Was ist SCIM?

Das System für domänenübergreifendes Identitätsmanagement (SCIM) ist eine Spezifikation, die die Verwaltung von Benutzeridentitäten in Cloud-basierten Anwendungen und Diensten vereinfachen soll.


Sie können SCIM nutzen, um Benutzerprofile automatisch von Ihrem Identitätsanbieter (z. B. Microsoft Azure AD / Entra ID) mit STREAMBOXY zu synchronisieren.

Dies spart Ihnen viel Zeit für die manuelle Benutzerverwaltung, wenn Benutzer unserer Organisation beitreten oder sie verlassen.




Voraussetzungen

Die folgenden Voraussetzungen müssen erfüllt sein, um SCIM nutzen zu können:


  1. Sie benötigen einen SCIM-fähigen Identitätsanbieter (z. B. Entra Id, Okta usw.)
  2. Sie benötigen einen benutzerdefinierten SSO-Provider, der für Ihren Tenant konfiguriert ist, oder Ihre Azure AD-Domäne muss für SCIM auf der Whitelist stehen. Bitte kontaktieren Sie Ihren Customer Sucess Manager oder STREAMBOXY Sales.




Wie wird die Scim-Synchronisierung aktiviert?

Um SCIM für einen Mandanten zu aktivieren und dessen SCIM-Integrationstoken zu generieren, gehen Sie zu den "Tenant Einstellungen". 

Sie finden die Einstellungen in der oberen rechten Ecke der STREAMBOXY Backstage.

Klicken Sie in der Navigationsleiste, die sich öffnet, auf "Integrationen" und dann auf "Konfigurieren".

Backstage Übersicht


Konfigurationsfenster

STREAMBOXY SCIM integration




Wie verwendet man es am Beispiel von Azure AD / Entra ID?

Das Azure AD (umbenannt in Microsoft Entra ID) muss konfiguriert werden, um Benutzer mit SCIM zu synchronisieren. Um die automatische Bereitstellung mit SCIM in Microsoft Entra ID zu konfigurieren, gehen Sie zum Azure Portal -> "Microsoft Entra ID".



Step 1: Unternehmensanwendung erstellen


Eine Unternehmensanwendung muss unter "Microsoft Entra ID" erstellt werden, um die SCIM-Synchronisierung eines bestimmten Authentifizierungstyps zu konfigurieren. 

Um eine Unternehmensanwendung zu erstellen, klicken Sie auf der "Microsoft Entra ID"-Seite auf "Unternehmensanwendungen" und dann auf "Neue Anwendung".


Unternehmensanwendung

Neue Anwendung


Klicken Sie auf "Eigene Anwendung erstellen". Geben Sie den Namen der Anwendung ein und wählen Sie "Eine andere Anwendung integrieren, die Sie nicht in der Galerie finden (Nicht-Galerie)". Klicken Sie auf "Erstellen".

Eigene Anwendung erstellen




Step 2: App-Rollen erstellen

Dieser Artikel beschreibt App-Rollen als eine Möglichkeit, Streamboxy-Rollen auf flexible Weise der Entra-ID zuzuordnen.

Sie können das Gleiche auch mit einem festen Wert für Rollen- oder Benutzerprofilattribute erreichen.


Um die Entra ID-Rollen auf Streamboxy-Rollen abzubilden, muss man zunächst "App-Rollen" für die im vorherigen Schritt erstellte Unternehmensanwendung erstellen.

Details zu Streamboxy Roles finden Sie hier. Die folgenden Schritte erstellen App-Rollen für eine Enterprise-Anwendung.

Klicken Sie auf "App-Registrierungen" auf der Seite "Microsoft Entra ID" im Azure-Portal.

App Registrierungen


Wenn auf der Seite "App-Registrierungen" die zuvor erstellte Enterprise App nicht vorhanden ist, klicken Sie auf "Alle Anwendungen".

Wählen Sie die zuvor erstellte Unternehmens-App. Klicken Sie auf "App-Rollen" und dann auf "App-Rolle erstellen".

App rolle erstellen

App Rolle erstellen 2


App Rolle erstellen 3


Erstellen Sie eine App-Rolle, indem Sie die Pflichtfelder ausfüllen. Der Wert der App-Rolle muss das Format 'Sbxy_<Streamboxy Role>' haben.

Die Details zu Streamboxy-Rollen finden Sie hier.

Die zulässigen Streamboxy-Rollenwerte sind unten aufgeführt:

Streamboxy Rolle Wert Beschreibung
Sbxy_Admin Administrator
Sbxy_TenantReadOnly Nur Lesezugriff
Sbxy_TenantEventAdmin Event Administrator
Sbxy_TenantEventAttendeeManager Ereignis Benutzeradministrator
Sbxy_NoAccess Kein Zugriff

App Rolle erstellen 4




Step 3: Benutzer der Unternehmensanwendung zuweisen


In diesem Schritt können Sie Benutzer oder Benutzergruppen definieren, die synchronisiert werden sollen.


Klicken Sie auf "Benutzer und Gruppen" und dann auf "Benutzer/Gruppe hinzufügen".

Gruppe hinzufügen

Gruppe hinzufügen


Wählen Sie die zuzuweisenden Benutzer aus, indem Sie auf "Keine ausgewählt" klicken, und wählen Sie die Benutzer aus, die für die SCIM-Synchronisierung zugewiesen werden sollen.


