This translation has not been approved yet, read in English to be sure you get an accurate article.
SCIM-integraation määrittäminen
Tämä opas ohjaa sinua SCIM-integraation (System for Cross-domain Identity Management) määrittämisessä identiteetin tarjoajasi ja Cosafen välillä.
Tämä artikkeli käsittelee SCIM-integraatiota Entra ID:n (Azure AD) kanssa identiteetin tarjoajana. Jos haluat määrittää Cosafe SCIM:n muiden identiteetin tarjoajien kanssa, ota yhteyttä tukeen.
Edellytykset
Ennen SCIM-asennuksen aloittamista varmista, että sinulla on:
- Pääkäyttäjäoikeudet identiteetin tarjoajaasi
- Pääkäyttäjäoikeudet Cosafe-tiliisi
- Cosafen tuen toimittamat API-tunnukset
Vaihe 1: Ota yhteyttä Cosafen tukeen
- Pyydä SCIM-aktivointia: Lähetä sähköpostia osoitteeseen support@cosafe.com pyytääksesi SCIM-integraation aktivointia
- Vastaanota yhteystiedot: Cosafen tuki antaa sinulle SCIM URL:n
Vaihe 2: Luo API-avain SCIM-integraatiota varten
- Avaa Cosafe Admin Panel
- Siirry kohtaan Account -> Integrations -välilehti
- Luo SCIM API -avain
- Kopioi avain
Muista kopioida API-avain, koska et voi nähdä sitä uudelleen.
Vaihe 3: Määritä ryhmät Cosafessa
Ennen SCIM-synkronoinnin käyttöönottoa määritä ryhmät Cosafessa:
- Avaa Cosafe Admin Panel
- Siirry ryhmien hallintaan
- Luo ryhmät, joihin SCIM-käyttäjät määritetään. Sijoita kyseiset ryhmät asianmukaisiin alitileihin. Jos ryhmä on jo olemassa, voit käyttää olemassa olevaa ryhmää yhdistämiseen.
- Vain Entra — Määritä External ID: Aseta Cosafe Admin Panelin kullekin ryhmälle Group ID -kenttä vastaamaan ryhmätunnusta identiteetin tarjoajastasi (objectId Entrassa).
Vaihe 4: Identiteetin tarjoajan konfigurointi
Määritä identiteetin tarjoajasi käyttämään Cosafe SCIM Base URL:ää. Tarkat vaiheet vaihtelevat palveluntarjoajan mukaan:
Entra ID:lle:
- Siirry kohtaan Enterprise Applications Entra ID:ssä
- Luo uusi tai valitse olemassa oleva Cosafe-sovelluksesi. Uusille sovelluksille:
- 2.1. "New application" -> "Create your own application" (vasen yläkulma)
- 2.2. "Name of your app" — mikä tahansa nimi, esimerkiksi
Cosafe SCIM. On suositeltavaa, että voit myöhemmin erottaa sen. - 2.3. Valitse "Non-gallery"
- Siirry kohtaan "Provisioning" (vasen puoli), "Create new configuration" (yläosa)
- Syötä SCIM Base URL kohdasta Vaihe 1 ja API-avain kohdasta Vaihe 2
Huomautus: Sinun ei tarvitse lisätä "Bearer "-osaa API-avaimeen; liitä se suoraan syötteeseen annetussa muodossa.
- Paina "Test Connection"
- Varmista, että provisiointialue on "Sync only assigned users and groups" (pitäisi olla oletusarvoisesti asetettu)
Vaihe 5: Attribuuttien yhdistämisen määritys
Entra
Ryhmäattribuuttien yhdistäminen:
| Cosafe SCIM -attribuutti | Identiteetin tarjoajan attribuutti | Pakollinen | Vastaavuuden ensisijaisuus | Kuvaus |
|---|---|---|---|---|
externalId | objectId | Kyllä | 1 | Tunnus, jota käytettiin ryhmien luomiseen Cosafessa |
displayName | displayName | Ei | Ryhmän nimi | |
members | members | Kyllä | Käyttäjäryhmäjäsenyydet |
externalId on oltava vastaavuusattribuutti. Oletusarvoisesti vastaavuusattribuutiksi on asetettu displayName vastaavuuden ensisijaisuudella 1.
