Siirry pääsisältöön

Cosafe Support Center


SCIM-integraation määrittäminen

Tämä opas opastaa sinua SCIM-integraation (System for Cross-domain Identity Management) määrittämisessä identiteetin tarjoajasi ja Cosafen välillä.

Important Huomautuksia

Tämä artikkeli käsittelee SCIM-integraatiota Entra ID:n (Azure AD) kanssa identiteetin tarjoajana. Jos haluat määrittää Cosafe SCIM:n muiden identiteetin tarjoajien kanssa, ota yhteyttä tukeen.

Tuetut identiteetin tarjoajat

Edellytykset

Ennen SCIM-asennuksen aloittamista varmista, että sinulla on:

  • Ylläpitäjän käyttöoikeudet identiteetin tarjoajaasi
  • Cosafe-tilisi järjestelmänvalvojan oikeudet
  • Cosafe-tuen tarjoamat API-tunnukset

Vaihe 1: Ota yhteyttä Cosafen tukeen

  1. Pyydä SCIM-aktivointia: Lähetä sähköpostia osoitteeseen support@cosafe.com pyytääksesi SCIM-integraation aktivointia
  2. Yhteystietojen vastaanotto: Cosafen tuki antaa sinulle SCIM-URL-osoitteen.

Vaihe 2: Luo API-avain SCIM-integraatiota varten

  1. Käytä Cosafe-hallintapaneeliasi
  2. Siirry kohtaan Tili -> Integraatiot-välilehti
  3. Luo SCIM API -avain
  4. Kopioi avain
Important

Muista kopioida API-avain, koska et voi nähdä sitä uudelleen.

Kuvakaappaus hallintapaneelista, jossa näkyy API-avainten luonti

Vaihe 3: Määritä ryhmät Cosafessa

Ennen SCIM-synkronoinnin käyttöönottoa määritä ryhmät Cosafessa:

  1. Käytä Cosafe-hallintapaneeliasi
  2. Siirry ryhmien hallintaan
  3. Luo ryhmiä, joihin SCIM-käyttäjät määritetään. Sijoita kyseiset ryhmät asianmukaisiin alitileihin. Jos ryhmä on jo olemassa, voit käyttää olemassa olevaa ryhmää yhdistämiseen.
  4. Vain Entrassa — Ulkoisen tunnuksen määrittäminen: Aseta Cosafe-hallintapaneelin kullekin ryhmälle Ryhmätunnus-kenttä vastaamaan identiteetin tarjoajasi ryhmätunnusta (objectId Entrassa).

Vaihe 4: Identiteetin tarjoajan konfigurointi

Määritä identiteetin tarjoajasi käyttämään Cosafe SCIM -perus-URL-osoitetta. Tarkat vaiheet vaihtelevat palvelun tarjoajasta riippuen:

Entra-tunnusta varten:

  1. Siirry Entra ID:ssä kohtaan Yrityssovellukset
  2. Luo uusi tai valitse olemassa oleva Cosafe-sovelluksesi. Uusille sovelluksille:
    • 2.1. "Uusi hakemus" -> "Luo oma hakemuksesi" (vasen yläkulma)
    • 2.2. "Sovelluksesi nimi" — mikä tahansa nimi, esimerkiksi Cosafe SCIM. On parempi, että sen voi myöhemmin erottaa.
    • 2.3. Valitse "Ei galleria"
  3. Siirry kohtaan "Provisionointi" (vasen puoli), "Luo uusi kokoonpano" (ylhäällä)
  4. Syötä SCIM-perus-URL-osoite vaiheesta [vaihe 1] (#step-1-contact-cosafe-support) ja API-avain vaiheesta [vaihe 2] (#step-2-create-api-key-for-scim-integration)

    Huomautus: Sinun ei tarvitse lisätä "Bearer"-osaa API-avaimeen; liitä se suoraan syötteeseen annetussa muodossa.

  5. Paina "Testaa yhteys"
  6. Varmista, että määrityksen laajuus on "Synkronoi vain määritetyt käyttäjät ja ryhmät" (Pitäisi olla oletusarvoinen asetus)

Kuvakaappaus, jossa näkyvät Entran valmisteluasetukset

Vaihe 5: Attribuuttien määritykset

Entra

Ryhmäattribuuttien kartoittaminen:

Cosafe SCIM -attribuuttiIdentiteetin tarjoajan attribuuttiPakollinenVastaavuuden ensisijaisuusKuvaus
ulkoinen tunnisteobjektin tunnisteKyllä1Tunnus, jota käytettiin ryhmien luomiseen Cosafessa
näyttöNiminäyttöNimiKylläRyhmän nimi
jäsenetjäsenetKylläKäyttäjäryhmän jäsenyydet
Important Huomautuksia

ulkoinen tunniste-attribuutin on oltava vastaavuusattribuutti. Oletusarvoisesti vastaava attribuutti on asetettu arvoon näyttöNimi, jonka vastaavan arvon prioriteetti on 1.

