SCIM

System zarządzania tożsamością między domenami (SCIM) to protokół służący do aprowizacji i zarządzania danymi tożsamości w internecie.

ostrzeżenie

Datafisher zdecydowanie zaleca rozwiązanie oparte na Microsoft Graph, w którym LMS pobiera odpowiednie dane z Entra ID przez aplikację Azure Datafisher.

Pozwala to lepiej wspierać klienta i użytkowników końcowych bez angażowania działu IT klienta.

SCIM należy rozważyć, jeśli atrybuty użytkowników w Entra ID zawierają dane wrażliwe, których nie wolno udostępniać Datafisher. Pamiętaj, że w każdym przypadku w LMS przechowywane są tylko wcześniej uzgodnione dane.

Wymagania wstępne (zapewniane przez Datafisher):

1. SCIM endpoint (Tenant URL)
2. tajny token

Wyniki (do przekazania Datafisher):

1. (none)

Istotne szczegóły implementacji SCIM

1. Użytkownicy nigdy nie są usuwani od razu, lecz oznaczani jako zablokowani. Użytkownicy zostaną usunięci zgodnie z regułami przechowywania danych zdefiniowanymi w LMS.
2. Gdy użytkownicy są aktualizowani pojedynczo, a nie jako część zbiorczego żądania aktualizacji, może wystąpić niewielkie opóźnienie, zanim wszystkie ich przypisania i członkostwa w grupach będą dostępne.
3. Reguły walidacji danych LMS są stosowane również do importowanych użytkowników, na przykład:
   1. adresy e-mail muszą być unikalne;
   2. trzeba podać adres e-mail albo identyfikator pracownika, jeśli jest używany;
   3. itd.
4. Punkt końcowy SCIM może być ograniczony do podzbioru użytkowników dostępnych w LMS, na przykład tylko do określonego działu albo tylko do użytkowników wewnętrznych.

Konfiguracja SCIM

Najpierw trzeba skonfigurować aplikację Azure Datafisher.

Następnie w centrum administracyjnym Microsoft Entra przejdź do Enterprise Applications i wybierz Datafisher LMS:

Następnie wybierz z menu Provisioning.

Następnie rozpocznij konfigurację.

Konfiguracja połączenia

Następnie ustaw Provisioning mode na Automatic i wypełnij pola Tenant URL oraz Secret token.

Następnie przetestuj połączenie. W prawym górnym rogu strony powinien pojawić się komunikat o powodzeniu.

Następnie zapisz konfigurację.

Następnie może być konieczne ponowne przejście na stronę Provisioning, aby menu aprowizacji stało się widoczne:

Aktualizacja mapowań użytkowników

Następnie w obszarze Provisioning otwórz sekcję Mappings i wybierz Provision Microsoft Entra ID Users.

Następnie w sekcji Attribute mappings znajdź externalId i kliknij Edit.

Następnie:

1. zmień Source attribute na objectId
2. ustaw Match objects using this attribute na Yes
3. ustaw Matching precedence na 2

i kliknij Ok u dołu strony.

Następnie na liście Attribute Mappings znajdź userName i kliknij Edit.

Następnie ustaw Match objects using this attribute na No i kliknij Ok u dołu strony.

Następnie na liście Attribute Mappings usuń niektóre nieobsługiwane atrybuty:

1. name.formatted
2. displayName
3. all addresses*
4. all phoneNumbers*

Po tym powinny zostać tylko:

1. userName
2. active
3. title
4. emails[type eq "work"].value
5. preferredLanguage
6. name.givenName
7. name.familyName
8. externalId
9. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
10. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
11. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager

Dodatkowo usuń następujące pola, jeśli nie są włączone w LMS dla Twojej firmy:

1. title (stanowisko)
2. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber (identyfikator pracownika)
3. urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department (nazwa działu)

Następnie zapisz zmiany.

Atrybuty niestandardowe

Jeśli trzeba dodać pola niestandardowe, zaznacz Show advanced options i kliknij Edit attribute list for customappsso.

U dołu strony wypełnij pola Name i Type zgodnie z informacjami przekazanymi przez Datafisher. Na przykład Name może mieć wartość urn:ietf:params:scim:schemas:extension:datafisher:2.0:User:source.

Następnie na liście Attribute Mappings kliknij Add New Mapping i wybierz odpowiednie Source attribute oraz Target attribute. Jeśli nie możesz znaleźć właśnie dodanego Target attribute, może być konieczne odświeżenie strony.

Następnie zapisz zmiany na stronie Attribute Mapping i wróć na stronę Provisioning.

Aktualizacja mapowań grup

Następnie w zarządzaniu Provisioning otwórz sekcję Mappings i wybierz Provision Microsoft Entra ID Groups.

Następnie w tabeli Attribute mappings znajdź externalId i kliknij Edit.

Następnie:

1. upewnij się, że Source attribute ma wartość objectId
2. ustaw Match objects using this attribute na Yes
3. ustaw Matching precedence na 2

i kliknij Ok u dołu strony.

Następnie na liście Attribute Mappings znajdź displayName i kliknij Edit.

Następnie ustaw Match objects using this attribute na No i kliknij Ok u dołu strony.

Następnie zapisz zmiany na stronie Attribute Mapping i wróć na stronę Provisioning.

Przypisywanie użytkowników

Można aprowizować wszystkich użytkowników albo tylko część z nich.

Aprowizowanie wszystkich użytkowników (niezalecane)

Aby aprowizować wszystkich użytkowników, przejdź na stronę zarządzania Provisioning, znajdź sekcję Settings i zmień Scope na Sync all users and groups.

Następnie kliknij Save u góry.

Aprowizowanie tylko wybranych użytkowników (zalecane)

Aby aprowizować tylko wybranych użytkowników, przejdź na stronę zarządzania Provisioning, znajdź sekcję Settings i zmień Scope na Sync only assigned users and groups.

Następnie kliknij Save u góry.

Następnie przejdź na stronę zarządzania Users and groups i kliknij Add user/group.

Następnie kliknij None selected.

Następnie wybierz odpowiednie grupy i kliknij Select. Te grupy będą też dostępne w LMS na potrzeby przypisań i raportowania.

Wybierz co najmniej grupę zawierającą wszystkie osoby, czyli wykluczającą adresy typu noreply@, support@ itd.

Ostrzeżenie

Pamiętaj, że gdy przypiszesz grupę, grupy zagnieżdżone nie zostaną uwzględnione.

Następnie kliknij Assign u dołu strony.

Włączenie aprowizacji

Następnie wróć na stronę zarządzania Provisioning, włącz aprowizację i kliknij Save.

Następnie przejdź na stronę Overview aprowizacji. Powinno być tam widać, że aprowizacja została włączona, ale początkowy cykl aprowizacji prawdopodobnie jeszcze się nie uruchomił.

Na końcu, po kilku minutach, powinien pojawić się status aprowizacji. Jeśli wystąpią błędy, skontaktuj się z pomocą techniczną Datafisher.