Konfigurera SCIM-integration

Den här guiden tar dig genom konfigurationen av SCIM-integrationen (System for Cross-domain Identity Management) mellan din identitetsleverantör och Cosafe.

Viktiga anmärkningar

Den här artikeln behandlar SCIM-integration med Entra ID (Azure AD) som identitetsleverantör. För att konfigurera Cosafe SCIM med andra identitetsleverantörer, vänligen kontakta supporten.

Stödda identitetsleverantörer

Förutsättningar

Innan du påbörjar SCIM-konfigurationen, säkerställ att du har:

• Administrativ åtkomst till din identitetsleverantör
• Administrativ åtkomst till ditt Cosafe-konto
• API-uppgifter tillhandahållna av Cosafe-supporten

Steg 1: Kontakta Cosafe-supporten

1. Begär SCIM-aktivering: Mejla support@cosafe.com för att begära aktivering av SCIM-integration
2. Ta emot anslutningsdata: Cosafe-supporten kommer att förse dig med SCIM-URL:en

Steg 2: Skapa API-nyckel för SCIM-integration

1. Öppna din Cosafe Adminpanel
2. Navigera till fliken Konto -> Fliken Integrationer
3. Skapa SCIM API-nyckel
4. Kopiera nyckeln

Viktigt

Se till att kopiera API-nyckeln, eftersom du inte kommer att kunna se den igen.

Steg 3: Konfigurera grupper i Cosafe

Innan du aktiverar SCIM-synkronisering, konfigurera grupper i Cosafe:

1. Öppna din Cosafe Adminpanel
2. Navigera till Grupper
3. Skapa grupper där SCIM-användare ska tilldelas. Placera dessa grupper i lämpliga underkonton. Om en grupp redan finns kan du använda en befintlig grupp för associationen.
4. Endast Entra — Konfigurera External ID: För varje grupp i Cosafe Adminpanel, ställ in fältet GruppID så att det matchar grupp-ID:t från din identitetsleverantör (objectId i Entra).

Steg 4: Konfiguration av identitetsleverantör

Konfigurera din identitetsleverantör att använda Cosafe SCIM Base URL. De exakta stegen varierar beroende på leverantör:

För Entra ID:

1. Navigera till Företagsappar i Entra ID
2. Skapa en ny eller välj din befintliga Cosafe-applikation. För nya applikationer:
   • 2.1. "Ny applikation" -> "Skapa din egen applikation" (övre vänster)
   • 2.2. "Namn på din applikation" — vilket namn som helst, till exempel Cosafe SCIM. Det är att föredra att du senare kan urskilja den.
   • 2.3. Välj "Icke-galleri"
3. Navigera till "Etablering" (vänster sida), "Skapa ny konfiguration" (överst)
4. Ange SCIM Base URL från Steg 1 och API-nyckel från Steg 2

   Obs: Du behöver inte lägga till "Bearer "-delen i API-nyckeln; klistra in den direkt i fältet som den tillhandahålls.

5. Tryck på "Testa anslutning"
6. Säkerställ att provisioneringsomfånget är "Sync only assigned users and groups" (bör vara inställt som standard)

Steg 5: Konfiguration av attributmappning

Entra

Gruppattributmappning:

Cosafe SCIM-attribut	Identitetsleverantörsattribut	Obligatorisk	Matchningsprioritet	Beskrivning
externalId	objectId	Ja	1	ID:t som användes för att skapa grupper i Cosafe
displayName	displayName	Nej		Gruppens namn
members	members	Ja		Medlemskap i användargrupper

Viktiga anmärkningar

externalId måste vara ett matchande attribut. Som standard är matchningsattributet inställt på displayName med matchningsprioritet 1.

För att få Entra att tillåta dig att ersätta displayName som matchningsattribut med externalId:

• Ändra prioriteten för displayName till 2
• Redigera attributet externalId via knappen "redigera" (se skärmdump), ställ in "Matcha objekt med detta attribut": "Ja", "Matchningsprioritet": 1
• Gå tillbaka till displayName och ange "Matcha objekt med detta attribut": "Nej" för att ta bort matchningsprioriteten från detta attribut. Spara

---

• Om du vill ta bort displayName, följ stegen i videon nedan, under "Valfritt: Ta bort DisplayName".

Valfritt: Ta bort visningsnamn

---

Användarattributmappning:

Cosafe SCIM-attribut	Identitetsleverantörsattribut	Obligatorisk	Matchningsprioritet	Beskrivning
userName	userPrincipalName	Ja	1	Unikt användarnamn. Måste vara e-post
active	Switch([IsSoftDeleted], , "False", "True", "True", "False")	Ja		Indikerar om användaren är aktiverad
displayName	displayName eller name	Ja		Användarens fullständiga namn
title	jobTitle	Nej		Användarens jobbtitel
phoneNumbers[type eq "work"].value	Switch(IsNullOrEmpty([telephoneNumber]), "tel:", "True", "tel:", "False", [telephoneNumber])	Nej		Primärt telefonnummer
phoneNumbers[type eq "mobile"].value	Switch(IsNullOrEmpty([mobile]), "tel:", "True", "tel:", "False", [mobile])	Nej		Sekundärt telefonnummer

Viktiga anmärkningar

• Användarnamnet måste vara en e-postadress
• Användarnamnet (e-postadressen) måste vara unikt på hela Cosafe-plattformen
• Användarnamnet (e-postadressen) ska matcha den e-post du vill att dina synkroniserade användare ska ha i Cosafe. Om det inte matchar userPrincipalName du har i Entra kan du mappa det till Entra-egenskapen email
• Du måste ta bort raden emails[type eq "work"].value
• Telefonnummer måste vara i internationellt format (t.ex. +46701234567)
• Om active sätts till false kommer användardeprovisionering att utlösas. Mer information om användaravregistrering: Användaravregistrering

Ytterligare information för att konfigurera attributmappning i Entra: Anpassa applikationsattribut

Steg 6: Tilldela grupper till integrationen

Entra

Navigera till "Etablering" -> "Användare och grupper"

1. Tryck på "Lägg till användare/grupp"
2. Välj de grupper du vill tilldela. Obs: du kan välja flera samtidigt
3. Tryck på "Tilldela"

Om användaren är medlem i gruppen i AD som är tilldelad SCIM-integrationen, kommer den användaren också att anses tilldelad SCIM-integrationen.

