SCIM-integraation määrittäminen

Tämä opas opastaa sinua SCIM-integraation (System for Cross-domain Identity Management) määrittämisessä identiteetin tarjoajasi ja Cosafen välillä.

Important Huomautuksia

Tämä artikkeli käsittelee SCIM-integraatiota Entra ID:n (Azure AD) kanssa identiteetin tarjoajana. Jos haluat määrittää Cosafe SCIM:n muiden identiteetin tarjoajien kanssa, ota yhteyttä tukeen.

Tuetut identiteetin tarjoajat

Edellytykset

Ennen SCIM-asennuksen aloittamista varmista, että sinulla on:

• Ylläpitäjän käyttöoikeudet identiteetin tarjoajaasi
• Cosafe-tilisi järjestelmänvalvojan oikeudet
• Cosafe-tuen tarjoamat API-tunnukset

Vaihe 1: Ota yhteyttä Cosafen tukeen

1. Pyydä SCIM-aktivointia: Lähetä sähköpostia osoitteeseen support@cosafe.com pyytääksesi SCIM-integraation aktivointia
2. Yhteystietojen vastaanotto: Cosafen tuki antaa sinulle SCIM-URL-osoitteen.

Vaihe 2: Luo API-avain SCIM-integraatiota varten

1. Käytä Cosafe-hallintapaneeliasi
2. Siirry kohtaan Tili -> Integraatiot-välilehti
3. Luo SCIM API -avain
4. Kopioi avain

Important

Muista kopioida API-avain, koska et voi nähdä sitä uudelleen.

Vaihe 3: Määritä ryhmät Cosafessa

Ennen SCIM-synkronoinnin käyttöönottoa määritä ryhmät Cosafessa:

1. Käytä Cosafe-hallintapaneeliasi
2. Siirry ryhmien hallintaan
3. Luo ryhmiä, joihin SCIM-käyttäjät määritetään. Sijoita kyseiset ryhmät asianmukaisiin alitileihin. Jos ryhmä on jo olemassa, voit käyttää olemassa olevaa ryhmää yhdistämiseen.
4. Vain Entrassa — Ulkoisen tunnuksen määrittäminen: Aseta Cosafe-hallintapaneelin kullekin ryhmälle Ryhmätunnus-kenttä vastaamaan identiteetin tarjoajasi ryhmätunnusta (objectId Entrassa).

Vaihe 4: Identiteetin tarjoajan konfigurointi

Määritä identiteetin tarjoajasi käyttämään Cosafe SCIM -perus-URL-osoitetta. Tarkat vaiheet vaihtelevat palvelun tarjoajasta riippuen:

Entra-tunnusta varten:

1. Siirry Entra ID:ssä kohtaan Yrityssovellukset
2. Luo uusi tai valitse olemassa oleva Cosafe-sovelluksesi. Uusille sovelluksille:
   • 2.1. "Uusi hakemus" -> "Luo oma hakemuksesi" (vasen yläkulma)
   • 2.2. "Sovelluksesi nimi" — mikä tahansa nimi, esimerkiksi Cosafe SCIM. On parempi, että sen voi myöhemmin erottaa.
   • 2.3. Valitse "Ei galleria"
3. Siirry kohtaan "Provisionointi" (vasen puoli), "Luo uusi kokoonpano" (ylhäällä)
4. Syötä SCIM-perus-URL-osoite vaiheesta [vaihe 1] (#step-1-contact-cosafe-support) ja API-avain vaiheesta [vaihe 2] (#step-2-create-api-key-for-scim-integration)

   Huomautus: Sinun ei tarvitse lisätä "Bearer"-osaa API-avaimeen; liitä se suoraan syötteeseen annetussa muodossa.

5. Paina "Testaa yhteys"
6. Varmista, että määrityksen laajuus on "Synkronoi vain määritetyt käyttäjät ja ryhmät" (Pitäisi olla oletusarvoinen asetus)

Vaihe 5: Attribuuttien määritykset

Entra

Ryhmäattribuuttien kartoittaminen:

Cosafe SCIM -attribuutti	Identiteetin tarjoajan attribuutti	Pakollinen	Vastaavuuden ensisijaisuus	Kuvaus
ulkoinen tunniste	objektin tunniste	Kyllä	1	Tunnus, jota käytettiin ryhmien luomiseen Cosafessa
näyttöNimi	näyttöNimi	Kyllä		Ryhmän nimi
jäsenet	jäsenet	Kyllä		Käyttäjäryhmän jäsenyydet

Important Huomautuksia

ulkoinen tunniste-attribuutin on oltava vastaavuusattribuutti. Oletusarvoisesti vastaava attribuutti on asetettu arvoon näyttöNimi, jonka vastaavan arvon prioriteetti on 1.

