Allgemeine Informationen
SCIM – eine Alternative zum Directory Sync
SCIM steht für System for Cross-Domain Identity Management. Dabei handelt es sich um einen Standard, der dazu dient, Benutzerinformationen automatisch bereitzustellen. Im Gegensatz zum bisher verwendeten Directory Sync werden die Informationen beim SCIM nicht mehr aktiv abgefragt, sondern automatisch bereitgestellt, wenn es Änderungen an den zu übertragenden Informationen gibt.
Vorteile des SCIM
- empower® benötigt keine Zugriffsrechte auf das Nutzerverzeichnis
- die Filterung wird im Verzeichnisdienst selbst konfiguriert
- Der Verzeichnisdienst wird nicht regelmäßig belastet, solange keine Änderungen stattfinden
Funktionsweise des SCIM
SCIM funktioniert anders als der Directory Sync nach einem PUSH-Verfahren. Im Gegensatz zum Vorgang beim Directory Sync werden die Daten hierbei nicht aktiv abgefragt. Beim SCIM werden Änderungen an Benutzern oder Benutzergruppen automatisch an empower® weitergeleitet.
Einrichten der SCIM API
Im Azure-Portal muss zunächst eine App-Registrierung vorgenommen werden. Nachfolgend wird das Anlegen dieser App-Registrierung beschrieben. Hinweis: Diese Schritte müssen ausgeführt werden, bevor der empower® Installer verwendet wurde.
- Suchen Sie im Azure-Portal nach “Microsoft Entra ID” und wählen Sie den Dienst aus.
- Wählen Sie links in der Leiste den Tab Enterprise applications (Unternehmensanwendungen) aus.
- Klicken Sie auf den Button New application (Neue Anwendung).
- Klicken Sie auf den Button Create your own application (Eigene Anwendung erstellen).
- Geben Sie einen Namen für die Anwendung ein.
- Klicken Sie auf den Button Create (Erstellen).
Bearbeiten der Attributzuordnungen (Mappings)
Für die Einrichtung von SCIM ist außerdem eine Anpassung der Attributzuordnungen notwendig. Dies ist für den Directory Sync nicht notwendig.
Im Abschnitt Mappings gibt es zwei Attribut-Zuordnungen: eins für Benutzer und eins für Gruppen. Für empower® müssen die Standard-Attributzuordnungen angepasst werden. Gehen Sie dazu wie folgt vor:
- Klicken Sie ebenfalls unter Provisioning (Bereitstellung) im Abschnitt Manage Provisioning (Bereitstellung verwalten) auf Edit Mappings (Zuordnungen bearbeiten).
- Klicken Sie dann im Abschnitt Mappings (Zuordnungen) auf den Link Provision Azure Directory Users.
- Ändern Sie das Mapping für externalId zu objectId. Standardmäßig wird hier meist der E-Mail-Nickname verwendet.
- Klicken Sie auf den Button OK.
- Wenn Sie die Konfiguration abgeschlossen haben, setzen Sie den Provisioning Status (Bereitstellungsstatus) auf On (An).
- Um den Entra-ID-Bereitstellungsdienst zu aktivieren, klicken Sie auf den Button Save (Speichern).
Abspeichern der Werte zur Enterprise Application
Für die Installation des empower® Backends werden im Backend Installer die Werte Application ID und Directory ID benötigt. Daher ist es sinnvoll, diese Werte bereits bei Erstellung der Enterprise Application abzuspeichern. Gehen Sie dazu wie folgt vor:
- Wechseln Sie nach Erstellung der Enterprise Application zur allgemeinen Übersicht des Microsoft-Entra-ID-Verzeichnisses.
-
Wählen Sie dann links in der Leiste den Tab App registrations (App-Registrierungen) aus.
Die neu erstellte Enterprise Application wird nun angezeigt.
- Wählen Sie die soeben erstellte Enterprise Application aus. Sie werden zur anwendungsspezifischen Übersicht weitergeleitet.
- Speichern Sie sich die Application (client) ID (Anwendungs-ID) und die Directory (tenant) ID (Verzeichnis-ID) ab.
Umleitungs-URIs
Umleitungs-URIs sind notwendig, damit Azure nach erfolgreicher Authentifizierung weiß, wohin der oder die Nutzende weitergeleitet werden soll. Damit die URIs bekannt sind, müssen sie vorher definiert werden. Gehen Sie hierzu wie folgt vor:
- Wählen Sie links in der Leiste der anwendungsspezifischen Übersicht den Tab Authentication (Authentifizierung) aus.
- Klicken Sie auf den Button Add a platform (Plattform hinzufügen).
- Wählen Sie unter Web applications (Webanwendungen) die Option Web aus.
-
Geben Sie auf der Seite Redirect URIs (Umleitungs-URIs) die erste der drei folgenden Umleitungs-URIs Ihrer empower® Umgebung an:
https://DNS_Name/empower/identityservice/signin-oidc https://DNS_Name/empower/identityservice/grants https://DNS_Name/empower/identityservice
”<DNS_NAME>” entspricht dem DNS Name Ihrer empower® Umgebung. Die restlichen beiden URIs werden in den folgenden Schritten nachgetragen.
- Klicken Sie auf den Button Configure (Konfigurieren). Unter Web können nun weitere Umleitungs-URIs hinzugefügt werden.
- Um die beiden fehlenden URIs hinzuzufügen, klicken Sie auf Add URIs (URIs hinzufügen).
Implicit Flow aktivieren
Für empower® wird bis einschließlich Version 9.2 Implicit Flow als Anmeldeverfahren verwendet. Daher muss im Azure-Portal für diese Versionen der Implicit Flow aktiviert werden.
- Aktivieren Sie ebenfalls im Tab Authentication (Authentifizierung) den Implicit Flow, indem Sie die Optionen Access tokens (Zugriffs-Tokens) und ID tokens (ID-Tokens) aktivieren.
- Klicken Sie auf den Button Save (Speichern).
Client Secret
Um die Benutzeranmeldung durchführen zu können, benötigt empower® ebenfalls ein gültiges Client Secret (geheimer Clientschlüssel). Richten Sie im folgenden Schritt ein Client Secret ein.
- Wählen Sie links in der Leiste der anwendungsspezifischen Übersicht den Tab Certificates and Secrets (Zertifikate & Geheimnisse) aus.
- Klicken Sie auf den Button New client secret (Neuer geheimer Clientschlüssel).
- Geben Sie eine Beschreibung für das neue Client Secret ein.
- Bestimmen Sie die Gültigkeit des Client Secrets nach den Richtlinien des Kundenunternehmens.
- Klicken Sie auf den Button Add (Hinzufügen).
- Kopieren Sie das Client Secret und speichern Sie es ab. Hinweis: Das Client Secret ist nur einmal sichtbar!
Berechtigungen für SCIM
Passen Sie dann die Berechtigungen für die Anwendung an. Die Anpassung der Berechtigungen erlaubt es empower®, die Benutzer- und Benutzergruppen aus dem Verzeichnis zu lesen. Erfolgt diese Anpassung nicht, ist keine Synchronisierung möglich.
Die folgende Berechtigung ist für die Benutzeranmeldung immer erforderlich:
- User.Read
- