SCIM-Endpunkt STACKIT IdP
Sie können das System for Cross-domain Identity Management (SCIM) verwenden, um Benutzer und Gruppen aus Ihrer Organisation mit dem STACKIT Identity Provider (STACKIT IdP) zu synchronisieren. Dies hilft Ihnen, den Benutzerzugriff über verschiedene Systeme hinweg effizient zu verwalten. Der STACKIT IdP unterstützt den SCIMv2-Standard (RFC7642). SCIMv1 wird nicht unterstützt.
Technische Details
Abschnitt betitelt „Technische Details“Verwenden Sie die folgenden Details, um Ihren SCIM-Provisioning-Client zu konfigurieren:
- Basis-URL:
https://accounts.stackit.cloud/scim/v2/ - Provider-Konfigurations-URL:
https://accounts.stackit.cloud/scim/v2/ServiceProviderConfig - Authentifizierung: Verwenden Sie ein Bearer-Token zur Authentifizierung. Das Token erfordert
scim.read- oderscim.write-Berechtigungen für die Bereitstellung. Discovery-Endpunkte erfordern keine Authentifizierung. - Unterstützte Ressourcen: Der STACKIT IdP unterstützt diese Ressourcen, wie unter https://accounts.stackit.cloud/scim/v2/ResourceTypes definiert:
- Benutzer:
https://accounts.stackit.cloud/scim/v2/Schemas/urn:ietf:params:scim:schemas:core:2.0:User - Gruppen:
https://accounts.stackit.cloud/scim/v2/Schemas/urn:ietf:params:scim:schemas:core:2.0:Group
- Benutzer:
- Unterstützte Funktionen:
- Filterung RFC7644 - 3.4.2.2.: Provisioning-Clients können den Filterparameter beim Auflisten von Ressourcen verwenden.
- PATCH RFC7644 - 3.5.2.: Sie können mehrere Änderungen an einer Ressource mit der
PATCH-Methode vornehmen. Dies ist besonders nützlich für die Verwaltung von Gruppenmitgliedschaften.
Benutzerressource
Abschnitt betitelt „Benutzerressource“Eine Benutzerressource ist die minimale Darstellung eines funktionalen Benutzers im STACKIT IdP.
Der IdP unterstützt das Standard-SCIM-Schema urn:ietf:params:scim:schemas:core:2.0:User zusammen mit der Standarderweiterung urn:ietf:params:scim:schemas:extension:enterprise:2.0:User. Beachten Sie, dass der STACKIT IdP möglicherweise bestimmte Felder im SCIM-Schema nicht verwendet.
Weitere Informationen finden Sie in der SCIM-Schema-Dokumentation.
Attributzuordnung und Beispiele
Abschnitt betitelt „Attributzuordnung und Beispiele“Der STACKIT IdP enthält eine zusätzliche Erweiterung für die Benutzerressource: urn:schwarz:params:scim:schemas:extension:notifications:2.0:User. Mit dieser Erweiterung können Sie entscheiden, ob beim Erstellen eines Benutzers während der Bereitstellung eine Einladungs-E-Mail gesendet werden soll.
Für Benutzer, die sich nicht mit dem Single Sign-On (SSO) Ihrer Organisation authentifizieren, können Sie beim Erstellen des Benutzers ein einfaches Passwort angeben. dieses Passwort kann nach der Erstellung des Benutzers nicht mehr durch Provisionierung aktualisiert oder abgerufen werden. Wenn Sie kein Passwort angeben, muss der Benutzer sein Konto per E-Mail aktivieren, wenn er sich zum ersten Mal anzumelden versucht.
Wenn der active-Status eines Benutzers auf false gesetzt ist, kann er sich nicht authentifizieren. Dies gilt unabhängig davon, ob er ein Passwort oder einen externen Identitätsanbieter verwendet. Deaktivierte Benutzer werden außerdem automatisch abgemeldet und alle ihre Zugriffstoken werden widerrufen.
Beispiel für eine Benutzerressource
Abschnitt betitelt „Beispiel für eine Benutzerressource“{ "schemas": [ "urn:ietf:params:scim:schemas:core:2.0:User", "urn:schwarz:params:scim:schemas:extension:notifications:2.0:User" ], "externalId": "scimUser", "urn:schwarz:params:scim:schemas:extension:notifications:2.0:User": { "sendInvitation": true }, "userName": "username", "active": true, "name": { "familyName": "Scim", "givenName": "User" }, "displayName": "display", "password": "plain password", "nickName": "nick", "preferredLanguage": "en", "emails": [ { "type": "work", "primary": true, "value": "scim@example.com" } ]}Gruppenressource
Abschnitt betitelt „Gruppenressource“Die Gruppenressource unterstützt das Standard-SCIM-Schema urn:ietf:params:scim:schemas:core:2.0:Group.
Diese Ressource ermöglicht es Ihnen, mehrere Add- und Remove-Operationen mit der PATCH-Methode auf das members-Feld anzuwenden. Dies erleichtert das Hinzufügen oder Entfernen von Benutzermitgliedschaften in einer Gruppe.
Weitere Details finden Sie in der Dokumentation zum Gruppenschema.
Beispiel für eine Gruppenressource
Abschnitt betitelt „Beispiel für eine Gruppenressource“{ "externalId": "externalID", "displayName": "Group name", "members": [ { "value": "userID" } ]}Synchronisierungsverhalten
Abschnitt betitelt „Synchronisierungsverhalten“Provisioning-Clients können konfigurierte Ressourcen auflisten und synchronisieren, sobald sie eingerichtet sind. Wenn sich Benutzer jedoch über einen externen Identity Provider (IdP) authentifizieren, können Ressourcen mit dem Provisioning-Client inkonsistent werden. Sie sind dafür verantwortlich, sicherzustellen, dass Ihre Synchronisierungsstrategie die Datenkonsistenz aufrechterhält.