SCIM-integraation määrittäminen
Tämä opas opastaa sinua SCIM-integraation (System for Cross-domain Identity Management) määrittämisessä identiteetintarjoajasi ja Cosafen välillä.
Tämä artikkeli käsittelee SCIM-integraatiota Entra ID:n (Azure AD) kanssa identiteetintarjoajana. Jos haluat määrittää Cosafe SCIM:n muiden identiteetintarjoajien kanssa, ota yhteyttä tukeen.
Edellytykset
Ennen SCIM-asennuksen aloittamista varmista, että sinulla on:
- Ylläpitäjän käyttöoikeudet identiteetintarjoajaasi
- Cosafe-tilisi järjestelmänvalvojan oikeudet
- Cosafe-tuen tarjoamat API-tunnukset
SCIM-perus-URL-muoto
SCIM-tiedonsiirto tapahtuu pyyntöjen kautta SCIM-palveluntarjoajan SCIM-päätepisteisiin. Vakioprotokollan mukaisesti niillä kaikilla on yksi URL-osoiteperusosa, jota identiteetintarjoajat käyttävät SCIM-integraation konfigurointiin ja myöhemmin tämän pohjan käyttämiseen päätepisteiden muodostamiseen (kuten ../scim/v2/Users/).
Azure AD/Entra ID:lle:
https://api.[region].prod.cosafe.com/core/v1/scim/v2?aadOptscim062020
Tärkeää: Parametri
?aadOptscim062020vaaditaan erityisesti Azure AD/Entra ID -integraatiota varten. Tämä varmistaa, että Entran scim-asiakasohjelma lähettää pyyntöjä SCIM 2.0 -spesifikaation mukaisesti.
Muille palveluntarjoajille:
https://api.[alue].prod.cosafe.com/core/v1/scim/v2
Vaihe 1: Ota yhteyttä Cosafen tukeen
- Pyydä SCIM-aktivointia: Lähetä sähköpostia osoitteeseen support@cosafe.com pyytääksesi SCIM-integraation aktivointia
- Vastaanota API-tunnukset: Cosafen tuki tarjoaa sinulle:
- API-avain: SCIM-pyyntöjen todennustunnus
- SCIM-perus-URL: Alueesi perusteella
Vaihe 2: Määritä ryhmät Cosafessa
Ennen SCIM-synkronoinnin käyttöönottoa määritä ryhmät Cosafessa:
- Käytä Cosafe-hallintapaneeliasi
- Siirry ryhmien hallintaan
- Luo ryhmiä, joihin SCIM-käyttäjät määritetään. Sijoita kyseiset ryhmät asianmukaisiin alatileihin. Jos ryhmä on jo olemassa, voit käyttää olemassa olevaa ryhmää yhdistämiseen.
- Vain Entrassa — Ulkoisen tunnuksen määrittäminen: Aseta Cosafe-hallintapaneelin kullekin ryhmälle Ryhmätunnus-kenttä vastaamaan identiteetintarjoajasi ryhmätunnusta (objectId Entrassa).
Vaihe 3: Tunnistetietojen tarjoajan konfigurointi
Määritä identiteetintarjoajasi käyttämään Cosafe SCIM -perus-URL-osoitetta. Tarkat vaiheet vaihtelevat palveluntarjoajasta riippuen:
Entra-tunnusta varten:
- Siirry Entra ID:ssä kohtaan Yrityssovellukset
- Luo uusi tai valitse olemassa oleva Cosafe-sovelluksesi. Uusille sovelluksille:
- 2.1. "Uusi hakemus" -> "Luo oma hakemuksesi" (vasen yläkulma)
- 2.2. "Sovelluksesi nimi" — mikä tahansa nimi, esimerkiksi
Cosafe SCIM. On parempi, että sen voi myöhemmin erottaa. - 2.3. Valitse "Ei galleria"
- Siirry kohtaan "Valmistaminen" (vasen puoli), "Luo uusi kokoonpano" (ylhäällä)
- Syötä vaiheessa [1] (#step-1-contact-cosafe-support) määritetty SCIM-perus-URL-osoite ja API-avain. Varmista, että perus-URL-osoite on kohdassa Perus-URL-osoitteen muoto kuvatussa muodossa.
Huomautus: Sinun ei tarvitse lisätä "Bearer"-osaa API-avaimeen; liitä se suoraan syötteeseen annetussa muodossa.
- Paina "Testaa yhteys".
- Varmista, että määrityksen laajuus on "Synkronoi vain määritetyt käyttäjät ja ryhmät". (Pitäisi olla asetettu oletuksena).
