SCIM-integraation määrittäminen

Tämä opas opastaa sinua SCIM-integraation (System for Cross-domain Identity Management) määrittämisessä identiteetintarjoajasi ja Cosafen välillä.

Important Huomautuksia

Tämä artikkeli käsittelee SCIM-integraatiota Entra ID:n (Azure AD) kanssa identiteetintarjoajana. Jos haluat määrittää Cosafe SCIM:n muiden identiteetintarjoajien kanssa, ota yhteyttä tukeen.

Tuetut identiteetintarjoajat

Edellytykset

Ennen SCIM-asennuksen aloittamista varmista, että sinulla on:

• Ylläpitäjän käyttöoikeudet identiteetintarjoajaasi
• Cosafe-tilisi järjestelmänvalvojan oikeudet
• Cosafe-tuen tarjoamat API-tunnukset

Vaihe 1: Ota yhteyttä Cosafen tukeen

1. Pyydä SCIM-aktivointia: Lähetä sähköpostia osoitteeseen support@cosafe.com pyytääksesi SCIM-integraation aktivointia
2. Yhteystietojen vastaanotto: Cosafen tuki antaa sinulle SCIM-URL-osoitteen.

Vaihe 2: Luo API-avain SCIM-integraatiota varten

1. Käytä Cosafe-hallintapaneeliasi
2. Siirry kohtaan Tili -> Integraatiot-välilehti
3. Luo SCIM API -avain
4. Kopioi avain

Important

Muista kopioida API-avain, koska et voi nähdä sitä uudelleen.

Vaihe 3: Määritä ryhmät Cosafessa

Ennen SCIM-synkronoinnin käyttöönottoa määritä ryhmät Cosafessa:

1. Käytä Cosafe-hallintapaneeliasi
2. Siirry ryhmien hallintaan
3. Luo ryhmiä, joihin SCIM-käyttäjät määritetään. Sijoita kyseiset ryhmät asianmukaisiin alatileihin. Jos ryhmä on jo olemassa, voit käyttää olemassa olevaa ryhmää yhdistämiseen.
4. Vain Entrassa — Ulkoisen tunnuksen määrittäminen: Aseta Cosafe-hallintapaneelin kullekin ryhmälle Ryhmätunnus-kenttä vastaamaan identiteetintarjoajasi ryhmätunnusta (objectId Entrassa).

Vaihe 4: Tunnistetietojen tarjoajan konfigurointi

Määritä identiteetintarjoajasi käyttämään Cosafe SCIM -perus-URL-osoitetta. Tarkat vaiheet vaihtelevat palveluntarjoajasta riippuen:

Entra-tunnusta varten:

1. Siirry Entra ID:ssä kohtaan Yrityssovellukset
2. Luo uusi tai valitse olemassa oleva Cosafe-sovelluksesi. Uusille sovelluksille:
   • 2.1. "Uusi hakemus" -> "Luo oma hakemuksesi" (vasen yläkulma)
   • 2.2. "Sovelluksesi nimi" — mikä tahansa nimi, esimerkiksi Cosafe SCIM. On parempi, että sen voi myöhemmin erottaa.
   • 2.3. Valitse "Ei galleria"
3. Siirry kohtaan "Valmistaminen" (vasen puoli), "Luo uusi kokoonpano" (ylhäällä)
4. Syötä SCIM-perus-URL-osoite vaiheesta [vaihe 1] (#step-1-contact-cosafe-support) ja API-avain vaiheesta [vaihe 2] (#step-2-create-api-key-for-scim-integration)

   Huomautus: Sinun ei tarvitse lisätä "Bearer"-osaa API-avaimeen; liitä se suoraan syötteeseen annetussa muodossa.

5. Paina "Testaa yhteys"
6. Varmista, että määrityksen laajuus on "Synkronoi vain määritetyt käyttäjät ja ryhmät" (Pitäisi olla oletusarvoinen asetus)

Vaihe 5: Määritysten yhdistäminen

Sisäänkäynti

Ryhmän attribuuttien yhdistäminen:

Cosafe SCIM -attribuutti	Tunnistetietojen tarjoajan attribuutti	Pakollinen	Vastaavien etusija	Kuvaus
ulkoinen tunniste	objektin tunnus	Kyllä	1	Tunnus, jota käytettiin ryhmien luomiseen Cosafessa
näyttöNimi	näyttöNimi	Kyllä		Ryhmän nimi
jäsenet	jäsenet	Kyllä		Käyttäjäryhmän jäsenyydet

Important Huomautuksia

externalId-attribuutin on oltava vastaava. Oletusarvoisesti vastaava attribuutti on asetettu arvoon displayName, jonka vastaavan arvon prioriteetti on 1.