Jotta Entra sallisi näyttöNimi-attribuutin korvaamisen vastaavana attribuuttina ulkoinen tunniste-attribuutilla:

• Muuta näyttöNimi-kohta ensisijaisuus 2
• Muokkaa ulkoinen tunniste-attribuuttia "muokkaa"-painikkeella (katso kuvakaappaus), aseta "Yhdistä objektit tämän attribuutin avulla": "Kyllä", "Vastaavuuden ensisijaisuus": 1
• Palaa näyttöNimi-muuttujaan ja aseta "Yhdistä objektit tämän attribuutin avulla": "No" poistaaksesi vastaavuuden ensisijaisuuden tästä attribuutista. Tallenna

Käyttäjäattribuuttien yhdistäminen:

Cosafe SCIM -attribuutti	Identiteetin tarjoajan attribuutti	Pakollinen	Vastaavuuden ensisijaisuus	Kuvaus
käyttäjänimi	PääkäyttäjäNimi	Kyllä	1	Yksilöllinen käyttäjätunnus. Täytyy olla sähköpostiosoite
aktiivinen	Switch([IsSoftDeleted], , "Epätosi", "Tosi", "Tosi", "Epätosi")	Kyllä		Ilmaisee, onko käyttäjä käytössä
näyttöNimi	näyttöNimi tai nimi	Kyllä		Käyttäjän koko nimi
titteli	työnimike	Ei		Käyttäjän työtehtävä
puhelinnumerot[tyyppi yhtälö "työ".arvo	puhelinnumero	Ei		Ensisijainen puhelinnumero

Important Huomautuksia

• Käyttäjätunnuksen on oltava sähköpostiosoite
• Käyttäjätunnuksen (sähköpostiosoitteen) on oltava yksilöllinen koko Cosafe-alustalla
• Käyttäjätunnuksen (sähköpostiosoitteen) tulee vastata sähköpostiosoitetta, jonka haluat synkronoiduilla käyttäjilläsi olevan cosafessa. Jos se ei vastaa entrassa olevaa Pääkäyttäjänimeä-, voit yhdistää sen Entran sähköpostiin
• Sinun on poistettava rivi sähköposti[type eq "work"].arvo
• Puhelinnumeroiden on oltava kansainvälisessä muodossa (esim. +46701234567)
• Entra: Puhelinnumeron on oltava täsmälleen yksi
• Aktiivinen-arvo, kuten Switch([IsSoftDeleted], , "Epätosi", "Tosi", "Tosi", "Epätosi") — on oletusarvoinen yhdistämismääritys
• Asettamalla aktiivinen-arvoksi epätosi, käyttäjän oikeudet poistetaan. Lisätietoja käyttäjien oikeuksien poistamisesta: Käyttäjän oikeuksien poistaminen

Lisätietoja attribuuttien yhdistämismäärityksen määrittämisestä Entrassa: Entra Customize Application Attributes

Vaihe 6: Ryhmien määrittäminen integraatiolle

Entra

Siirry kohtaan "Käyttöönotto" -> "Käyttäjät ja ryhmät"

1. Paina "Lisää käyttäjä/ryhmä"
2. Valitse ryhmät, jotka haluat määrittää. Huomautus: Voit valita useita samanaikaisesti
3. Paina "Määritä"

Jos käyttäjä on AD:ssä ryhmän jäsen, joka on liitetty scim-integraatioon, myös kyseinen käyttäjä katsotaan liitetyksi scim-integraatioon.

Vaihe 7: Aloita käyttöönotto

Voit nyt aloittaa käyttöönoton!

Tuetut SCIM-toiminnot

Cosafe toteuttaa osan SCIM 2.0 -standardista, joka tukee seuraavia toimintoja:

Käyttäjätoiminnot

• ✅ Listaa käyttäjät (GET /Users)
• ✅ Etsi käyttäjä (GET /Users?filter=userName eq "user@example.com")
• ✅ Lue käyttäjä (GET /Users/{id})
• ✅ Luo käyttäjä (POST /Käyttäjät)
• ✅ Päivitä käyttäjä (PUT /Käyttäjät/{id})
• ✅ Korjaa käyttäjä (PATCH /Käyttäjät/{id})
• ✅ Poista käyttäjä (DELETE /Users/{id}, lisätietoja käyttäjien oikeuksien poistamisesta: User Deprovision)

Ryhmätoiminnot

• ✅ Listaa ryhmät (GET /Groups)
• ✅ Etsi ryhmä (GET /Groups?filter=externalId eq "xxxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx")
• ✅ Lue ryhmä (GET /Groups/{id})
• ❌ Luo (ryhmät luodaan Cosafessa)
• ✅ Päivitä ryhmä (PUT /Groups/{id})
• ✅ Korjaa ryhmä (KORJAUS /Ryhmät/{id})
• ✅ Poista ryhmä (POISTA /Ryhmät/{id})

