1. Haiilo Support Center
  2. Employee Advocacy
  3. SSO, Provisioning & Sicherheit

Advocacy: Benutzer mit SCIM Provisioning verwalten

Diese Funktion ist verfügbar für:

Du weißt nicht, welches Modul du verwendest? Lies mehr hier.

  • Module: Employee Advocacy

Haiilo Advocacy unterstützt die Benutzerbereitstellung mit dem Standard SCIM (System for Cross-Domain Identity Management). Dieser Leitfaden hilft Administratoren dabei, eine SCIM-Verbindung zwischen dem IdP ihres Unternehmens und Haiilo herzustellen.

Mit SCIM kannst du:

  • Benutzer in Haiilo anlegen
  • Benutzer in Haiilo entfernen, wenn sie keinen Zugriff mehr benötigen. Benutzer können nicht deaktiviert werden; sie werden immer aus Haiilo entfernt.
  • Behalte die Benutzerattribute zwischen deinem IdP und Haiilo synchronisiert.

Obwohl SCIM auch ohne SSO funktionieren kann, ist es von Vorteil, SAML-basiertes SSO zu aktivieren für deine Plattform, indem du dieselben Anmeldedaten für SAML und SCIM verwendest. Dies bietet zusätzlichen Komfort und Sicherheitsvorteile für Benutzer und Administratoren.

Schritt-für-Schritt-Anleitungen zur Einrichtung der IdPs Entra ID und Okta findest du hier.

SCIM einrichten

Wenn du noch keine Haiilo-Anwendung in deinem IdP erstellt hast, dann erstelle jetzt eine. Die folgenden Anweisungen sind allgemein gehalten und gelten möglicherweise nicht für alle IdPs.

  • Um SCIM einzurichten, musst du einen Zugriffs-Token generieren in deinem Haiilo-Profil. Nachdem du deinen Zugriffs-Token generiert hast, gehst du zu deinem IdP, um mit der Einrichtung von SCIM zu beginnen.
  • In deiner Haiilo-Anwendung in deinem IdP navigierst du zum Registerkarte Bereitstellung.
  • Fülle mindestens die folgenden Felder aus (weitere Felder je nach IdP):
    • URL: https://subdomain.smarpshare.com/api/scim/v2
    • Für die Autorisierung: Verwende den Zugriffs-Token, den du in Haiilo erstellt hast;
  • In Mappings für Benutzer unterstützt Haiilo diese Attribute:

Attribute

 Hinweise
 userName  sollte in Form einer E-Mail sein. Sie ist eindeutig pro Benutzer.
 name.givenName  wird auf Haiilo als Vorname des Benutzers angezeigt
 name.familyName  wird auf Haiilo als Nachname des Benutzers angezeigt
 active  erforderlich für das Provisioning (Hinzufügen/Entfernen)
 country  um die Gruppe des Benutzers in Haiilo zu bestimmen. Der Wert muss mit der vorhandenen Gruppe  auf Haiilo übereinstimmen; Groß-/Kleinschreibung beachten.
 locality  um das Team des Nutzers in Haiilo zu bestimmen. Der Wert muss nicht mit einer bestehenden Gruppe auf Haiilo übereinstimmen, ein neuer Wert erstellt ein neues Team; Groß- und Kleinschreibung wird nicht berücksichtigt.
 region  um das Team des Benutzers in Haiilo zu bestimmen. Der Wert muss nicht mit einer bestehenden Gruppe auf Haiilo übereinstimmen, ein neuer Wert erstellt ein neues Team; Groß- und Kleinschreibung wird nicht berücksichtigt.
 organization  um das Team des Benutzers in Haiilo zu bestimmen. Der Wert muss nicht mit einer bestehenden Gruppe auf Haiilo übereinstimmen, ein neuer Wert erstellt ein neues Team; Groß- und Kleinschreibung wird nicht berücksichtigt.
 division  um das Team des Benutzers in Haiilo zu bestimmen. Der Wert muss nicht mit einer bestehenden Gruppe auf Haiilo übereinstimmen, ein neuer Wert erstellt ein neues Team; Groß- und Kleinschreibung wird nicht berücksichtigt.
 department  um das Team des Benutzers in Haiilo zu bestimmen. Der Wert muss nicht mit einer bestehenden Gruppe auf Haiilo übereinstimmen, der neue Wert erstellt ein neues Team; Groß- und Kleinschreibung wird nicht berücksichtigt.
    • Lies die ausführlichen Hinweise zum Profiling für Gruppen und Teams unten.

Achte darauf, dass du nur die Attribute, die du synchronisieren willst, in den Mappings inkludiert hast. Andernfalls kann es zu unerwünschten Nebeneffekten in deiner Plattform kommen. Benutzer könnten zu Teams hinzugefügt werden, die du nicht willst oder brauchst.

  • Nutzer Haiilo zuweisen, wenn du dies noch nicht konfiguriert hast.
  • Speichere die App. Der erste Zyklus wird kurz danach ausgeführt.