Jotta Entra sallisi displayName-attribuutin korvaamisen vastaavuusattribuuttina externalId-attribuutilla:
- Vaihda
displayName-attribuutin ensisijaisuudeksi 2 - Muokkaa
externalId-attribuuttia "edit"-painikkeen kautta (katso kuvakaappaus), aseta"Match objects using this attribute": "Yes","Matching precedence": 1 - Palaa
displayName-attribuuttiin ja aseta"Match objects using this attribute": "No"poistaaksesi vastaavuuden ensisijaisuuden tästä attribuutista. Tallenna
- Jos haluat poistaa
displayName-attribuutin, seuraa alla olevan videon ohjeita kohdassa "Optional: Remove DisplayName".
Optional: Remove DisplayName
Käyttäjäattribuuttien yhdistäminen:
| Cosafe SCIM -attribuutti | Identiteetin tarjoajan attribuutti | Pakollinen | Vastaavuuden ensisijaisuus | Kuvaus |
|---|---|---|---|---|
userName | userPrincipalName | Kyllä | 1 | Yksilöllinen käyttäjänimi. Täytyy olla sähköposti |
active | Switch([IsSoftDeleted], , "False", "True", "True", "False") | Kyllä | Ilmaisee, onko käyttäjä käytössä | |
displayName | displayName tai name | Kyllä | Käyttäjän koko nimi | |
title | jobTitle | Ei | Käyttäjän työtehtävä | |
phoneNumbers[type eq "work"].value | Switch(IsNullOrEmpty([telephoneNumber]), "tel:", "True", "tel:", "False", [telephoneNumber]) | Ei | Ensisijainen puhelinnumero | |
phoneNumbers[type eq "mobile"].value | Switch(IsNullOrEmpty([mobile]), "tel:", "True", "tel:", "False", [mobile]) | Ei | Toissijainen puhelinnumero |
- Käyttäjänimen on oltava sähköpostiosoite
- Käyttäjänimen (sähköpostiosoitteen) on oltava yksilöllinen koko Cosafe-alustalla
- Käyttäjänimen (sähköpostiosoitteen) tulisi vastata sähköpostiosoitetta, jonka haluat synkronoiduille käyttäjillesi Cosafessa. Jos se ei vastaa Entrassa olevaa
userPrincipalName-arvoa, voit yhdistää sen Entranemail-ominaisuuteen. - Sinun on poistettava
emails[type eq "work"].value-rivi - Puhelinnumeroiden on oltava kansainvälisessä muodossa (esim. +46701234567)
active-arvon asettaminen falseksi käynnistää käyttäjän oikeuksien poistamisen. Lisätietoja käyttäjän oikeuksien poistamisesta: Käyttäjän oikeuksien poistaminen
Lisätietoja attribuuttien yhdistämisen määrittämisestä Entrassa: Entra Customize Application Attributes
Vaihe 6: Määritä ryhmät integraatioon
Entra
Siirry kohtaan "Provisioning" -> "Users and groups"
- Paina "Add user/group"
- Valitse ryhmät, jotka haluat määrittää. Huomautus: voit valita useita samanaikaisesti
- Paina "Assign"
Jos käyttäjä on AD:ssä sellaisen ryhmän jäsen, joka on määritetty SCIM-integraatioon, kyseinen käyttäjä katsotaan myös SCIM-integraatioon määritetyksi.
Vaihe 7: Aloita provisiointi
Voit nyt aloittaa provisioinnin!
Valinnainen: Automaattisten tervetuloviestien määrittäminen
Kun SCIM on otettu käyttöön tilillesi, voit valita, saavatko äskettäin provisioidut käyttäjät automaattisesti tervetuloviestin.
- Siirry Cosafe Admin Panelissa kohtaan Tili → Integraatiot.
- Etsi automaattisten tervetuloviestien kytkin. Tämä kytkin on näkyvissä vain, kun SCIM on otettu käyttöön tilillesi.
- Aseta kytkin haluamaasi tilaan:
- Päällä: Jokainen SCIM:n kautta luotu käyttäjä saa automaattisesti tervetuloviestikutsun.
- Pois päältä: SCIM-käyttäjät luodaan ja aktivoidaan ilman viestiä. Voit kutsua heidät manuaalisesti Admin Panelin Käyttäjät-sivulta.