Jotta Entra sallisi näyttöNimi-attribuutin korvaamisen vastaavana attribuuttina ulkoinen tunniste-attribuutilla:

  • Muuta näyttöNimi-kohta ensisijaisuus 2
  • Muokkaa ulkoinen tunniste-attribuuttia "muokkaa"-painikkeella (katso kuvakaappaus), aseta "Yhdistä objektit tämän attribuutin avulla": "Kyllä", "Vastaavuuden ensisijaisuus": 1
  • Palaa näyttöNimi-muuttujaan ja aseta "Yhdistä objektit tämän attribuutin avulla": "No" poistaaksesi vastaavuuden ensisijaisuuden tästä attribuutista. Tallenna

Kuvakaappaus, jossa näkyy Entra-ryhmän attribuuttien vastaavuusmäärittely

Kuvakaappaus, joka näyttää, miten ulkoinen tunniste asetetaan vastaavaksi attribuutiksi

Käyttäjäattribuuttien yhdistäminen:

Cosafe SCIM -attribuuttiIdentiteetin tarjoajan attribuuttiPakollinenVastaavuuden ensisijaisuusKuvaus
käyttäjänimiPääkäyttäjäNimiKyllä1Yksilöllinen käyttäjätunnus. Täytyy olla sähköpostiosoite
aktiivinenSwitch([IsSoftDeleted], , "Epätosi", "Tosi", "Tosi", "Epätosi")KylläIlmaisee, onko käyttäjä käytössä
näyttöNiminäyttöNimi tai nimiKylläKäyttäjän koko nimi
tittelityönimikeEiKäyttäjän työtehtävä
puhelinnumerot[tyyppi yhtälö "työ".arvopuhelinnumeroEiEnsisijainen puhelinnumero
Important Huomautuksia
  • Käyttäjätunnuksen on oltava sähköpostiosoite
  • Käyttäjätunnuksen (sähköpostiosoitteen) on oltava yksilöllinen koko Cosafe-alustalla
  • Käyttäjätunnuksen (sähköpostiosoitteen) tulee vastata sähköpostiosoitetta, jonka haluat synkronoiduilla käyttäjilläsi olevan cosafessa. Jos se ei vastaa entrassa olevaa Pääkäyttäjänimeä-, voit yhdistää sen Entran sähköpostiin
  • Sinun on poistettava rivi sähköposti[type eq "work"].arvo
  • Puhelinnumeroiden on oltava kansainvälisessä muodossa (esim. +46701234567)
  • Entra: Puhelinnumeron on oltava täsmälleen yksi
  • Aktiivinen-arvo, kuten Switch([IsSoftDeleted], , "Epätosi", "Tosi", "Tosi", "Epätosi") — on oletusarvoinen yhdistämismääritys
  • Asettamalla aktiivinen-arvoksi epätosi, käyttäjän oikeudet poistetaan. Lisätietoja käyttäjien oikeuksien poistamisesta: Käyttäjän oikeuksien poistaminen

Kuvakaappaus, jossa näkyy Entran käyttäjäattribuuttien yhdistäminen

Lisätietoja attribuuttien yhdistämismäärityksen määrittämisestä Entrassa: Entra Customize Application Attributes

Vaihe 6: Ryhmien määrittäminen integraatiolle

Entra

Siirry kohtaan "Käyttöönotto" -> "Käyttäjät ja ryhmät"

  1. Paina "Lisää käyttäjä/ryhmä"
  2. Valitse ryhmät, jotka haluat määrittää. Huomautus: Voit valita useita samanaikaisesti
  3. Paina "Määritä"

Jos käyttäjä on AD:ssä ryhmän jäsen, joka on liitetty scim-integraatioon, myös kyseinen käyttäjä katsotaan liitetyksi scim-integraatioon.

Vaihe 7: Aloita käyttöönotto

Voit nyt aloittaa käyttöönoton!

Tuetut SCIM-toiminnot

Cosafe toteuttaa osan SCIM 2.0 -standardista, joka tukee seuraavia toimintoja:

Käyttäjätoiminnot

  • Listaa käyttäjät (GET /Users)
  • Etsi käyttäjä (GET /Users?filter=userName eq "user@example.com")
  • Lue käyttäjä (GET /Users/{id})
  • Luo käyttäjä (POST /Käyttäjät)
  • Päivitä käyttäjä (PUT /Käyttäjät/{id})
  • Korjaa käyttäjä (PATCH /Käyttäjät/{id})
  • Poista käyttäjä (DELETE /Users/{id}, lisätietoja käyttäjien oikeuksien poistamisesta: User Deprovision)

