Integration von SCIM-Verzeichnissen - Okta

Bevor Sie beginnen

• Führen Sie die Schritte aus, die im Supportartikel zur SCIM-Verzeichnisintegration beschrieben sind, um ein neues SCIM-Benutzerverzeichnis in Ihrem Kandji Mandanten einzurichten. Sie müssen das SCIM-Zugriffstoken und die API-URL abrufen.

• Stellen Sie sicher, dass Sie den Advanced Lifecycle Management-Plan von Okta verwenden, der integriertes, standardbasiertes Provisioning für SCIM unterstützt.

• Kopieren und speichern Sie das bereitgestellte Token, wie im Artikel SCIM-Verzeichnisintegration beschrieben. Das Token ist nicht sichtbar, sobald Sie auf Fertig klicken, und wird in einem späteren Schritt benötigt.

• Überprüfen Sie unbedingt die unterstützten Benutzer- und Gruppenattribute, die in der SCIM-Verzeichnisintegration aufgeführt sind.

Erstellen der SCIM-Integration in Okta

Die Kandji Anwendung, die im Okta Integration Network (OIN) verfügbar ist, kann nicht für SCIM bereitgestellt werden. Eine neue Anwendungsintegration muss erstellt werden, um SCIM zu nutzen. Diese neue App-Integration beeinträchtigt keine bestehende Okta SSO-Integration, die die OIN- Kandji -Anwendung nutzt.

1. Melden Sie sich über login.okta.com bei Ihrem Okta-Mandanten an

2. Sobald Sie angemeldet sind, gehen Sie in der linken Navigationsleiste zu Anwendungen > Anwendungen

3. Klicken Sie auf App-Integration erstellen

4. Wählen Sie SAML 2.0 als Anwendungstyp aus und klicken Sie auf Weiter.

5. Geben Sie in den allgemeinen Einstellungen der App einen Namen und aktivieren Sie das Kontrollkästchen im Abschnitt App-Sichtbarkeit . Klicken Sie dann auf Weiter.

6. Geben Sie in den SAML-Einstellungen eine Dummy-URL in die Felder Single Sign-On-URL und Zielgruppen-URI (SP-Entitäts-ID) ein. Ändern Sie keine anderen Einstellungen.

7. Klicken Sie auf Weiter.

   Da wir diese Anwendungsintegration nicht für SSO verwenden werden, müssen die URLs nicht gültig sein. Sie müssen jedoch URLs in diese Felder eingeben, um fortzufahren. Wenn Sie sich entscheiden, SAML-SSO in Kandjizu aktivieren, können Sie dieselbe App verwenden, um dies zu tun.

8. Wählen Sie in Hilfe des Okta-Supports zu verstehen, wie Sie diese Anwendung konfiguriert haben, die Option Ich bin Okta-Kunde, der eine interne Anwendung hinzufügt, und klicken Sie auf Fertig stellen.

Konfigurieren von SCIM-Einstellungen

1. Navigieren Sie in der Kandji SCIM-App zur Registerkarte Allgemein.

2. Klicken Sie im Abschnitt Einstellungen auf Bearbeiten.

3. Wählen Sie SCIM in der Einstellung Provisioning aus.

4. Ändern Sie keine anderen Einstellungen und klicken Sie auf Speichern. 

5. Klicken Sie auf der Registerkarte "Bereitstellung " im Abschnitt "Integration" auf "Bearbeiten".

6. Geben Sie für SCIM-Konnektor-Basis-URL die SCIM-Integrationsbasis-URL ein, die aus Kandji kopiert wurde (Beispiel: https://accuhive.api.kandji.io/api/v1/scim).

7. Geben Sie für Feld Eindeutige Kennung für Benutzer den Namen userName ein.

8. Wählen Sie für Unterstützte Bereitstellungsaktionen die Option Neue Benutzer pushen, Profilupdates pushen und Pushgruppen aus.

9. Wählen Sie für Authentifizierungsmodus die Option HTTP-Header aus.

10. Geben Sie für Autorisierung das Bearer-Token ein, das Sie im oben erwähnten Artikel zur Kandji SCIM-Verzeichnisintegration erhalten haben.

11. Klicken Sie auf Connector-Konfiguration testen, um die Integration zu testen.

    • Nur Benutzer erstellen, Benutzerattribute aktualisieren und Push-Gruppen sollten in dem angezeigten Modal aktiviert sein.