Jotta Entra sallisi displayName-attribuutin korvaamisen vastaavana attribuuttina externalId-attribuutilla:

• Muuta displayName-kohdan ennakkotapaukseksi 2
• Muokkaa externalId-attribuuttia "muokkaa"-painikkeella (katso kuvakaappaus), aseta "Match objects using this attribute": "Kyllä", "Matching precedence": 1
• Palaa displayName-muuttujaan ja aseta "Match objects using this attribute": "No" poistaaksesi täsmäytysjärjestyksen tästä attribuutista. Tallentaa

Käyttäjäattribuuttien yhdistäminen:

Cosafe SCIM -attribuutti	Tunnistetietojen tarjoajan attribuutti	Pakollinen	Vastaavien etusija	Kuvaus
käyttäjänimi	käyttäjänPääkäyttäjänNimi	Kyllä	1	Yksilöllinen käyttäjätunnus. Täytyy olla sähköpostiosoite
aktiivinen	Switch([IsSoftDeleted], , "Epätosi", "Tosi", "Tosi", "Epätosi")	Kyllä		Ilmaisee, onko käyttäjä käytössä
näyttöNimi	displayName tai name	Kyllä		Käyttäjän koko nimi
otsikko	työnimike	Ei		Käyttäjän työtehtävä
puhelinnumerot[tyyppi yhtälö "työ".arvo	puhelinnumero	Ei		Ensisijainen puhelinnumero

Important Huomautuksia

• Käyttäjätunnuksen on oltava sähköpostiosoite
• Käyttäjätunnuksen (sähköpostiosoitteen) on oltava yksilöllinen koko Cosafe-alustalla
• Käyttäjätunnuksen (sähköpostiosoitteen) tulee vastata sähköpostiosoitetta, jonka haluat synkronoiduilla käyttäjilläsi olevan cosafessa. Jos se ei vastaa entrassa olevaa userPrincipalName-ominaisuutta, voit yhdistää sen Entran email-ominaisuuteen.
• Sinun on poistettava rivi emails[type eq "work"].value
• Puhelinnumeroiden on oltava kansainvälisessä muodossa (esim. +46701234567)
• Syötä: Puhelinnumeron on oltava täsmälleen yksi
• active-arvo, kuten Switch([IsSoftDeleted], , "False", "True", "True", "False") — on oletusarvoinen yhdistämismääritys
• Asettamalla active-arvoksi false, käyttäjä poistetaan oikeuksista. Lisätietoja käyttäjien oikeuksien poistamisesta: Käyttäjän oikeuksien poistaminen

Lisätietoja attribuuttien yhdistämismäärityksen määrittämisestä Entrassa: Entra Customize Application Attributes

Vaihe 6: Ryhmien määrittäminen integraatiolle

Sisäänkäynti

Siirry kohtaan "Valmistelu" -> "Käyttäjät ja ryhmät"

1. Paina "Lisää käyttäjä/ryhmä"
2. Valitse ryhmät, jotka haluat määrittää. Huomautus: Voit valita useita samanaikaisesti
3. Paina "Määritä"

Jos käyttäjä on AD:ssä ryhmän jäsen, joka on liitetty scim-integraatioon, myös kyseinen käyttäjä katsotaan liitetyksi scim-integraatioon.

Vaihe 7: Aloita valmistelu

Voit nyt aloittaa varaamisen!

Tuetut SCIM-toiminnot

Cosafe toteuttaa osan SCIM 2.0 -standardista, joka tukee seuraavia toimintoja:

Käyttäjätoiminnot

• ✅ Listaa käyttäjät (GET /Users)
• ✅ Etsi käyttäjä (GET /Users?filter=userName eq "user@example.com")
• ✅ Lue käyttäjä (GET /Users/{id})
• ✅ Luo käyttäjä (POST /Käyttäjät)
• ✅ Päivitä käyttäjä (PUT /Käyttäjät/{id})
• ✅ Korjauskäyttäjä (PATCH /Käyttäjät/{id})
• ✅ Poista käyttäjä (DELETE /Users/{id}, lisätietoja käyttäjien oikeuksien poistamisesta: User Deprovision)

Konsernin toiminnot

• ✅ Listaa ryhmät (GET /Groups)
• ✅ Etsi ryhmä (GET /Groups?filter=externalId eq "xxxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx")
• ✅ Lue ryhmä (GET /Groups/{id})
• ❌ Luo (ryhmät luodaan Cosafessa)
• ✅ Päivitä ryhmä (PUT /Groups/{id})
• ✅ Korjausryhmä (KORJAUS /Ryhmät/{id})
• ✅ Poista ryhmä (POISTA /Ryhmät/{id})