Wenn ein Zyklus gelaufen ist, wird der Prozess in den Provisioning Logs der IdP-Anwendung protokolliert. Wenn du während der Einrichtung auf Probleme stößt, findest du in unseren FAQs mögliche Lösungen.

Allgemeine Informationen zur Zuordnung von Benutzern

Wenn du das Provisioning zum ersten Mal einrichtest, wird SCIM jeden Benutzer auf Haiilo mit einem Benutzer in deinem IdP abgleichen. Nachdem ein Benutzer abgeglichen wurde, werden alle Änderungen in deinem IdP in Haiilo übernommen. Wenn ein Benutzer jedoch nicht abgeglichen wurde, d.h. er hat ein Haiilo-Konto aus der Zeit vor der SCIM-Einrichtung, ist aber nicht in der IdP-Gruppe, werden in Haiilo keine Änderungen vorgenommen. Der Benutzer bleibt so lange in Haiilo, bis er manuell gelöscht oder zur IdP-Gruppe hinzugefügt wird, damit er synchronisiert werden kann.

Wir haben folgendes Beispielszenario: Haiilo hat 200 Benutzer und die Entra ID-Gruppe, die der Haiilo-Anwendung zugewiesen ist, hat 100 Benutzer. Wenn die SCIM-Integration abgeschlossen ist, werden 90 Benutzer auf Entra ID mit Haiilo abgeglichen und SCIM bringt die 10 fehlenden Benutzer von Entra ID mit SCIM nach Haiilo. Haiilo hat jetzt 210 Benutzer. Beachte, dass es 100 Benutzer auf Haiilo gibt, von denen SCIM keine Kenntnis hat. Um diese 100 Benutzer musst du dich manuell kümmern, indem du sie entweder löschst, wenn sie Haiilo nicht mehr benutzen dürfen, oder sie der Entra ID-Gruppe hinzufügst, damit SCIM sie bei der nächsten Synchronisierung übernehmen kann.

Benutzer einer Gruppe zuordnen

Disclaimer: Jede "Gruppe", die in diesem Abschnitt erwähnt wird, bezieht sich auf eine Haiilo-Gruppe, nicht auf eine IdP-Gruppe im SCIM-Schema.

  • Erfordert, dass die Gruppenfunktion für die Plattform aktiviert ist. Ist dies nicht der Fall, wird der Wert einfach ignoriert.
  • Die Gruppe wird durch das Attribut 'country' im SCIM-Schema definiert. Bitte überprüfe die SCIM-Schema-Mappings in deinem IdP, wenn du ein Gruppenprofil erstellen möchtest.
  • Der Wert stellt den Namen einer Gruppe dar, der groß- und kleingeschrieben ist. Die Gruppe muss existieren, bevor ein Benutzer ihr zugewiesen werden kann. Wenn sie zum Zeitpunkt der Synchronisierung nicht existiert, tritt ein Fehler auf. Um dies zu beheben, erstelle einfach eine Gruppe in Haiilo mit dem entsprechenden Namen und lass SCIM erneut synchronisieren.
  • Wenn du einen Benutzer in eine andere Gruppe verschiebst, werden alle seine aktuellen Teams aus dem Profil entfernt. Nach einer erfolgreichen Verschiebung ordnet die Teamprofilierung die Benutzer den Teams zu entsprechend der Anfrage zu.

Benutzer zu Team(s) zuordnen

  • Haiilo unterstützt das Mapping von bis zu 5 Teams pro Benutzer mit SCIM. Zusätzliche Teams können in Haiilo unter der Registerkarte Benutzer manuell hinzugefügt werden. Der Teamwert wird durch diese Attribute definiert:
    • Locality (addresses[Typ eq "work"])
    • Region (addresses[Typ eq "work"])
    • organization
    • division
    • department
  • Anders als bei Gruppen ist bei Teamnamen die Groß- und Kleinschreibung nicht relevant. Ein Team muss nicht vor der Synchronisierung existieren.
    • Bei der Synchronisierung wird nach dem Team gesucht (Team "AbC" würde mit Team "abc" übereinstimmen) und wenn es gefunden wird, wird der Nutzer dem passenden Team zugewiesen.
    • Wenn ein Team nicht gefunden wird, wird ein neues Team erstellt, wobei die Schreibweise so bleibt, wie sie übergeben wurde (Team 'AbC' wird als 'AbC' erstellt) und der Nutzer wird dem neu erstellten Team zugewiesen.
  • Alle Teams müssen sich in der Gruppe befinden, der der Benutzer zugewiesen ist, oder sie werden in dieser Gruppe erstellt.

IdP-spezifische Anweisungen

Die Anleitung ist nur auf Englisch verfügbar.

SCIM-Verbindung zu Haiilo auf Microsoft Entra ID enrichten

Scim-Verbindung zu Haiilo auf Okta einrichten

War dieser Beitrag hilfreich?