Benutzer mit SCIM-Provisioning verwalten

Haiilo Advocacy unterstützt die Benutzerbereitstellung mit dem Standard System for Cross-domain Identity Management (SCIM). Dieser Artikel hilft Dir dabei, eine SCIM-Verbindung zwischen dem Identitätsanbieter Deines Unternehmens und Haiilo herzustellen.

Auch wenn SCIM ohne SSO funktionieren kann, wird empfohlen, SSO zu aktivieren für Deine Haiilo-Plattform, indem Du dieselben Anmeldeinformationen sowohl für SAML als auch für SCIM verwendest. Dadurch ergeben sich zusätzliche Bequemlichkeits- und Sicherheitsvorteile sowohl für Benutzer als auch für Administratoren.

Grundlagen von SCIM

Mit SCIM kannst Du:

  • Benutzer in Haiilo erstellen
  • Benutzer in Haiilo entfernen, wenn sie keinen Zugriff mehr benötigen. Benutzer können nicht deaktiviert werden; sie werden immer aus Haiilo gelöscht.
  • Benutzerattribute zwischen Deinem Identitätsanbieter und Haiilo synchron halten

Bei der ersten Einrichtung der Bereitstellung gleicht SCIM jeden Benutzer in Haiilo mit einem Benutzer in Deinem Identitätsanbieter ab. Wenn ein Benutzer noch nicht in Haiilo existiert, wird er hinzugefügt. Nachdem ein Benutzer von SCIM abgeglichen oder hinzugefügt wurde, werden alle Änderungen am Benutzerkonto in Deinem Identitätsanbieter in Haiilo widergespiegelt.

Wenn ein Benutzer nicht abgeglichen wird, d.h. er hat ein lokales Konto auf Haiilo, bevor SCIM eingerichtet wurde, aber ihm die Anwendung im Identitätsanbieter nicht zugewiesen ist und daher nicht synchronisiert werden kann, werden keine Änderungen an seinem Konto in Haiilo vorgenommen. Der Benutzer bleibt in Haiilo, bis er manuell gelöscht oder der Anwendung im Identitätsanbieter zugewiesen wird, damit er synchronisiert werden kann.

SCIM in Haiilo einrichten

Um SCIM einzurichten, musst Du die Schritte in Deinem Identitätsanbieter abschließen. Wenn Du noch keine Haiilo-Anwendung in Deinem Identitätsanbieter erstellt hast, solltest Du dies zuerst tun. Für IdP-spezifische Anweisungen zur Einrichtung einer Anwendung und SCIM, sieh Dir die Dokumentation Deines Identitätsanbieters oder unsere IdP-spezifischen Einrichtungsanleitungen an:


  1. Um SCIM einzurichten, musst Du ein Zugriffs-Token in Deinem Haiilo-Profil generieren. Anweisungen dazu findest Du im Artikel Zugriffs-Token generieren.
  2. Nachdem Du Dein Zugriffs-Token generiert hast, gehe zu Deinem Identitätsanbieter, um mit der Einrichtung von SCIM zu beginnen. Du musst mindestens die folgenden Informationen eingeben (weitere Felder je nach IdP):
    • Tenant-URL: https://<dein_subdomain>.smarpshare.com/api/scim/v2, wobei <dein_subdomain> durch den Subdomain Deiner Firma ersetzt wird. 
    • Token: Das Zugriffs-Token, das Du in Haiilo generiert hast 
  3. Konfiguriere die Zuordnung der Nutzerprofilfelder. Du solltest nur die Attribute zuordnen, die synchronisiert werden sollen; sonst kann es zu unerwünschten Nebenwirkungen in Deiner Plattform kommen, wenn Nutzer zu Teams hinzugefügt werden, die Du nicht möchtest oder brauchst.
    • Haiilo unterstützt die Attribute in der untenstehenden Tabelle.

