SCIM

System for Cross-domain Identity Management (SCIM) on protokolla identiteettitietojen provisiointiin ja hallintaan verkossa.

varoitus

Datafisher suosittelee vahvasti Microsoft Graph -pohjaista ratkaisua, jossa LMS hakee olennaiset tiedot Entra ID:stä Datafisher Azure -sovelluksen kautta.

Tämä mahdollistaa paremman asiakas- ja loppukäyttäjätuen ilman asiakkaan IT:n osallistumista.

SCIM:iä tulisi harkita, jos Entra ID:n käyttäjäattribuutit sisältävät arkaluonteisia tietoja, joita ei saa asettaa Datafisherin saataville. Huomaa, että joka tapauksessa LMS:ään tallennetaan vain aiemmin sovitut tiedot.

Edellytykset, jotka Datafisher toimittaa:

1. SCIM-päätepiste (Tenant URL)
2. salainen token

Tulokset, jotka toimitetaan Datafisherille:

1. ei mitään

Huomioitavat SCIM-toteutuksen yksityiskohdat

1. Käyttäjiä ei koskaan poisteta, vaan heidät merkitään estetyiksi. Käyttäjät poistetaan LMS:ssä määritettyjen tietojen säilytyssääntöjen mukaisesti.
2. Kun käyttäjiä päivitetään yksittäin eikä osana joukkopäivityspyyntöä, voi olla pieni viive ennen kuin kaikki heidän kohdistuksensa ja ryhmäjäsenyytensä ovat saatavilla.
3. LMS:n tietojen validointisääntöjä sovelletaan myös tuotuihin käyttäjiin, esimerkiksi:
   1. sähköpostiosoitteiden on oltava yksilöllisiä;
   2. joko sähköpostiosoite tai työntekijätunnus, kun sitä käytetään, on annettava;
   3. jne.
4. SCIM-päätepiste voidaan rajata LMS:ssä saatavilla olevien käyttäjien osajoukkoon, esimerkiksi vain tiettyyn yksikköön tai vain sisäisiin käyttäjiin.

SCIM-määritys

Ensin Datafisher Azure -sovellus täytyy määrittää.

Siirry seuraavaksi Microsoft Entra admin center -palvelussa kohtaan Enterprise Applications ja valitse Datafisher LMS:

Valitse seuraavaksi valikosta Provisioning.

Aloita seuraavaksi.

Yhteyden määrittäminen

Aseta seuraavaksi Provisioning mode arvoon Automatic ja täytä Tenant URL ja Secret token.

Testaa seuraavaksi yhteys. Sivun oikeassa yläkulmassa pitäisi näkyä onnistumisviesti.

Tallenna seuraavaksi määritys.

Seuraavaksi sinun täytyy ehkä siirtyä uudelleen Provisioning-sivulle, jotta provisioning-valikko tulee näkyviin:

Käyttäjämappausten päivittäminen

Avaa seuraavaksi kohdassa Provisioning osio Mappings ja valitse Provision Microsoft Entra ID Users.

Etsi seuraavaksi kohdasta Attribute mappings arvo externalId ja napsauta Edit.

Seuraavaksi:

1. muuta Source attribute arvoon objectId
2. aseta Match objects using this attribute arvoon Yes
3. aseta Matching precedence arvoon 2

ja napsauta sivun alareunassa Ok.

Etsi seuraavaksi Attribute Mappings -listasta userName ja napsauta Edit.

Aseta seuraavaksi Match objects using this attribute arvoon No ja napsauta sivun alareunassa Ok.

Poista seuraavaksi Attribute Mappings -listasta joitakin tukemattomia attribuutteja:

1. name.formatted
2. displayName
3. kaikki addresses*
4. kaikki phoneNumbers*

jolloin jäljelle pitäisi jäädä vain:

1. userName
2. active
3. title
4. emails[type eq "work"].value
5. preferredLanguage
6. name.givenName
7. name.familyName
8. externalId
9. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
10. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
11. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager

Lisäksi poista seuraavat kentät, jos niitä ei ole otettu käyttöön yrityksesi LMS:ssä:

1. title (tehtävänimike)
2. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber (työntekijätunnus)
3. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department (osaston nimi)

Tallenna seuraavaksi muutokset.

