Was ist SCIM?
Das System für domänenübergreifendes Identitätsmanagement (SCIM) ist eine Spezifikation, die die Verwaltung von Benutzeridentitäten in Cloud-basierten Anwendungen und Diensten vereinfachen soll.
Sie können SCIM nutzen, um Benutzerprofile automatisch von Ihrem Identitätsanbieter (z. B. Microsoft Azure AD / Entra ID) mit STREAMBOXY zu synchronisieren.
Dies spart Ihnen viel Zeit für die manuelle Benutzerverwaltung, wenn Benutzer unserer Organisation beitreten oder sie verlassen.
Voraussetzungen
Die folgenden Voraussetzungen müssen erfüllt sein, um SCIM nutzen zu können:
- Sie benötigen einen SCIM-fähigen Identitätsanbieter (z. B. Entra Id, Okta usw.)
- Sie benötigen einen benutzerdefinierten SSO-Provider, der für Ihren Tenant konfiguriert ist, oder Ihre Azure AD-Domäne muss für SCIM auf der Whitelist stehen. Bitte kontaktieren Sie Ihren Customer Sucess Manager oder STREAMBOXY Sales.
Wie wird die Scim-Synchronisierung aktiviert?
Um SCIM für einen Mandanten zu aktivieren und dessen SCIM-Integrationstoken zu generieren, gehen Sie zu den "Tenant Einstellungen".
Sie finden die Einstellungen in der oberen rechten Ecke der STREAMBOXY Backstage.
Klicken Sie in der Navigationsleiste, die sich öffnet, auf "Integrationen" und dann auf "Konfigurieren".
Wie verwendet man es am Beispiel von Azure AD / Entra ID?
Das Azure AD (umbenannt in Microsoft Entra ID) muss konfiguriert werden, um Benutzer mit SCIM zu synchronisieren. Um die automatische Bereitstellung mit SCIM in Microsoft Entra ID zu konfigurieren, gehen Sie zum Azure Portal -> "Microsoft Entra ID".
Step 1: Unternehmensanwendung erstellen
Eine Unternehmensanwendung muss unter "Microsoft Entra ID" erstellt werden, um die SCIM-Synchronisierung eines bestimmten Authentifizierungstyps zu konfigurieren.
Um eine Unternehmensanwendung zu erstellen, klicken Sie auf der "Microsoft Entra ID"-Seite auf "Unternehmensanwendungen" und dann auf "Neue Anwendung".
Klicken Sie auf "Eigene Anwendung erstellen". Geben Sie den Namen der Anwendung ein und wählen Sie "Eine andere Anwendung integrieren, die Sie nicht in der Galerie finden (Nicht-Galerie)". Klicken Sie auf "Erstellen".
Step 2: App-Rollen erstellen
Dieser Artikel beschreibt App-Rollen als eine Möglichkeit, Streamboxy-Rollen auf flexible Weise der Entra-ID zuzuordnen.
Sie können das Gleiche auch mit einem festen Wert für Rollen- oder Benutzerprofilattribute erreichen.
Um die Entra ID-Rollen auf Streamboxy-Rollen abzubilden, muss man zunächst "App-Rollen" für die im vorherigen Schritt erstellte Unternehmensanwendung erstellen.
Details zu Streamboxy Roles finden Sie hier. Die folgenden Schritte erstellen App-Rollen für eine Enterprise-Anwendung.
Klicken Sie auf "App-Registrierungen" auf der Seite "Microsoft Entra ID" im Azure-Portal.
Wenn auf der Seite "App-Registrierungen" die zuvor erstellte Enterprise App nicht vorhanden ist, klicken Sie auf "Alle Anwendungen".
Wählen Sie die zuvor erstellte Unternehmens-App. Klicken Sie auf "App-Rollen" und dann auf "App-Rolle erstellen".
Erstellen Sie eine App-Rolle, indem Sie die Pflichtfelder ausfüllen. Der Wert der App-Rolle muss das Format 'Sbxy_<Streamboxy Role>' haben.
Die Details zu Streamboxy-Rollen finden Sie hier.
Die zulässigen Streamboxy-Rollenwerte sind unten aufgeführt:
| Streamboxy Rolle Wert | Beschreibung |
|---|---|
| Sbxy_Admin | Administrator |
| Sbxy_TenantReadOnly | Nur Lesezugriff |
| Sbxy_TenantEventAdmin | Event Administrator |
| Sbxy_TenantEventAttendeeManager | Ereignis Benutzeradministrator |
| Sbxy_NoAccess | Kein Zugriff |
Step 3: Benutzer der Unternehmensanwendung zuweisen
In diesem Schritt können Sie Benutzer oder Benutzergruppen definieren, die synchronisiert werden sollen.
Klicken Sie auf "Benutzer und Gruppen" und dann auf "Benutzer/Gruppe hinzufügen".
Wählen Sie die zuzuweisenden Benutzer aus, indem Sie auf "Keine ausgewählt" klicken, und wählen Sie die Benutzer aus, die für die SCIM-Synchronisierung zugewiesen werden sollen.