Vaihe 4: Määritysten yhdistäminen
Sisäänkäynti
Ryhmän attribuuttien yhdistäminen:
| Cosafe SCIM -attribuutti | Tunnistetietojen tarjoajan attribuutti | Pakollinen | Vastaavien etusija | Kuvaus |
|---|---|---|---|---|
ulkoinen tunniste | objektin tunnus | Kyllä | 1 | Tunnus, jota käytettiin ryhmien luomiseen Cosafessa |
näyttöNimi | näyttöNimi | Kyllä | Ryhmän nimi | |
jäsenet | jäsenet | Kyllä | Käyttäjäryhmän jäsenyydet |
externalId-attribuutin on oltava vastaava. Oletusarvoisesti vastaava attribuutti on asetettu arvoon displayName, jonka vastaavan arvon prioriteetti on 1.
Jotta Entra sallisi displayName-attribuutin korvaamisen vastaavana attribuuttina externalId-attribuutilla:
- Muuta
displayName-kohdan ennakkotapaukseksi 2 - Muokkaa
externalId-attribuuttia "muokkaa"-painikkeella (katso kuvakaappaus), aseta"Match objects using this attribute": "Kyllä","Matching precedence": 1 - Palaa
displayName-muuttujaan ja aseta"Match objects using this attribute": "No"poistaaksesi täsmäytysjärjestyksen tästä attribuutista. Tallentaa
Käyttäjäattribuuttien yhdistäminen:
| Cosafe SCIM -attribuutti | Tunnistetietojen tarjoajan attribuutti | Pakollinen | Vastaavien etusija | Kuvaus |
|---|---|---|---|---|
käyttäjänimi | käyttäjänPääkäyttäjänNimi | Kyllä | 1 | Yksilöllinen käyttäjätunnus. Täytyy olla sähköpostiosoite |
aktiivinen | Switch([IsSoftDeleted], , "Epätosi", "Tosi", "Tosi", "Epätosi") | Kyllä | Ilmaisee, onko käyttäjä käytössä | |
näyttöNimi | displayName tai name | Kyllä | Käyttäjän koko nimi | |
| otsikko | työnimike | Ei | Käyttäjän työtehtävä | |
puhelinnumerot[tyyppi yhtälö "työ".arvo | puhelinnumero | Ei | Ensisijainen puhelinnumero |
- Käyttäjätunnuksen on oltava sähköpostiosoite
- Käyttäjätunnuksen (sähköpostiosoitteen) on oltava yksilöllinen koko Cosafe-alustalla
- Käyttäjätunnuksen (sähköpostiosoitteen) tulee vastata sähköpostiosoitetta, jonka haluat synkronoiduilla käyttäjilläsi olevan cosafessa. Jos se ei vastaa entrassa olevaa
userPrincipalName-ominaisuutta, voit yhdistää sen Entranemail-ominaisuuteen. - Sinun on poistettava rivi
emails[type eq "work"].value - Puhelinnumeroiden on oltava kansainvälisessä muodossa (esim. +46701234567)
- Syötä: Puhelinnumeron on oltava täsmälleen yksi
active-arvo, kutenSwitch([IsSoftDeleted], , "False", "True", "True", "False")— on oletusarvoinen yhdistämismääritys- Asettamalla
active-arvoksi false, käyttäjä poistetaan oikeuksista. Lisätietoja käyttäjien oikeuksien poistamisesta: Käyttäjän oikeuksien poistaminen
Lisätietoja attribuuttien yhdistämismäärityksen määrittämisestä Entrassa: Entra Customize Application Attributes
Vaihe 5: Ryhmien määrittäminen integraatioon
Sisäänkäynti
Siirry kohtaan "Valmistelu" -> "Käyttäjät ja ryhmät"
- Paina "Lisää käyttäjä/ryhmä"
- Valitse ryhmät, jotka haluat määrittää. Huomautus: Voit valita useita samanaikaisesti
- Paina "Määritä"
Jos käyttäjä on AD:ssä ryhmän jäsen, joka on liitetty scim-integraatioon, myös kyseinen käyttäjä katsotaan liitetyksi scim-integraatioon.
Vaihe 6: Aloita valmistelu
Voit nyt aloittaa varaamisen!