Tuetut ominaisuudet

Käyttäjät:

• käyttäjänimi (pakollinen, päivitettävissä)
• näyttöNimi (pakollinen, päivitettävissä)
• puhelinnumerot (valinnainen, ei päivitettävissä)
• otsikko (valinnainen, päivitettävä)
• id (Cosafen määrittämä, ei päivitettävissä)
• ulkoinen tunniste (valinnainen, päivitettävä)
• sähköpostiosoitteet (Cosafen määrittämät, aina yhtä suuret kuin käyttäjänimi)
• aktiivinen (pakollinen)

Ryhmät:

• id (Cosafen määrittämä, ei päivitettävissä)
• ulkoinen tunniste (pakollinen, päivitettävissä)
• näyttöNimi (pakollinen, päivitettävissä)
• jäsenet (pakollinen, päivitettävissä)

Käyttäjän oikeuksien poistoprosessi

Käyttäjä poistetaan käytöstä, kun Cosafe SCIM vastaanottaa:

• POISTA /Käyttäjät/{id}
• PUT /Käyttäjät/{id} jossa aktiivinen: epätosi
• KORJAA /Users/{id} jossa aktiivinen: epätosi

Kaikki nämä kolme varianttia laukaisevat käyttäjän oikeuksien poistamisen, ja käyttäjä poistetaan. Käyttäjäistunnot mitätöityvät, eivätkä käyttäjät enää pääse Cosafe-mobiili- tai verkkosovellukseen. Käyttäjä voidaan myöhemmin luoda automaattisesti uudelleen.

Milloin oikeuksien poistaminen käynnistetään?

• Kun käyttäjä poistetaan hakemistostasi pehmeästi, identiteetin tarjoaja lähettää SCIM-pyynnön KORJAA- tai PUT-komennon kautta asettaakseen käyttäjän tilaan aktiivinen: epätosi
• Kun käyttäjä poistetaan pysyvästi hakemistostasi, identiteetin tarjoaja lähettää SCIM-pyynnön POISTA-komennon kautta. Mutta käyttäjän pysyvää poistamista varten identiteetin tarjoajien on yleensä ensin poistettava käyttäjä pehmeästi, mikä laukaisee ensimmäisen tapauksen.
• Kun käyttäjällä ei enää ole suoraa tai epäsuoraa SCIM-integraatiomääritystä (määritetyn ryhmän jäsenyyden kautta; katso Ryhmien määrittäminen), käyttäjä poistetaan.
  Jos palveluntarjoaja on Entra, voit siirtää käyttäjän ryhmien välillä synkronointivälin sisällä käynnistämättä käyttöoikeuksien poistamista.

Vianmääritys

Yleisiä ongelmia

Käyttäjät eivät synkronoidu:

• Varmista, että API-avain on oikein ja aktiivinen
• Varmista, että SCIM-perus-URL-osoitteen muoto on sama kuin kohdassa Vaihe 1: Ota yhteyttä Cosafen tukeen annetussa muodossa.
• Varmista, että tarvittavat käyttäjät ovat identiteetin tarjoasi määritettyjen ryhmien jäseniä
• Vahvista käyttäjäkartoituksen määritykset
• Tarkista identiteetin tarjoajasi käyttölokit

Ryhmien määritykset eivät toimi:

• Varmista, että ryhmätunnukset ovat olemassa Cosafessa
• Varmista, että ryhmät on määritetty integraatioon identiteetin tarjoajan integraatioasetuksissa
• Vahvista ryhmän yhdistämismääritykset
• Tarkista identiteetin tarjoajasi käyttölokit

Synkronointiviiveet:

• SCIM-asennuksen alkuvaiheet kestävät yleensä 3–5 minuuttia.
• Synkronoinnin SCIM-toimintojen nopeus riippuu identiteetintarjoajastasi. Katso Kuinka nopeasti muutokset synkronoidaan
• Suurten käyttäjäerien käsittely voi kestää kauemmin

Tuen saaminen

Jos kohtaat ongelmia SCIM-integraation kanssa:

1. Kerää virheiden valmistelulokit ja aikaleimat
2. Merkitse mitkä toiminnot epäonnistuvat
3. Ota yhteyttä osoitteeseen support@cosafe.com ja kerro yksityiskohtaiset tiedot

---

Jos sinulla on lisäkysymyksiä SCIM-integraatiosta, ota yhteyttä tukitiimiimme osoitteessa support@cosafe.com.