12. Klicken Sie auf Speichern.

13. Wechseln Sie auf der Registerkarte "Bereitstellung" zum Abschnitt "Zur App" und klicken Sie auf "Bearbeiten".

14. Aktivieren Sie im Abschnitt Bereitstellung für App die Optionen Benutzer erstellen, Benutzerattribute aktualisieren und Benutzer deaktivieren.

15. Klicken Sie auf, Speichern.

16. (fakultativ) Bearbeiten Sie in den  Attributzuordnungen die Benutzerattribute, die an Kandji gesendet werden sollen. Kandji speichern und verwenden nur die Attribute, die im Artikel der Wissensdatenbank zur Integration des SCIM-Verzeichnisses erwähnt werden.

Benutzer und Gruppen

Zuweisen von Benutzern zu Kandji

In diesem Abschnitt wird das Zuweisen von Benutzern zu Kandji durch Erstellen einer Okta-Benutzergruppe mit dem Namen kandji_apple_users. Diese Gruppe wird der Registerkarte "Zuweisung" in der Okta SCIM-App hinzugefügt. 

 Diese Methode ist nur ein Beispiel, das zeigt, wie Benutzer über Okta SCIM Kandji zugewiesen werden können.

1. Navigieren Sie in einem neuen Browser-Tab zu Verzeichnis > Gruppen und klicken Sie auf Gruppe hinzufügen.

2. Geben Sie der Gruppe einen aussagekräftigen Namen wie kandji_apple_user und klicken Sie auf Speichern.

3. Suchen Sie nach der Gruppe, die Sie gerade erstellt haben, und fügen Sie einen oder mehrere Testbenutzer hinzu.

4. Navigieren Sie zurück zu dem Browser-Tab, in dem die Okta SCIM-App geöffnet ist.

5. Gehen Sie zur Registerkarte Zuweisungen, klicken Sie auf Zuweisen > Gruppen zuweisen.

6. Suchen Sie nach der neu erstellten Gruppe und klicken Sie auf Zuweisen > Speichern und Zurück.

7. Bestätigen Sie, dass die Gruppe zugewiesen wurde, und klicken Sie auf Fertig. Die Gruppe sollte nun auf der Registerkarte "Zuweisungen" im Abschnitt "Gruppen" angezeigt werden.

8. Wenn die Gruppe nicht angezeigt wird, versuchen Sie, die Browserregisterkarte zu aktualisieren.

Alle Benutzer, die zu dieser Gruppe gehören, werden an Kandji gepusht und im Modul Benutzer angezeigt. Im nächsten Abschnitt werden wir besprechen, wie Sie Gruppen zur Kandji pushen.

Pushen von Gruppen zur Kandji

In diesem Abschnitt erfahren Sie, wie Sie Benutzergruppen zu Kandjipushen.

Wenn Sie planen, Okta-Gruppen zur Verwendung in Zuweisungsregeln an Kandji zu pushen, fügen Sie jede Gruppe, die Sie pushen möchten, zur Registerkarte "Gruppen-Push" in der SCIM-App hinzu.

Gemäß dieser Okta article können Gruppen, die zum Zuweisen von Benutzern auf der Registerkarte "Zuweisung" verwendet werden, nicht auf der Registerkarte "Push-Gruppen" verwendet werden. Okta empfiehlt, zusätzliche Gruppen mit denselben Benutzern zu erstellen und die neuen Gruppen zur Registerkarte "Push-Gruppen" hinzuzufügen, um eine konsistente Gruppenmitgliedschaft zu gewährleisten.

Wenn an beiden Stellen dieselbe Gruppe hinzugefügt wird, hat die Registerkarte "Zuweisung" Vorrang, und die Gruppe kann nicht gepusht werden. Eine Möglichkeit, dies zu handhaben, besteht darin, eine einzelne Gruppe "Benutzerzuweisung" zu erstellen, die alle Ihre Kandji Benutzer enthält, und diese Gruppe zur Registerkarte "Zuweisung" hinzuzufügen. Von dort aus können Sie Ihre vorhandenen Okta-Gruppen als Push-Gruppen verwenden. Denken Sie daran, dass die Mitglieder der gepushten Gruppen auch Mitglieder der Kandji Benutzergruppe sein müssen, die der SCIM-App zugewiesen ist, damit die Benutzerzuordnung funktioniert.