Klicken Sie auf "Auswählen".
Wählen Sie die Rolle, die den in Schritt 2 erstellten Benutzern zugewiesen werden soll.
Klicken Sie auf Zuweisen, um Benutzer und Rollen der Unternehmensanwendung zuzuweisen.
Step 4: Konfigurieren Sie die automatische Bereitstellung
Klicken Sie auf der zuvor erstellten Seite "Unternehmensanwendung" auf "Bereitstellung".
Klicken Sie auf der Seite "Bereitstellung" auf "Bereitstellung".
Wählen Sie den Modus "Automatische Bereitstellung".
Geben Sie die in STREAMBOXY Integration erstellten Zugangsdaten ein und klicken Sie auf "Verbindung testen".
Sobald die Zugangsdaten bestätigt sind, klicken Sie auf "Speichern".
Deaktivieren Sie die Gruppenbereitstellung, wenn sie nicht unterstützt wird.
Um die Zuordnung der Benutzereigenschaften zu konfigurieren, klicken Sie auf "Provision Azure Active Directory Users".
Die Streamboxy-spezifischen Attribute müssen vor dem Mapping aktiviert werden. Um die Sbxy-Attribute zu aktivieren, klicken Sie auf "Erweiterte Optionen anzeigen" und dann auf "Attributliste für benutzerdefinierte Anwendungen bearbeiten". Fügen Sie die unten genannten Streamboxy-spezifischen Attribute hinzu und klicken Sie auf Speichern.
| Attribute Wert | Required? |
|---|---|
| urn:ietf:params:scim:schemas:extension:customSbxyAttribute:2.0:User:authProvider | Ja |
| Auth-Provider-Typ für den zu erstellenden Benutzer. Die zulässigen Werte sind "Microsoft" und "CustomSSO". Für den Auth-Provider-Typ Microsoft müssen die E-Mail-Domänen auf die Whitelist gesetzt werden. Bitte kontaktieren Sie info@streamboxy.de, um die E-Mail-Domäne auf die Whitelist zu setzen. | |
| urn:ietf:params:scim:schemas:extension:customSbxyAttribute:2.0:User:role | Ja |
|
Die Rolle des Benutzers in Streamboxy. | |
| urn:ietf:params:scim:schemas:extension:customSbxyAttribute:2.0:User:customSSOProviderId | Nein |
| Die CustomSSO-Provider-ID, mit der der Benutzer verbunden ist. Dies ist ein Muss, wenn der authProvider-Typ CustomSSO ist. | |
Löschen Sie die Attribute mit Ausnahme der folgenden im Snapshot.
Ändern Sie die Attributzuordnung mit dem custommapsso-Attribut "externalId" in das Azure AD-Attribut "objectId".
Aktualisieren Sie die benutzerdefinierte Anwendung "userName" auf den Typ "Expression" mit den folgenden Werten:
Microsot Type: Append("Microsoft", Append("_", [userPrincipalName]))
CustomSSO: Anhängen("CustomSSO", Anhängen("_", [userPrincipalName]))
Klicken Sie auf "Add New Mapping", um das neu erstellte Streamboxy-spezifische Attribut zuzuordnen.
Fügen Sie die folgenden 3 Attribute hinzu.
1. urn:ietf:params:scim:schemas:extension:customSbxyAttribute:2.0:User:authProvider
2. urn:ietf:params:scim:schemas:extension:customSbxyAttribute:2.0:User:role
Expression Value = SingleAppRoleAssignment([appRoleAssignments])
3. urn:ietf:params:scim:schemas:extension:customSbxyAttribute:2.0:User:customSSOProviderId
Constant Value = Custom SSO Provider Id from Streamboxy Settings => Login page.
Nachdem die Zuordnung aller benötigten Attribute erfolgt ist, sieht die gesamte Benutzerattribut-Zuordnung wie unten dargestellt aus.
Speichern Sie die Attributzuordnung, indem Sie auf Speichern klicken.
Nach der Konfiguration der Attributzuordnung muss die automatische SCIM-Bereitstellung gestartet werden.
Gehen Sie auf die Registerkarte "Übersicht" auf der Seite "Bereitstellung" in der Enterprise App und klicken Sie auf "Bereitstellung starten".
Damit wird die SCIM-Synchronisierung von Benutzern auf Azure AD (Microsoft Entra ID) konfiguriert.
Die Protokolle und Fehler der automatischen Provisionierung können durch Klicken auf "Bereitstellungsprotokoll anzeigen" angezeigt werden.
Derzeitige Beschränkungen
- Derzeit wird die Bereitstellung von Gruppen über SCIM nicht unterstützt (wird in einem zukünftigen Release aufgehoben)
- Derzeit werden keine benutzerdefinierten Streamboxy-Eigenschaften für SCIM-Synchronisierung unterstützt (wird in einer zukünftigen Version aufgehoben)