Mukautetut attribuutit

Jos mukautettuja kenttiä täytyy lisätä, valitse Show advanced options ja napsauta Edit attribute list for customappsso.

Täytä sivun alareunassa Name- ja Type-kentät Datafisherin antamien tietojen mukaan. Name voi olla esimerkiksi urn:ietf:params:scim:schemas:extension:datafisher:2.0:User:source.

Napsauta seuraavaksi Attribute Mappings -listassa Add New Mapping ja valitse asiaankuuluva Source attribute ja Target attribute. Saatat joutua päivittämään sivun, jos et löydä juuri lisäämääsi Target attribute -arvoa.

Tallenna seuraavaksi muutokset Attribute Mapping -sivulla ja siirry takaisin Provisioning-sivulle.

Ryhmämappausten päivittäminen

Avaa seuraavaksi Provisioning-hallinnassa Mappings-osio ja valitse Provision Microsoft Entra ID Groups.

Etsi seuraavaksi Attribute mappings -taulukosta externalId ja napsauta Edit.

Seuraavaksi:

1. varmista, että Source attribute on objectId
2. aseta Match objects using this attribute arvoon Yes
3. aseta Matching precedence arvoon 2

ja napsauta sivun alareunassa Ok.

Etsi seuraavaksi Attribute Mappings -listasta displayName ja napsauta Edit.

Aseta seuraavaksi Match objects using this attribute arvoon No ja napsauta sivun alareunassa Ok.

Tallenna seuraavaksi muutokset Attribute Mapping -sivulla ja siirry takaisin Provisioning-sivulle.

Käyttäjien kohdistaminen

On mahdollista provisioida joko kaikki käyttäjät tai vain osa heistä.

Kaikkien käyttäjien provisiointi (ei suositella)

Jos haluat provisioida kaikki käyttäjät, siirry Provisioning-hallintasivulle, etsi Settings-osio ja muuta Scope arvoon Sync all users and groups.

Napsauta seuraavaksi yläreunassa Save.

Vain valittujen käyttäjien provisiointi (suositellaan)

Jos haluat provisioida vain valitut käyttäjät, siirry Provisioning-hallintasivulle, etsi Settings-osio ja muuta Scope arvoon Sync only assigned users and groups.

Napsauta seuraavaksi yläreunassa Save.

Siirry seuraavaksi Users and groups -hallintasivulle ja napsauta Add user/group.

Napsauta seuraavaksi None selected.

Valitse seuraavaksi asiaankuuluvat ryhmät ja napsauta Select. Nämä ryhmät ovat käytettävissä LMS:ssä myös kohdistus- ja raportointitarkoituksiin.

Valitse vähintään ryhmä, joka sisältää kaikki ihmiset eli sulkee pois kaikki noreply@-, support@- jne. osoitteet.

Varoitus

Huomaa, että kun kohdistat ryhmän, sisäkkäisiä ryhmiä ei sisällytetä.

Napsauta seuraavaksi sivun alareunassa Assign.

Provisioinnin käyttöönotto

Siirry seuraavaksi takaisin Provisioning-hallintasivulle, ota provisioning käyttöön ja napsauta Save.

Siirry seuraavaksi provisioning Overview -sivulle, jossa pitäisi näkyä, että provisioning on otettu käyttöön, mutta alkuperäinen provisioning-jakso ei todennäköisesti ole vielä suoritettu.

Lopuksi muutaman minuutin kuluttua sinun pitäisi nähdä provisioning-tila. Jos virheitä ilmenee, ota yhteyttä Datafisherin tukeen.