Tuetut SCIM-toiminnot
Cosafe toteuttaa osan SCIM 2.0 -standardista, joka tukee seuraavia toimintoja:
Käyttäjätoiminnot
- ✅ Listaa käyttäjät (
GET /Users) - ✅ Etsi käyttäjä (
GET /Users?filter=userName eq "user@example.com") - ✅ Lue käyttäjä (
GET /Users/{id}) - ✅ Luo käyttäjä (
POST /Käyttäjät) - ✅ Päivitä käyttäjä (
PUT /Käyttäjät/{id}) - ✅ Korjauskäyttäjä (
PATCH /Käyttäjät/{id}) - ✅ Poista käyttäjä (
DELETE /Users/{id}, lisätietoja käyttäjien oikeuksien poistamisesta: User Deprovision)
Konsernin toiminnot
- ✅ Listaa ryhmät (
GET /Groups) - ✅ Etsi ryhmä (
GET /Groups?filter=externalId eq "xxxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx") - ✅ Lue ryhmä (
GET /Groups/{id}) - ❌ Luo (ryhmät luodaan Cosafessa)
- ✅ Päivitä ryhmä (
PUT /Groups/{id}) - ✅ Korjausryhmä (
KORJAUS /Ryhmät/{id}) - ✅ Poista ryhmä (
POISTA /Ryhmät/{id})
Tuetut ominaisuudet
Käyttäjät:
käyttäjänimi(pakollinen, päivitettävissä)displayName(pakollinen, päivitettävissä)puhelinnumerot(valinnainen, ei päivitettävissä)otsikko(valinnainen, päivitettävä)id(Cosafen määrittämä, ei päivitettävissä)ulkoinenId(valinnainen, päivitettävä)sähköpostiosoitteet(Cosafen määrittämät, aina yhtä suuret kuinkäyttäjänimi)aktiivinen(pakollinen)
Ryhmät:
id(Cosafen määrittämä, ei päivitettävissä)ulkoinenId(pakollinen, päivitettävissä)displayName(pakollinen, päivitettävissä)jäsenet(pakollinen, päivitettävissä)
Käyttäjän oikeuksien poistoprosessi
Käyttäjää poistetaan käytöstä, kun Cosafe SCIM vastaanottaa:
POISTA /Käyttäjät/{id}PUT /Käyttäjät/{id}jossaactive: falsePATCH /Users/{id}jossaactive: false
Kaikki nämä kolme varianttia laukaisevat käyttäjän oikeuksien poistamisen, ja käyttäjä poistetaan. Käyttäjäistunnot mitätöityvät, eivätkä käyttäjät enää pääse Cosafe-mobiili- tai verkkosovellukseen. Käyttäjä voidaan myöhemmin luoda automaattisesti uudelleen.
Milloin oikeuksien poistaminen käynnistetään?
- Kun käyttäjä poistetaan hakemistostasi pehmeästi, identiteetintarjoaja lähettää SCIM-pyynnön PATCH- tai PUT-komennon kautta asettaakseen käyttäjän tilaan
active: false. - Kun käyttäjä poistetaan pysyvästi hakemistostasi, identiteetintarjoaja lähettää SCIM-pyynnön DELETE-komennon kautta. Mutta käyttäjän pysyvää poistamista varten identiteetintarjoajien on yleensä ensin poistettava käyttäjä pehmeästi, mikä laukaisee ensimmäisen tapauksen.
- Kun käyttäjällä ei enää ole suoraa scim-integraatiomääritystä tai epäsuoraa scim-integraatiomääritystä (scim-määritetyn ryhmän jäsenyyden kautta, katso Ryhmien määrittäminen). Joten jos poistat käyttäjän hakemistostasi mistä tahansa määritetystä ryhmästä, käyttäjä poistetaan. Jos palveluntarjoajasi on Entra, voit siirtää käyttäjän ryhmien välillä synkronointipyyntöjen aikana, eikä Entra yritä poistaa kyseisen käyttäjän käyttöoikeuksia.
Vianmääritys
Yleisiä ongelmia
Käyttäjät eivät synkronoi:
- Varmista, että API-avain on oikein ja aktiivinen
- Vahvista SCIM-perus-URL-osoitteen muoto: Perus-URL-osoitteen muoto
- Varmista, että tarvittavat käyttäjät ovat tunnistetietojen toimittajassasi määritettyjen ryhmien jäseniä.
- Vahvista käyttäjämäärityksen määritys
- Tarkista tunnistetietojen toimittajasi käyttölokit
Ryhmätehtävät eivät toimi:
- Varmista, että ryhmätunnukset ovat olemassa Cosafessa
- Varmista, että ryhmät on määritetty integraatioon identiteetintarjoajan integraatioasetuksissa.
- Vahvista ryhmän yhdistämismääritykset
- Tarkista tunnistetietojen toimittajasi käyttölokit
Synkronointiviiveet:
- SCIM-asennuksen alkuvaiheet kestävät yleensä 3–5 minuuttia.
- Synkronoinnin SCIM-toimintojen nopeus riippuu identiteetintarjoajastasi. Katso Kuinka nopeasti muutokset synkronoidaan
- Suurten käyttäjäerien käsittely voi kestää kauemmin
Tuen saaminen
Jos kohtaat ongelmia SCIM-integraation kanssa:
- Kerää virheiden valmistelulokit ja aikaleimat
- Huomaa, mitkä toiminnot epäonnistuvat
- Ota yhteyttä osoitteeseen support@cosafe.com ja kerro yksityiskohtaiset tiedot osoitteesta support@cosafe.com.
Jos sinulla on lisäkysymyksiä SCIM-integraatiosta, ota yhteyttä tukitiimiimme osoitteessa support@cosafe.com.