¿Qué es SCIM?
SCIM, o el Sistema para la Gestión de Identidades entre Dominios, es un protocolo diseñado para hacer que la gestión de las identidades de los usuarios en diferentes sistemas sea más sencilla y eficiente. Es especialmente útil cuando se utilizan varias aplicaciones basadas en la nube, ya que ayuda a automatizar el proceso de adición y eliminación de usuarios.
Cómo funciona SCIM
SCIM implica dos funciones principales:
Cliente : suele ser un proveedor de identidad o un sistema de administración de acceso a identidades, como Microsoft Entra ID u Okta, que administra los datos de identidad principales.
Proveedor de servicios : una aplicación de software como servicio (SaaS), como Kandji, que utiliza datos de identidad para administrar el acceso y los permisos de los usuarios.
SCIM admite varias operaciones, como el aprovisionamiento, la sincronización y el desaprovisionamiento. Esta sincronización unidireccional le permite crear automáticamente cuentas de usuario en Kandji, mantener actualizados los atributos de usuario entre su MDM y IdP, y eliminar o deshabilitar automáticamente las cuentas de usuario cuando ya no sean necesarias.
Configuración de SCIM en Kandji
Para configurar una integración de SCIM entre su proveedor de identidad (IdP) y Kandji, deberá:
Cree una nueva integración de directorio SCIM en Kandji
Obtenga la URL de la API de SCIM y el token de API de Kandji para usarlos con su IdP.
Acceda a su IdP para crear una integración de aplicaciones, asignar atributos SCIM y enviar los grupos de usuarios deseados.
Crear una nueva integración de directorio SCIM
Vaya a Integraciones en la barra de navegación de la izquierda.
Haz clic en Descubrir integraciones en la parte superior derecha de la página Integraciones.
En el mosaico Protocolo SCIM , haga clic en Agregar y configurar.
Haga clic en Comenzar.
Introduzca un nombre único para la integración de SCIM.
Haga clic en Generar token. La integración del directorio de usuarios SCIM utiliza un encabezado de autorización HTTP con un token de portador como método de autenticación.
Haga clic en Copiar token.
Confirme que ha copiado el token y sepa que tendrá que cambiarlo si desea volver a ver los detalles del token.
Haga clic en Listo y volverá a la página Integraciones .
Obtener la URL de la API de SCIM
La URL de la API de SCIM tendrá el formato de https://subdomain.api.kandji.io/api/v1/scim
Haga clic en la elipse de la integración del directorio SCIM que acaba de crear.
Seleccione Ver detalles.
Copie la URL de la API de SCIM; Su proveedor de identidad lo requerirá.
Haga clic en Cerrar.
Esquema SCIM y atributos admitidos
Kandji admite los siguientes atributos SCIM. Consulte estos atributos cuando mapee su aplicación SCIM en su IdP.
Kandji no utiliza ningún atributo que no esté en la lista siguiente. Para limitar los atributos enviados, modifique los atributos configurados en la aplicación SCIM en su IdP.
Atributos de usuario
Atributo | Descripción | Obligatorio |
|---|---|---|
nombre de usuario | Identificador único para el usuario, utilizado para autenticarse en el proveedor de servicios | Sí |
nombre.formateado | El nombre completo del usuario (por ejemplo, "John Doe"). Este atributo o el atributo displayName son obligatorios | No |
displayName | El nombre completo del usuario (por ejemplo, "John Doe"). Este atributo o el atributo name.formatted es obligatorio | Sí |
título | El título del usuario, como "Vicepresidente". | No |
activo | El estado del usuario dentro del proveedor de identidades. Kandji mueve a los usuarios eliminados temporalmente e inactivos a la sección Usuarios archivados de Kandji. Este atributo es agregado automáticamente por el proveedor de identidad. | Sí |
emails.value | La dirección de correo electrónico del usuario como un subatributo de los correos electrónicos. Kandji solo almacena el primer correo electrónico de la lista. | Sí |
departamento | Identifica el nombre de un departamento. | No |
Atributos de grupo
Atributo | Descripción | Obligatorio |
|---|---|---|
displayName | Un nombre legible para el grupo. | Sí |
Miembros | Una lista de los miembros del grupo. | Sí |
Al usar SCIM para sincronizar usuarios desde un directorio, la aplicación SCIM envía automáticamente nueva información a Kandji, por lo que no es necesario un botón Sincronizar ahora que vería al usar el ID nativo de Entra o las integraciones de directorio de Google Workspace. Cada IdP en la nube tiene su propio estándar para sincronizar datos SCIM.
Consulte la documentación de su proveedor de identidad para comprender cómo se configura la sincronización SCIM.
Próximos pasos
Después de completar los pasos de este artículo, consulte el artículo específico del IdP para obtener información sobre cómo configurar SCIM dentro de su IdP. A continuación se muestran los artículos de soporte de IdP disponibles actualmente. Kandjiimplementación de SCIM sigue la especificación SCIMv2.