Klicken Sie auf "Auswählen".

Gruppe auswählen


Wählen Sie die Rolle, die den in Schritt 2 erstellten Benutzern zugewiesen werden soll. 

Klicken Sie auf Zuweisen, um Benutzer und Rollen der Unternehmensanwendung zuzuweisen.

Rolle auswählen 2



Step 4: Konfigurieren Sie die automatische Bereitstellung


Klicken Sie auf der zuvor erstellten Seite "Unternehmensanwendung" auf "Bereitstellung".

Klicken Sie auf der Seite "Bereitstellung" auf "Bereitstellung".

Bereitstellung


Bereitstellung 1

Wählen Sie den Modus "Automatische Bereitstellung".

Geben Sie die in STREAMBOXY Integration erstellten Zugangsdaten ein und klicken Sie auf "Verbindung testen". 

Sobald die Zugangsdaten bestätigt sind, klicken Sie auf "Speichern".

Automatische Bereitstellung


Deaktivieren Sie die Gruppenbereitstellung, wenn sie nicht unterstützt wird.


Gruppenbereitstellung

Aktiviert Switcher auf nein


Um die Zuordnung der Benutzereigenschaften zu konfigurieren, klicken Sie auf "Provision Azure Active Directory Users".

Provision Azure Active Directory Users

Die Streamboxy-spezifischen Attribute müssen vor dem Mapping aktiviert werden. Um die Sbxy-Attribute zu aktivieren, klicken Sie auf "Erweiterte Optionen anzeigen" und dann auf "Attributliste für benutzerdefinierte Anwendungen bearbeiten". Fügen Sie die unten genannten Streamboxy-spezifischen Attribute hinzu und klicken Sie auf Speichern.

Attribute Wert Required?
urn:ietf:params:scim:schemas:extension:customSbxyAttribute:2.0:User:authProvider Ja
Auth-Provider-Typ für den zu erstellenden Benutzer. Die zulässigen Werte sind "Microsoft" und "CustomSSO". Für den Auth-Provider-Typ Microsoft müssen die E-Mail-Domänen auf die Whitelist gesetzt werden. Bitte kontaktieren Sie [email protected], um die E-Mail-Domäne auf die Whitelist zu setzen.
urn:ietf:params:scim:schemas:extension:customSbxyAttribute:2.0:User:role Ja

Die Rolle des Benutzers in Streamboxy.
urn:ietf:params:scim:schemas:extension:customSbxyAttribute:2.0:User:customSSOProviderId Nein
Die CustomSSO-Provider-ID, mit der der Benutzer verbunden ist. Dies ist ein Muss, wenn der authProvider-Typ CustomSSO ist.

 

Auswahl


Löschen Sie die Attribute mit Ausnahme der folgenden im Snapshot. 


Ändern Sie die Attributzuordnung mit dem custommapsso-Attribut "externalId" in das Azure AD-Attribut "objectId".


Aktualisieren Sie die benutzerdefinierte Anwendung "userName" auf den Typ "Expression" mit den folgenden Werten:


Microsot Type: Append("Microsoft", Append("_", [userPrincipalName]))

CustomSSO: Anhängen("CustomSSO", Anhängen("_", [userPrincipalName]))



Klicken Sie auf "Add New Mapping", um das neu erstellte Streamboxy-spezifische Attribut zuzuordnen.





Fügen Sie die folgenden 3 Attribute hinzu.


1. urn:ietf:params:scim:schemas:extension:customSbxyAttribute:2.0:User:authProvider

Attribut bearbeiten


2. urn:ietf:params:scim:schemas:extension:customSbxyAttribute:2.0:User:role

Expression Value = SingleAppRoleAssignment([appRoleAssignments])


Attribut 2


3. urn:ietf:params:scim:schemas:extension:customSbxyAttribute:2.0:User:customSSOProviderId

Constant Value = Custom SSO Provider Id from Streamboxy Settings => Login page.

Attribut 3


Nachdem die Zuordnung aller benötigten Attribute erfolgt ist, sieht die gesamte Benutzerattribut-Zuordnung wie unten dargestellt aus. 

Speichern Sie die Attributzuordnung, indem Sie auf Speichern klicken.

Attributzuordnung 4


Nach der Konfiguration der Attributzuordnung muss die automatische SCIM-Bereitstellung gestartet werden.


Gehen Sie auf die Registerkarte "Übersicht" auf der Seite "Bereitstellung" in der Enterprise App und klicken Sie auf "Bereitstellung starten".


Damit wird die SCIM-Synchronisierung von Benutzern auf Azure AD (Microsoft Entra ID) konfiguriert.


Die Protokolle und Fehler der automatischen Provisionierung können durch Klicken auf "Bereitstellungsprotokoll anzeigen" angezeigt werden.

Attrubutszuordnung


Derzeitige Beschränkungen

  • Derzeit wird die Bereitstellung von Gruppen über SCIM nicht unterstützt (wird in einem zukünftigen Release aufgehoben)
  • Derzeit werden keine benutzerdefinierten Streamboxy-Eigenschaften für SCIM-Synchronisierung unterstützt (wird in einer zukünftigen Version aufgehoben)