Tuetut ominaisuudet

Käyttäjät:

• käyttäjänimi (pakollinen, päivitettävissä)
• displayName (pakollinen, päivitettävissä)
• puhelinnumerot (valinnainen, ei päivitettävissä)
• otsikko (valinnainen, päivitettävä)
• id (Cosafen määrittämä, ei päivitettävissä)
• ulkoinenId (valinnainen, päivitettävä)
• sähköpostiosoitteet (Cosafen määrittämät, aina yhtä suuret kuin käyttäjänimi)
• aktiivinen (pakollinen)

Ryhmät:

• id (Cosafen määrittämä, ei päivitettävissä)
• ulkoinenId (pakollinen, päivitettävissä)
• displayName (pakollinen, päivitettävissä)
• jäsenet (pakollinen, päivitettävissä)

Käyttäjän oikeuksien poistoprosessi

Käyttäjää poistetaan käytöstä, kun Cosafe SCIM vastaanottaa:

• POISTA /Käyttäjät/{id}
• PUT /Käyttäjät/{id} jossa active: false
• PATCH /Users/{id} jossa active: false

Kaikki nämä kolme varianttia laukaisevat käyttäjän oikeuksien poistamisen, ja käyttäjä poistetaan. Käyttäjäistunnot mitätöityvät, eivätkä käyttäjät enää pääse Cosafe-mobiili- tai verkkosovellukseen. Käyttäjä voidaan myöhemmin luoda automaattisesti uudelleen.

Milloin oikeuksien poistaminen käynnistetään?

• Kun käyttäjä poistetaan hakemistostasi pehmeästi, identiteetintarjoaja lähettää SCIM-pyynnön PATCH- tai PUT-komennon kautta asettaakseen käyttäjän tilaan active: false.
• Kun käyttäjä poistetaan pysyvästi hakemistostasi, identiteetintarjoaja lähettää SCIM-pyynnön DELETE-komennon kautta. Mutta käyttäjän pysyvää poistamista varten identiteetintarjoajien on yleensä ensin poistettava käyttäjä pehmeästi, mikä laukaisee ensimmäisen tapauksen.
• Kun käyttäjällä ei enää ole suoraa tai epäsuoraa SCIM-integraatiomääritystä (määritetyn ryhmän jäsenyyden kautta; katso Ryhmien määrittäminen), käyttäjä poistetaan.
  Jos palveluntarjoaja on Entra, voit siirtää käyttäjän ryhmien välillä synkronointivälin sisällä käynnistämättä käyttöoikeuksien poistamista.

Vianmääritys

Yleisiä ongelmia

Käyttäjät eivät synkronoi:

• Varmista, että API-avain on oikein ja aktiivinen
• Varmista, että SCIM-perus-URL-osoitteen muoto on sama kuin kohdassa Vaihe 1: Ota yhteyttä Cosafen tukeen annetussa muodossa.
• Varmista, että tarvittavat käyttäjät ovat tunnistetietojen toimittajassasi määritettyjen ryhmien jäseniä.
• Vahvista käyttäjämäärityksen määritys
• Tarkista tunnistetietojen toimittajasi käyttölokit

Ryhmätehtävät eivät toimi:

• Varmista, että ryhmätunnukset ovat olemassa Cosafessa
• Varmista, että ryhmät on määritetty integraatioon identiteetintarjoajan integraatioasetuksissa.
• Vahvista ryhmän yhdistämismääritykset
• Tarkista tunnistetietojen toimittajasi käyttölokit

Synkronointiviiveet:

• SCIM-asennuksen alkuvaiheet kestävät yleensä 3–5 minuuttia.
• Synkronoinnin SCIM-toimintojen nopeus riippuu identiteetintarjoajastasi. Katso Kuinka nopeasti muutokset synkronoidaan
• Suurten käyttäjäerien käsittely voi kestää kauemmin

Tuen saaminen

Jos kohtaat ongelmia SCIM-integraation kanssa:

1. Kerää virheiden valmistelulokit ja aikaleimat
2. Huomaa, mitkä toiminnot epäonnistuvat
3. Ota yhteyttä osoitteeseen support@cosafe.com ja kerro yksityiskohtaiset tiedot osoitteesta support@cosafe.com.

---

Jos sinulla on lisäkysymyksiä SCIM-integraatiosta, ota yhteyttä tukitiimiimme osoitteessa support@cosafe.com.