Ryhmätoiminnot

  • Listaa ryhmät (GET /Groups)
  • Etsi ryhmä (GET /Groups?filter=externalId eq "xxxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx")
  • Lue ryhmä (GET /Groups/{id})
  • Luo (ryhmät luodaan Cosafessa)
  • Päivitä ryhmä (PUT /Groups/{id})
  • Korjaa ryhmä (KORJAUS /Ryhmät/{id})
  • Poista ryhmä (POISTA /Ryhmät/{id})

Tuetut ominaisuudet

Käyttäjät:

  • käyttäjänimi (pakollinen, päivitettävissä)
  • näyttöNimi (pakollinen, päivitettävissä)
  • puhelinnumerot (valinnainen, ei päivitettävissä)
  • otsikko (valinnainen, päivitettävä)
  • id (Cosafen määrittämä, ei päivitettävissä)
  • ulkoinen tunniste (valinnainen, päivitettävä)
  • sähköpostiosoitteet (Cosafen määrittämät, aina yhtä suuret kuin käyttäjänimi)
  • aktiivinen (pakollinen)

Ryhmät:

  • id (Cosafen määrittämä, ei päivitettävissä)
  • ulkoinen tunniste (pakollinen, päivitettävissä)
  • näyttöNimi (pakollinen, päivitettävissä)
  • jäsenet (pakollinen, päivitettävissä)

Käyttäjän oikeuksien poistoprosessi

Käyttäjä poistetaan käytöstä, kun Cosafe SCIM vastaanottaa:

  • POISTA /Käyttäjät/{id}
  • PUT /Käyttäjät/{id} jossa aktiivinen: epätosi
  • KORJAA /Users/{id} jossa aktiivinen: epätosi

Kaikki nämä kolme varianttia laukaisevat käyttäjän oikeuksien poistamisen, ja käyttäjä poistetaan. Käyttäjäistunnot mitätöityvät, eivätkä käyttäjät enää pääse Cosafe-mobiili- tai verkkosovellukseen. Käyttäjä voidaan myöhemmin luoda automaattisesti uudelleen.

Milloin oikeuksien poistaminen käynnistetään?

  • Kun käyttäjä poistetaan hakemistostasi pehmeästi, identiteetin tarjoaja lähettää SCIM-pyynnön KORJAA- tai PUT-komennon kautta asettaakseen käyttäjän tilaan aktiivinen: epätosi
  • Kun käyttäjä poistetaan pysyvästi hakemistostasi, identiteetin tarjoaja lähettää SCIM-pyynnön POISTA-komennon kautta. Mutta käyttäjän pysyvää poistamista varten identiteetin tarjoajien on yleensä ensin poistettava käyttäjä pehmeästi, mikä laukaisee ensimmäisen tapauksen.
  • Kun käyttäjällä ei enää ole suoraa tai epäsuoraa SCIM-integraatiomääritystä (määritetyn ryhmän jäsenyyden kautta; katso Ryhmien määrittäminen), käyttäjä poistetaan.
    Jos palveluntarjoaja on Entra, voit siirtää käyttäjän ryhmien välillä synkronointivälin sisällä käynnistämättä käyttöoikeuksien poistamista.

Vianmääritys

Yleisiä ongelmia

Käyttäjät eivät synkronoidu:

  • Varmista, että API-avain on oikein ja aktiivinen
  • Varmista, että SCIM-perus-URL-osoitteen muoto on sama kuin kohdassa Vaihe 1: Ota yhteyttä Cosafen tukeen annetussa muodossa.
  • Varmista, että tarvittavat käyttäjät ovat identiteetin tarjoasi määritettyjen ryhmien jäseniä
  • Vahvista käyttäjäkartoituksen määritykset
  • Tarkista identiteetin tarjoajasi käyttölokit

Ryhmien määritykset eivät toimi:

  • Varmista, että ryhmätunnukset ovat olemassa Cosafessa
  • Varmista, että ryhmät on määritetty integraatioon identiteetin tarjoajan integraatioasetuksissa
  • Vahvista ryhmän yhdistämismääritykset
  • Tarkista identiteetin tarjoajasi käyttölokit

Synkronointiviiveet:

  • SCIM-asennuksen alkuvaiheet kestävät yleensä 3–5 minuuttia.
  • Synkronoinnin SCIM-toimintojen nopeus riippuu identiteetintarjoajastasi. Katso Kuinka nopeasti muutokset synkronoidaan
  • Suurten käyttäjäerien käsittely voi kestää kauemmin

Tuen saaminen

Jos kohtaat ongelmia SCIM-integraation kanssa:

  1. Kerää virheiden valmistelulokit ja aikaleimat
  2. Merkitse mitkä toiminnot epäonnistuvat
  3. Ota yhteyttä osoitteeseen support@cosafe.com ja kerro yksityiskohtaiset tiedot

Jos sinulla on lisäkysymyksiä SCIM-integraatiosta, ota yhteyttä tukitiimiimme osoitteessa support@cosafe.com.