Was ist SCIM?
SCIM, oder System for Cross-Domain Identity Management, ist ein Protokoll, das entwickelt wurde, um die Verwaltung von Benutzeridentitäten über verschiedene Systeme hinweg einfacher und effizienter zu gestalten. Dies ist besonders nützlich, wenn Sie mehrere Cloud-basierte Anwendungen verwenden, da es hilft, den Prozess des Hinzufügens und Entfernens von Benutzern zu automatisieren.
Funktionsweise von SCIM
SCIM umfasst zwei Hauptrollen:
Client: Hierbei handelt es sich in der Regel um einen Identitätsanbieter oder ein Identitätszugriffsverwaltungssystem wie Microsoft Entra ID oder Okta, das die wichtigsten Identitätsdaten verwaltet.
Service Provider – Eine SaaS-Anwendung (Software-as-a-Service), z. B. Kandji, die Identitätsdaten verwendet, um den Benutzerzugriff und die Berechtigungen zu verwalten.
SCIM unterstützt verschiedene Vorgänge, einschließlich Bereitstellung, Synchronisierung und Aufhebung der Bereitstellung. Mit dieser one-way Synchronisierung können Sie automatisch Benutzerkonten in Kandji erstellen, Benutzerattribute zwischen Ihrem MDM und dem IdP auf dem neuesten Stand halten und Benutzerkonten automatisch entfernen oder deaktivieren, wenn sie nicht mehr benötigt werden.
Konfigurieren von SCIM in Kandji
Um eine SCIM-Integration zwischen Ihrem Identitätsanbieter (IdP) und Kandji zu konfigurieren, müssen Sie folgende Schritte ausführen:
Erstellen Sie eine neue SCIM-Verzeichnisintegration in Kandji
Rufen Sie die SCIM-API-URL und das API-Token von Kandji ab, um sie mit Ihrem IdP zu verwenden.
Greifen Sie auf Ihren IdP zu, um eine App-Integration zu erstellen, SCIM-Attribute zuzuordnen und gewünschte Benutzergruppen zu pushen.
Erstellen einer neuen SCIM-Verzeichnisintegration
Navigieren Sie in der linken Navigationsleiste zu Integrationen.
Klicken Sie oben rechts auf der Seite "Integrationen" auf "Integrationen entdecken".
Klicken Sie auf der Kachel SCIM-Protokoll auf Hinzufügen und konfigurieren.
Klicken Sie auf Erste Schritte.
Geben Sie einen eindeutigen Namen für die SCIM-Integration ein.
Klicken Sie auf Token generieren. Bei der Integration des SCIM-Benutzerverzeichnisses wird ein HTTP-Autorisierungsheader mit einem Bearer-Token als Authentifizierungsmethode verwendet.
Klicken Sie auf Token kopieren.
Vergewissern Sie sich, dass Sie das Token kopiert haben, und wissen Sie, dass Sie es ändern müssen, wenn Sie die Tokendetails wieder sehen möchten.
Klicken Sie auf Fertig. Sie kehren zur Seite Integrationen zurück.
Abrufen der SCIM-API-URL
Ihre SCIM-API-URL hat das Format https://subdomain.api.kandji.io/api/v1/scim
Klicken Sie auf die Auslassungspunkte der SCIM-Verzeichnisintegration, die Sie gerade erstellt haben.
Wählen Sie Details anzeigen aus.
Kopieren Sie die SCIM-API-URL. Ihr Identitätsanbieter wird dies verlangen.
Klicken Sie auf Schließen.
SCIM-Schema und unterstützte Attribute
Kandji unterstützt die folgenden SCIM-Attribute. Beziehen Sie sich auf diese Attribute, wenn Sie Ihre SCIM-Anwendung in Ihrem IdP zuordnen.
Kandji verwendet keine Attribute, die nicht in der folgenden Liste aufgeführt sind. Um die gesendeten Attribute einzuschränken, ändern Sie bitte die in der SCIM-App konfigurierten Attribute in Ihrem IdP.
Benutzerattribute
Attribut | Beschreibung | Erforderlich |
|---|---|---|
Nutzername | Eindeutige Kennung für den Benutzer, die zur Authentifizierung beim Dienstanbieter verwendet wird | Ja |
name.formatiert | Der vollständige Name des Benutzers (z. B. "Max Mustermann"). Dieses Attribut oder das displayName-Attribut ist erforderlich | Nein |
Anzeigename | Der vollständige Name des Benutzers (z. B. "Max Mustermann"). Dieses Attribut oder das name.formatted-Attribut ist erforderlich | Ja |
Titel | Der Titel des Benutzers, z. B. "Vice President". | Nein |
aktiv | Der Status des Benutzers innerhalb des Identitätsanbieters. Kandji verschiebt vorläufig gelöschte und inaktive Benutzer in den Abschnitt "Archivierte Benutzer" von Kandji. Dieses Attribut wird automatisch vom Identitätsanbieter hinzugefügt. | Ja |
emails.value | Die E-Mail-Adresse des Benutzers als Unterattribut von E-Mails. Kandji speichert nur die erste E-Mail in der Liste. | Ja |
Abteilung | Gibt den Namen einer Abteilung an. | Nein |
Attribute gruppieren
Attribut | Beschreibung | Erforderlich |
|---|---|---|
Anzeigename | Ein menschenlesbarer Name für die Gruppe. | Ja |
angehörige | Eine Liste der Mitglieder in der Gruppe. | Ja |
Wenn Sie SCIM verwenden, um Benutzer aus einem Verzeichnis zu synchronisieren, sendet die SCIM-App automatisch neue Informationen an Kandji, sodass keine Schaltfläche "Jetzt synchronisieren" erforderlich ist, die Sie bei der Verwendung der nativen Entra ID- oder Google Workspace-Verzeichnisintegrationen sehen würden. Jeder Cloud-IdP verfügt über einen eigenen Standard für die Synchronisierung von SCIM-Daten.
Bitte lesen Sie in der Dokumentation Ihres Identitätsanbieters nach, wie die SCIM-Synchronisierung konfiguriert ist.
Nächste Schritte
Nachdem Sie die Schritte in diesem Artikel ausgeführt haben, lesen Sie den IdP-spezifischen Artikel, um Informationen zur Konfiguration von SCIM in Ihrem IdP zu erhalten. Im Folgenden finden Sie die derzeit verfügbaren IdP-Support-Artikel. Die SCIM-Implementierung von Kandji folgt der SCIMv2-Spezifikation.