      Attribut

      Hinweise
      userName
      • Muss in Form einer E-Mail sein. Es ist pro Nutzer eindeutig.
      name.givenName
      • Wird als Vorname des Nutzers auf Haiilo angezeigt
      name.familyName
      • Wird als Nachname des Nutzers auf Haiilo angezeigt
      active
      • Erforderlich für die Bereitstellung (Hinzufügen/Entfernen von Nutzern)
      country
      • Um die Gruppe des Nutzers auf Haiilo zu bestimmen. Der Wert im Nutzerprofil muss mit einer vorhandenen Gruppe auf Haiilo übereinstimmen; Groß- und Kleinschreibung beachten. Wenn keine Gruppe mit dem gleichen Wert existiert, schlägt die Bereitstellung fehl.
      • Weitere Informationen unter Nutzer einer Gruppe zuordnen.
      locality
      • Um das Team des Nutzers auf Haiilo zu bestimmen. Der Wert im Nutzerprofil muss nicht mit einem vorhandenen Team auf Haiilo übereinstimmen. Ein neuer Wert erstellt ein neues Team; Groß- und Kleinschreibung wird nicht beachtet.
      • Weitere Informationen unter Nutzer Teams zuordnen.
      region
      • Um das Team des Nutzers auf Haiilo zu bestimmen. Der Wert im Nutzerprofil muss nicht mit einem vorhandenen Team auf Haiilo übereinstimmen. Ein neuer Wert erstellt ein neues Team; Groß- und Kleinschreibung wird nicht beachtet.
      • Weitere Informationen unter Nutzer Teams zuordnen.
      organization
      • Um das Team des Nutzers auf Haiilo zu bestimmen. Der Wert im Nutzerprofil muss nicht mit einem vorhandenen Team auf Haiilo übereinstimmen. Ein neuer Wert erstellt ein neues Team; Groß- und Kleinschreibung wird nicht beachtet.
      • Weitere Informationen unter Nutzer Teams zuordnen.
      division
      • Um das Team des Nutzers auf Haiilo zu bestimmen. Der Wert im Nutzerprofil muss nicht mit einem vorhandenen Team auf Haiilo übereinstimmen. Ein neuer Wert erstellt ein neues Team; Groß- und Kleinschreibung wird nicht beachtet.
      • Weitere Informationen unter Nutzer Teams zuordnen.
      department
      • Um das Team des Nutzers auf Haiilo zu bestimmen. Der Wert im Nutzerprofil muss nicht mit einem vorhandenen Team auf Haiilo übereinstimmen. Ein neuer Wert erstellt ein neues Team; Groß- und Kleinschreibung wird nicht beachtet.
      • Weitere Informationen unter Nutzer Teams zuordnen.
  4. Weise Nutzer der Anwendung zu, wenn Du das noch nicht getan hast. Sobald Nutzer zugewiesen sind, werden sie beim nächsten Abgleich bereitgestellt. Wir empfehlen, den Abgleich zunächst mit einigen Beispielnutzern zu testen.
  5. Speichere die App. Der erste Zyklus wird kurz danach gestartet und alle zugewiesenen Nutzer werden auf der Plattform erstellt.

Nachdem ein Zyklus durchgelaufen ist, wird der Prozess in den Bereitstellungsprotokollen der Identitätsanbieteranwendung protokolliert. Wenn Du auf Fehler stößt, sieh Dir bitte die Protokolle für Fehlerinformationen an und teile die Ergebnisse mit unserem Service Desk. Du kannst auch unsere FAQ-Sektion für Hilfe aufrufen.

Nutzer einer Gruppe zuordnen

Jede in diesem Abschnitt erwähnte Gruppe bezieht sich auf eine Haiilo-Gruppe, nicht auf eine Identitätsanbietergruppe im SCIM-Schema.

  • Ein Nutzer auf Haiilo kann nur einer Gruppe zugeordnet werden. Die Gruppe wird durch das country-Attribut im SCIM-Schema definiert.
  • Der Wert repräsentiert den Namen einer Gruppe, der Groß- und Kleinschreibung beachtet. Die Gruppe muss existieren, bevor ein Nutzer ihr zugewiesen werden kann. Bitte erstelle und bestimme daher Deine Haiilo-Gruppen basierend auf den Informationen, die Du in den Benutzerprofilen im Identitätsanbieter hast.
  • Beim Verschieben eines Nutzers in eine andere Gruppe werden alle aktuellen Teams aus dem Profil entfernt. Nach einem erfolgreichen Verschieben ordnet die Teamzuordnung die Nutzer den Teams in der neuen Gruppe gemäß der Anfrage zu.
  • Die Zuordnung von Nutzern zu Gruppen erfordert, dass die Funktion Gruppen für Deine Plattform aktiviert ist. Ist sie es nicht, wird der Wert einfach ignoriert.

Nutzer Teams zuordnen

  • Haiilo unterstützt die Zuordnung von bis zu 5 Teams pro Nutzer mit SCIM. Zusätzliche Teams können manuell von der Verwaltung > Benutzer hinzugefügt werden. Jeder Teamwert wird durch diese Attribute definiert:
    • locality (addresses[type eq "work"])
    • region (addresses[type eq "work"])
    • organization
    • division
    • department
  • Im Gegensatz zu Gruppen sind Teamnamen nicht Groß- und Kleinschreibungssensitiv. Ein Team muss vor der Synchronisierung nicht existieren.
    • Während der Synchronisierung wird nach dem Team gesucht (Team "Marketing" würde zum Team "Marketing" passen), und wenn es gefunden wird, wird der Nutzer dem entsprechenden Team zugewiesen.
    • Wird ein Team nicht gefunden, wird ein neues Team erstellt, wobei die Groß- und Kleinschreibung beibehalten wird (Team "Marketing" wird als "marketing" erstellt), und der Nutzer wird dem neu erstellten Team zugewiesen.
  • Teams sind pro Gruppe eindeutig, das bedeutet, wenn Du Nutzer zu Gruppen und Teams hinzufügst, werden Nutzer zuerst einer Gruppe und dann den Teams dieser Gruppe hinzugefügt. Du würdest ein "Marketing"-Team in der "AMER"-Gruppe und ein weiteres "Marketing"-Team in der "EMEA"-Gruppe haben. Teams überschneiden sich nicht zwischen Gruppen.

War dieser Beitrag hilfreich?