Steg 7: Starta provisionering

Nu kan du starta provisionering!

Valfritt: Konfigurera automatiska välkomstmejl

När SCIM är aktiverat för ditt konto kan du välja om nyligen provisionerade användare automatiskt ska få ett välkomstmejl.

1. I Cosafe Adminpanel, navigera till Konto → Integrationer.
2. Hitta växeln för automatiska välkomstmejl. Denna växel syns endast när SCIM är aktiverat för ditt konto.
3. Ställ in växeln på önskat läge:
   • På: Varje användare som skapas via SCIM får automatiskt en inbjudan via välkomstmejl.
   • Av: SCIM-användare skapas och aktiveras utan att få ett mejl. Du kan bjuda in dem manuellt från sidan Användare i Admin Panel.

Stödda SCIM-operationer

Cosafe implementerar en delmängd av SCIM 2.0-standarden och stöder följande operationer:

Användaroperationer

• ✅ List Users (GET /Users)
• ✅ Find User (GET /Users?filter=userName eq "user@example.com")
• ✅ Read User (GET /Users/{id})
• ✅ Create User (POST /Users)
• ✅ Update User (PUT /Users/{id})
• ✅ Patch User (PATCH /Users/{id})
• ✅ Delete User (DELETE /Users/{id}, mer information om användaravregistrering: Användaravregistrering)

Gruppoperationer

• ✅ List Groups (GET /Groups)
• ✅ Find Group (GET /Groups?filter=externalId eq "xxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx")
• ✅ Read Group (GET /Groups/{id})
• ❌ Create (grupper skapas inom Cosafe)
• ✅ Update Group (PUT /Groups/{id})
• ✅ Patch Group (PATCH /Groups/{id})
• ✅ Delete Group (DELETE /Groups/{id})

Stödda attribut

Användare:

• userName (obligatoriskt, uppdaterbart)
• displayName (obligatoriskt, uppdaterbart)
• phoneNumbers (valfritt, uppdaterbart)
• title (valfritt, uppdaterbart)
• id (tilldelat av Cosafe, ej uppdaterbart)
• externalId (valfritt, uppdaterbart)
• emails (tilldelat av Cosafe, kommer alltid att vara lika med userName)
• active (obligatoriskt)

Grupper:

• id (tilldelat av Cosafe, ej uppdaterbart)
• externalId (obligatoriskt, uppdaterbart)
• displayName (obligatoriskt, uppdaterbart)
• members (obligatoriskt, uppdaterbart)

Flöde för användaravregistrering

Användaren avregistreras när Cosafe SCIM tar emot:

• DELETE /Users/{id}
• PUT /Users/{id} med active: false
• PATCH /Users/{id} med active: false

Alla dessa tre varianter utlöser användaravregistrering, och användaren raderas. Användarsessionerna blir ogiltiga, de kommer inte längre att ha tillgång till Cosafes mobil- eller webbapplikation. Senare kan användaren skapas automatiskt på nytt.

När utlöses avregistrering?

• När en användare mjukraderas från din katalog, skickar identitetsleverantören en SCIM-begäran via PATCH eller PUT för att sätta användaren som active: false
• När en användare hårdraderas från din katalog, skickar identitetsleverantören en SCIM-begäran via DELETE. Men för att hårdradera en användare kräver identitetsleverantörer vanligen att en användare först mjukraderas; vilket utlöser det första fallet.
• När en användare inte längre har en direkt eller indirekt SCIM-integrationstilldelning (genom medlemskap i en tilldelad grupp; se Tilldela grupper), kommer användaren att raderas.
  Om leverantören är Entra kan du flytta användaren mellan grupper inom synkroniseringsintervallet utan att utlösa avregistrering.

Felsökning

Vanliga problem

Användare synkroniseras inte:

• Verifiera att API-nyckeln är korrekt och aktiv
• Verifiera att SCIM Base URL-formatet är som det tillhandahållits i Steg 1: Kontakta Cosafe-supporten
• Verifiera att nödvändiga användare är medlemmar i tilldelade grupper hos din identitetsleverantör
• Bekräfta användarmappningskonfigurationen
• Granska provisioneringsloggar hos din identitetsleverantör

Grupptilldelningar fungerar inte:

• Verifiera att grupp-ID:n finns i Cosafe
• Verifiera att grupper är tilldelade integrationen i din identitetsleverantörs integrationsinställningar
• Bekräfta gruppmappningskonfigurationen
• Granska provisioneringsloggar hos din identitetsleverantör

Synkroniseringsfördröjningar:

• Initiala SCIM-konfigurationsoperationer behandlas vanligen inom 3–5 minuter
• Hastigheten för synkroniserings-SCIM-operationer beror på din identitetsleverantör. Se Hur snabbt ändringar synkroniseras
• Stora användarbatcher kan ta längre tid

Få stöd

Om du stöter på problem med SCIM-integrationen:

1. Samla felprovisioneringsloggar och tidsstämplar
2. Notera vilka operationer som misslyckas
3. Kontakta support@cosafe.com med detaljerad information

---

För ytterligare frågor om SCIM-integration, vänligen kontakta vårt supportteam på support@cosafe.com.