Integración de directorios SCIM

  • EF
  • CW
 Prev Next

¿Qué es SCIM?

SCIM, o el Sistema para la Gestión de Identidades entre Dominios, es un protocolo diseñado para hacer que la gestión de identidades de usuario en diferentes sistemas sea más sencilla y eficiente. Es particularmente útil cuando usa varias aplicaciones basadas en la nube, ya que ayuda a automatizar el proceso de agregar y eliminar usuarios.

Cómo funciona SCIM

SCIM implica dos roles principales:

  • Cliente : suele ser un proveedor de identidades o un sistema de administración de acceso de identidad, como Microsoft Entra ID u Okta, que administra los datos de identidad principales.

  • Proveedor de servicios : una aplicación de software como servicio (SaaS), como Kandji, que utiliza datos de identidad para administrar el acceso y los permisos de los usuarios.

SCIM admite varias operaciones, incluido el aprovisionamiento, la sincronización y el desaprovisionamiento. Esta sincronización unidireccional le permite crear automáticamente cuentas de usuario en Kandji, mantener actualizados los atributos de usuario entre su MDM y IdP, y eliminar o deshabilitar automáticamente las cuentas de usuario cuando ya no sean necesarias.

Configuración de SCIM en Kandji

Para configurar una integración SCIM entre su proveedor de identidad (IdP) y Kandji, deberá:

  • Crear una nueva integración de directorios SCIM en Kandji

  • Obtenga la URL de la API de SCIM y el token de API de Kandji para utilizarlos con el IdP.

  • Acceda a su IdP para crear una integración de aplicaciones, mapear atributos SCIM e impulsar los grupos de usuarios deseados.

Crear una nueva integración de directorios SCIM

  1. Vaya a Integraciones en la barra de navegación de la izquierda.

  2. Haz clic en Descubrir integraciones en la parte superior derecha de la página Integraciones. 

  3. En el mosaico del protocolo SCIM , haga clic en Agregar y configurar. 

  4. Haz clic en Comenzar.  qikoScDAkueWToPti4z0Hy1JCWra5rUxbQ

  5. Introduzca un nombre único para la integración de SCIM.

  6. Haga clic en Generar token. La integración del directorio de usuarios SCIM utiliza un encabezado de autorización HTTP con un token de portador como método de autenticación.  z4S8DtfEeWwMYzKioL4OCbc_TVmdk9r-gA

  7. Haga clic en Copiar token.

  8. Confirme que ha copiado el token y sepa que deberá cambiarlo si desea volver a ver los detalles del token.

  9. Haga clic en Listo. Volverá a la página Integraciones .  X_t81brzyBNcsgrI-IQnIiDpFR5EvhgSZw

Obtención de la URL de la API de SCIM

La URL de la API de SCIM tendrá el formato de https://subdomain.api..io/api/v1/scim

  1. Haga clic en la elipse de la integración de directorios SCIM que acaba de crear.

  2. Selecciona Ver detalles.

  3. Copie la URL de la API de SCIM; Su proveedor de identidad lo requerirá.

  4. Haga clic en CerrarVeib5GkQyIKAIM7AB6hE9fTW5z-NS2eDqQ

Esquema SCIM y atributos admitidos

Kandji admite los siguientes atributos SCIM. Consulte estos atributos al asignar su aplicación SCIM en su IdP. 

Kandji no utiliza ningún atributo que no esté en la lista siguiente. Para limitar los atributos enviados, modifique los atributos configurados en la aplicación SCIM en su IdP.

Atributos de usuario

Atributo

Descripción

Obligatorio

nombre de usuario

Identificador único para el usuario, utilizado para autenticarse ante el proveedor de servicios

nombre.formateado

El nombre completo del usuario (por ejemplo, "John Doe"). Este atributo o el atributo displayName es obligatorio

No

displayName

El nombre completo del usuario (por ejemplo, "John Doe"). Este atributo o el atributo name.formatted es obligatorio

título

El título del usuario, como "Vicepresidente".

No

activo

El estado del usuario dentro del proveedor de identidad. Este atributo es agregado automáticamente por el proveedor de identidad.

emails.value

La dirección de correo electrónico del usuario como un subatributo de los correos electrónicos. Kandji solo almacena el primer correo electrónico de la lista.

departamento

Identifica el nombre de un departamento.

No

Atributos de grupo

Atributo

Descripción

Obligatorio

displayName

Un nombre legible para el Grupo.

Miembros

Una lista de miembros del grupo.

Cuando se utiliza SCIM para sincronizar usuarios desde un directorio, la aplicación SCIM envía automáticamente nueva información a Kandji, por lo que no es necesario un botón Sincronizar ahora que vería al utilizar el ID nativo de Entra o las integraciones de directorios de Google Workspace. Cada IdP en la nube tiene su propio estándar para sincronizar datos SCIM.

Consulte la documentación de su proveedor de identidad para comprender cómo se configura la sincronización SCIM.

Próximos pasos

Después de completar los pasos de este artículo, consulte el artículo específico del IdP para obtener información sobre cómo configurar SCIM dentro de su IdP. A continuación se muestran los artículos de soporte de IdP disponibles actualmente. La implementación de SCIM de Kandjisigue la especificación SCIMv2.