattribuuttien yhdistäminen

Lisätietoja attribuuttien yhdistämismäärityksen määrittämisestä Entrassa: Entra Customize Application Attributes

Vaihe 6: Ryhmien määrittäminen integraatiolle

Sisäänkäynti

Siirry kohtaan "Valmistelu" -> "Käyttäjät ja ryhmät"

  1. Paina "Lisää käyttäjä/ryhmä"
  2. Valitse ryhmät, jotka haluat määrittää. Huomautus: Voit valita useita samanaikaisesti
  3. Paina "Määritä"

Jos käyttäjä on AD:ssä ryhmän jäsen, joka on liitetty scim-integraatioon, myös kyseinen käyttäjä katsotaan liitetyksi scim-integraatioon.

Vaihe 7: Aloita valmistelu

Voit nyt aloittaa varaamisen!

Tuetut SCIM-toiminnot

Cosafe toteuttaa osan SCIM 2.0 -standardista, joka tukee seuraavia toimintoja:

Käyttäjätoiminnot

  • Listaa käyttäjät (GET /Users)
  • Etsi käyttäjä (GET /Users?filter=userName eq "user@example.com")
  • Lue käyttäjä (GET /Users/{id})
  • Luo käyttäjä (POST /Käyttäjät)
  • Päivitä käyttäjä (PUT /Käyttäjät/{id})
  • Korjauskäyttäjä (PATCH /Käyttäjät/{id})
  • Poista käyttäjä (DELETE /Users/{id}, lisätietoja käyttäjien oikeuksien poistamisesta: User Deprovision)

Konsernin toiminnot

  • Listaa ryhmät (GET /Groups)
  • Etsi ryhmä (GET /Groups?filter=externalId eq "xxxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx")
  • Lue ryhmä (GET /Groups/{id})
  • Luo (ryhmät luodaan Cosafessa)
  • Päivitä ryhmä (PUT /Groups/{id})
  • Korjausryhmä (KORJAUS /Ryhmät/{id})
  • Poista ryhmä (POISTA /Ryhmät/{id})

Tuetut ominaisuudet

Käyttäjät:

  • käyttäjänimi (pakollinen, päivitettävissä)
  • displayName (pakollinen, päivitettävissä)
  • puhelinnumerot (valinnainen, ei päivitettävissä)
  • otsikko (valinnainen, päivitettävä)
  • id (Cosafen määrittämä, ei päivitettävissä)
  • ulkoinenId (valinnainen, päivitettävä)
  • sähköpostiosoitteet (Cosafen määrittämät, aina yhtä suuret kuin käyttäjänimi)
  • aktiivinen (pakollinen)

Ryhmät:

  • id (Cosafen määrittämä, ei päivitettävissä)
  • ulkoinenId (pakollinen, päivitettävissä)
  • displayName (pakollinen, päivitettävissä)
  • jäsenet (pakollinen, päivitettävissä)

Käyttäjän oikeuksien poistoprosessi

Käyttäjää poistetaan käytöstä, kun Cosafe SCIM vastaanottaa:

  • POISTA /Käyttäjät/{id}
  • PUT /Käyttäjät/{id} jossa active: false
  • PATCH /Users/{id} jossa active: false

Kaikki nämä kolme varianttia laukaisevat käyttäjän oikeuksien poistamisen, ja käyttäjä poistetaan. Käyttäjäistunnot mitätöityvät, eivätkä käyttäjät enää pääse Cosafe-mobiili- tai verkkosovellukseen. Käyttäjä voidaan myöhemmin luoda automaattisesti uudelleen.

Milloin oikeuksien poistaminen käynnistetään?

  • Kun käyttäjä poistetaan hakemistostasi pehmeästi, identiteetintarjoaja lähettää SCIM-pyynnön PATCH- tai PUT-komennon kautta asettaakseen käyttäjän tilaan active: false.
  • Kun käyttäjä poistetaan pysyvästi hakemistostasi, identiteetintarjoaja lähettää SCIM-pyynnön DELETE-komennon kautta. Mutta käyttäjän pysyvää poistamista varten identiteetintarjoajien on yleensä ensin poistettava käyttäjä pehmeästi, mikä laukaisee ensimmäisen tapauksen.
  • Kun käyttäjällä ei enää ole suoraa tai epäsuoraa SCIM-integraatiomääritystä (määritetyn ryhmän jäsenyyden kautta; katso Ryhmien määrittäminen), käyttäjä poistetaan.
    Jos palveluntarjoaja on Entra, voit siirtää käyttäjän ryhmien välillä synkronointivälin sisällä käynnistämättä käyttöoikeuksien poistamista.

Vianmääritys

Yleisiä ongelmia

Käyttäjät eivät synkronoi:

  • Varmista, että API-avain on oikein ja aktiivinen
  • Varmista, että SCIM-perus-URL-osoitteen muoto on sama kuin kohdassa Vaihe 1: Ota yhteyttä Cosafen tukeen annetussa muodossa.
  • Varmista, että tarvittavat käyttäjät ovat tunnistetietojen toimittajassasi määritettyjen ryhmien jäseniä.
  • Vahvista käyttäjämäärityksen määritys
  • Tarkista tunnistetietojen toimittajasi käyttölokit

Ryhmätehtävät eivät toimi:

  • Varmista, että ryhmätunnukset ovat olemassa Cosafessa
  • Varmista, että ryhmät on määritetty integraatioon identiteetintarjoajan integraatioasetuksissa.
  • Vahvista ryhmän yhdistämismääritykset
  • Tarkista tunnistetietojen toimittajasi käyttölokit

Synkronointiviiveet:

  • SCIM-asennuksen alkuvaiheet kestävät yleensä 3–5 minuuttia.
  • Synkronoinnin SCIM-toimintojen nopeus riippuu identiteetintarjoajastasi. Katso Kuinka nopeasti muutokset synkronoidaan
  • Suurten käyttäjäerien käsittely voi kestää kauemmin

Tuen saaminen

Jos kohtaat ongelmia SCIM-integraation kanssa:

  1. Kerää virheiden valmistelulokit ja aikaleimat
  2. Huomaa, mitkä toiminnot epäonnistuvat
  3. Ota yhteyttä osoitteeseen support@cosafe.com ja kerro yksityiskohtaiset tiedot osoitteesta support@cosafe.com.

Jos sinulla on lisäkysymyksiä SCIM-integraatiosta, ota yhteyttä tukitiimiimme osoitteessa support@cosafe.com.