1. Wählen Sie auf der Registerkarte Push-Gruppen die Option Push-Gruppen aus > Gruppen nach Namen suchen. (Falls gewünscht, können Sie auch Gruppen nach Regel suchen verwenden)

2. Suchen Sie nach einer Gruppe und wählen Sie sie aus.

3. Stellen Sie sicher, dass Gruppe erstellen ausgewählt ist.

4. Klicken Sie auf Speichern und weitere hinzufügen.

5. Suchen Sie nach weiteren Gruppen, die Sie per Push an Kandjipushen möchten, und fügen Sie diese hinzu.

Damit die Benutzergruppenzuordnung funktioniert, müssen die Mitglieder der gepushten Gruppen auch Mitglieder der Gruppe Kandji Benutzer sein, die der SCIM-App zugewiesen ist.

Automatisches Aktualisieren der Mitgliedschaft für die kandji apple users group

Okta-Gruppenregeln können verwendet werden, um die kandji_apple_users Gruppe automatisch zu aktualisieren, wenn Sie jemanden zu einer Ihrer vorhandenen Gruppen hinzufügen, die als Push-Gruppen verwendet werden. Wenn Sie z. B. eine Person zur Entwicklergruppe hinzufügen, kann eine Regel erstellt werden, sodass neue Benutzer, die der Entwicklergruppe hinzugefügt werden, auch der kandji_apple_users Gruppe hinzugefügt werden. Die neuen Benutzer werden der SCIM-App zugewiesen und über die SCIM-Integration an Kandji gesendet, und die Gruppenzuordnungen werden aktualisiert.

1. Klicken Sie auf Verzeichnis > Gruppen > Regeln > Regel hinzufügen.

2. Geben Sie der Regel einen Namen. Beispiel: "Gruppenmitgliedschaft aktualisieren kandji_apple_users".

3. Wählen Sie Gruppenmitgliedschaft als Bedingung aus.

4. Geben Sie die Namen der Gruppen ein, die als Push-Gruppen verwendet werden.

5. Geben Sie für Assign (Zuweisen) ein kandji_all_apple.

6. Klicken Sie auf Speichern.

7. Zurück auf der Seite mit den Gruppenregeln, neben der Regel. Wählen Sie das Dropdown-Menü Aktionen und dann Aktivieren aus.

Pushen von Gruppenupdates

• Wenn Sie der Gruppe, die der SCIM-App in Okta zugewiesen ist, weitere Benutzer hinzufügen, müssen Sie auch die Gruppen aktualisieren, die Sie als Push-Gruppen hinzugefügt haben.

• Updates sollten relativ schnell in Kandji angezeigt werden, aber wenn Sie Gruppenupdates sofort pushen möchten, können Sie in der Okta-App auf der Registerkarte "Push-Gruppen" die Option "Jetzt pushen" auswählen. Weitere Informationen finden Sie in der Okta article.

  Die Synchronisierung von Benutzern und Gruppen erfolgt in eine Richtung, d. h. die SCIM-App sendet nur dann Benutzerinformationen an Kandji, wenn neue oder aktualisierte Informationen gesendet werden müssen. Aus diesem Grund wird in der Kandji Web-App keine Option "Jetzt synchronisieren" benötigt.

Löschen von gepushten Gruppen

Führen Sie die folgenden Schritte aus, um das Pushen von Gruppenupdates zu beenden oder optional eine gepushte Gruppe aus Kandji zu löschen.

1. Wechseln Sie zur Registerkarte Push-Gruppen für die App in Okta.

2. Wählen Sie in der Spalte Push-Status die Option Verknüpfung der Push-Gruppe aufheben aus.

3. Wählen Sie die Option zum Löschen der Gruppe in der Ziel-App (empfohlen) aus. Dadurch wird die Gruppe in der Ziel-App GELÖSCHT, und Benutzerkonten werden NICHT gelöscht. Die Benutzerkonten sind an die Zuweisungsgruppe auf der Registerkarte Bereitstellung gebunden. 

4. Klicken Sie auf Verknüpfung aufheben.

Die Gruppe sollte nicht mehr auf der Registerkarte "Push-Gruppen" aufgeführt sein.