Tuetut SCIM-toiminnot
Cosafe toteuttaa osan SCIM 2.0 -standardista ja tukee seuraavia toimintoja:
Käyttäjätoiminnot
- ✅ List Users (
GET /Users) - ✅ Find User (
GET /Users?filter=userName eq "user@example.com") - ✅ Read User (
GET /Users/{id}) - ✅ Create User (
POST /Users) - ✅ Update User (
PUT /Users/{id}) - ✅ Patch User (
PATCH /Users/{id}) - ✅ Delete User (
DELETE /Users/{id}, lisätietoja käyttäjän oikeuksien poistamisesta: Käyttäjän oikeuksien poistaminen)
Ryhmätoiminnot
- ✅ List Groups (
GET /Groups) - ✅ Find Group (
GET /Groups?filter=externalId eq "xxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx") - ✅ Read Group (
GET /Groups/{id}) - ❌ Create (ryhmät luodaan Cosafessa)
- ✅ Update Group (
PUT /Groups/{id}) - ✅ Patch Group (
PATCH /Groups/{id}) - ✅ Delete Group (
DELETE /Groups/{id})
Tuetut attribuutit
Käyttäjät:
userName(pakollinen, päivitettävissä)displayName(pakollinen, päivitettävissä)phoneNumbers(valinnainen, päivitettävissä)title(valinnainen, päivitettävissä)id(Cosafen määrittämä, ei päivitettävissä)externalId(valinnainen, päivitettävissä)emails(Cosafen määrittämä, vastaa ainauserName-arvoa)active(pakollinen)
Ryhmät:
id(Cosafen määrittämä, ei päivitettävissä)externalId(pakollinen, päivitettävissä)displayName(pakollinen, päivitettävissä)members(pakollinen, päivitettävissä)
Käyttäjän oikeuksien poistamisen kulku
Käyttäjän oikeudet poistetaan, kun Cosafe SCIM vastaanottaa:
DELETE /Users/{id}PUT /Users/{id}parametrillaactive: falsePATCH /Users/{id}parametrillaactive: false
Kaikki nämä kolme varianttia käynnistävät käyttäjän oikeuksien poistamisen, ja käyttäjä poistetaan. Käyttäjäistunnot tulevat virheellisiksi, eikä heillä enää ole pääsyä Cosafe-mobiili- tai verkkosovellukseen. Käyttäjä voidaan myöhemmin luoda automaattisesti uudelleen.
Milloin oikeuksien poistaminen käynnistetään?
- Kun käyttäjä poistetaan pehmeästi hakemistostasi, identiteetin tarjoaja lähettää SCIM-pyynnön PATCH- tai PUT-komennon kautta asettaakseen käyttäjän tilaan
active: false - Kun käyttäjä poistetaan kovasti hakemistostasi, identiteetin tarjoaja lähettää SCIM-pyynnön DELETE-komennon kautta. Mutta käyttäjän kovan poistamisen yhteydessä identiteetin tarjoajat yleensä vaativat käyttäjän pehmeää poistamista ensin, mikä käynnistää ensimmäisen tapauksen.
- Kun käyttäjällä ei ole enää suoraa tai epäsuoraa SCIM-integraatiomääritystä (määritetyn ryhmän jäsenyyden kautta; katso Määritä ryhmät), käyttäjä poistetaan.
Jos palveluntarjoaja on Entra, voit siirtää käyttäjää ryhmien välillä synkronointivälin sisällä käynnistämättä oikeuksien poistamista.
Vianmääritys
Yleisiä ongelmia
Käyttäjät eivät synkronoidu:
- Varmista, että API-avain on oikein ja aktiivinen
- Varmista, että SCIM Base URL -muoto on kuten annettu kohdassa Vaihe 1: Ota yhteyttä Cosafen tukeen
- Varmista, että tarvittavat käyttäjät ovat määritettyjen ryhmien jäseniä identiteetin tarjoajassasi
- Vahvista käyttäjien yhdistämismääritys
- Tarkista provisiointilokit identiteetin tarjoajassasi
Ryhmämääritykset eivät toimi:
- Varmista, että ryhmätunnukset ovat olemassa Cosafessa
- Varmista, että ryhmät on määritetty integraatioon identiteetin tarjoajan integraatioasetuksissa
- Vahvista ryhmäyhdistämismääritys
- Tarkista provisiointilokit identiteetin tarjoajassasi
Synkronointiviiveet:
- Alustavat SCIM-asennustoiminnot käsitellään tyypillisesti 3–5 minuutissa
- Synkronoinnin SCIM-toimintojen nopeus riippuu identiteetin tarjoajastasi. Katso Kuinka nopeasti muutokset synkronoidaan
- Suuret käyttäjäerät voivat kestää kauemmin
Tuen saaminen
Jos kohtaat ongelmia SCIM-integraation kanssa:
- Kerää virhelogit ja aikaleimat
- Huomioi, mitkä toiminnot epäonnistuvat
- Ota yhteyttä osoitteeseen support@cosafe.com ja anna yksityiskohtaiset tiedot
Lisäkysymyksiä SCIM-integraatiosta voit lähettää tukitiimillemme osoitteeseen support@cosafe.com.