SCIM

System for Cross-domain Identity Management (SCIM) on protokoll identiteediandmete provisionimiseks ja haldamiseks veebis.

hoiatus

Datafisher soovitab tungivalt Microsoft Graphil põhinevat lahendust, kus LMS tõmbab asjakohased andmed Entra ID-st Datafisheri Azure'i rakenduse kaudu.

See võimaldab paremat kliendi ja lõppkasutaja tuge, mis ei vaja kliendi IT sisendit.

SCIM-i tasub kaaluda, kui Entra ID kasutajaatribuutides on tundlikke andmeid, mida ei tohi Datafisherile kättesaadavaks teha. Pane tähele, et igal juhul salvestatakse LMS-i ainult varem kokku lepitud andmed.

Eeltingimused (annab Datafisher):

1. SCIM endpoint (Tenant URL)
2. salajane token

Tulemused (edastatakse Datafisherile):

1. (puuduvad)

Olulised SCIM-i teostuse üksikasjad

1. Kasutajaid ei kustutata kunagi kohe, vaid need märgitakse blokeerituks. Kasutajad kustutatakse LMS-is määratud andmete säilitamise reeglite järgi.
2. Kui kasutajaid uuendatakse ükshaaval, mitte hulgiuuenduse osana, võib olla väike viivitus enne, kui kõik nende määramised ja grupiliikmesused on saadaval.
3. Imporditud kasutajatele rakenduvad ka LMS-i andmete valideerimise reeglid, näiteks:
   1. e-posti aadressid peavad olema unikaalsed;
   2. e-posti aadress või töötaja ID, kui seda kasutatakse, peab olema antud;
   3. jne.
4. SCIM endpoint võib olla piiratud LMS-is saadaval kasutajate alamhulgaga, näiteks ainult kindel üksus või ainult sisekasutajad.

SCIM-i seadistamine

Kõigepealt tuleb seadistada Datafisheri Azure'i rakendus.

Seejärel ava Microsoft Entra admin center, liigu jaotisse Enterprise Applications ja vali Datafisher LMS:

Seejärel vali menüüst Provisioning.

Seejärel alusta seadistamist.

Ühenduse seadistamine

Seejärel määra Provisioning mode väärtuseks Automatic ning täida Tenant URL ja Secret token.

Seejärel testi ühendust. Lehe paremas ülanurgas peaksid nägema õnnestumise sõnumit.

Seejärel salvesta seadistus.

Seejärel võib olla vaja uuesti Provisioning lehele liikuda, et provisionimise menüü nähtavaks muutuks:

Kasutajate vastenduste uuendamine

Seejärel ava Provisioning all jaotis Mappings ja vali Provision Microsoft Entra ID Users.

Seejärel leia jaotises Attribute mappings väli externalId ja klõpsa Edit.

Seejärel:

1. muuda Source attribute väärtuseks objectId
2. määra Match objects using this attribute väärtuseks Yes
3. määra Matching precedence väärtuseks 2

ja klõpsa lehe allosas Ok.

Seejärel leia loendist Attribute Mappings väli userName ja klõpsa Edit.

Seejärel määra Match objects using this attribute väärtuseks No ja klõpsa lehe allosas Ok.

Seejärel eemalda loendist Attribute Mappings mõned toetamata atribuudid:

1. name.formatted
2. displayName
3. kõik addresses*
4. kõik phoneNumbers*

Alles peaks jääma ainult:

1. userName
2. active
3. title
4. emails[type eq "work"].value
5. preferredLanguage
6. name.givenName
7. name.familyName
8. externalId
9. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
10. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
11. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager

Lisaks eemalda järgmised väljad, kui need pole sinu ettevõtte LMS-is lubatud:

1. title (ametinimetus)
2. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber (töötaja ID)
3. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department (osakonna nimi)

Seejärel salvesta muudatused.

Kohandatud atribuudid

Kui tuleb lisada kohandatud välju, märgi Show advanced options ja klõpsa Edit attribute list for customappsso.

Täida lehe allosas väljad Name ja Type Datafisheri antud info järgi. Näiteks võib Name olla urn:ietf:params:scim:schemas:extension:datafisher:2.0:User:source.

Seejärel klõpsa loendis Attribute Mappings valikut Add New Mapping ning vali asjakohane Source attribute ja Target attribute. Kui sa ei leia äsja lisatud Target attribute väärtust, võib olla vaja lehte värskendada.

Seejärel salvesta muudatused lehel Attribute Mapping ja liigu tagasi lehele Provisioning.

Gruppide vastenduste uuendamine

Seejärel ava Provisioning halduses jaotis Mappings ja vali Provision Microsoft Entra ID Groups.

Seejärel leia tabelist Attribute mappings väli externalId ja klõpsa Edit.

Seejärel:

1. veendu, et Source attribute on objectId
2. määra Match objects using this attribute väärtuseks Yes
3. määra Matching precedence väärtuseks 2

ja klõpsa lehe allosas Ok.

Seejärel leia loendist Attribute Mappings väli displayName ja klõpsa Edit.

Seejärel määra Match objects using this attribute väärtuseks No ja klõpsa lehe allosas Ok.

Seejärel salvesta muudatused lehel Attribute Mapping ja liigu tagasi lehele Provisioning.

Kasutajate määramine

Provisionida saab kas kõik kasutajad või ainult osa neist.

Kõigi kasutajate provisionimine (ei ole soovitatav)

Kõigi kasutajate provisionimiseks liigu Provisioning halduslehele, leia jaotis Settings ja muuda Scope väärtuseks Sync all users and groups.

Seejärel klõpsa üleval Save.

Ainult valitud kasutajate provisionimine (soovitatav)

Valitud kasutajate provisionimiseks liigu Provisioning halduslehele, leia jaotis Settings ja muuda Scope väärtuseks Sync only assigned users and groups.

Seejärel klõpsa üleval Save.

Seejärel liigu Users and groups halduslehele ja klõpsa Add user/group.

Seejärel klõpsa None selected.

Seejärel vali asjakohased grupid ja klõpsa Select. Need grupid on LMS-is saadaval ka määramise ja aruandluse jaoks.

Vali vähemalt grupp, mis sisaldab kõiki inimesi, see tähendab välistab aadressid nagu noreply@, support@ jne.

Hoiatus

Pane tähele, et grupi määramisel ei kaasata pesastatud gruppe.

Seejärel klõpsa lehe allosas Assign.

Provisionimise sisselülitamine

Seejärel liigu tagasi Provisioning halduslehele, lülita provisionimine sisse ja klõpsa Save.

Seejärel liigu provisionimise Overview lehele, kus peaksid nägema, et provisionimine on lubatud, kuid algne provisionimise tsükkel ei ole tõenäoliselt veel käivitunud.

Lõpuks peaksid mõne minuti pärast nägema provisionimise olekut. Vigade korral võta ühendust Datafisheri toega.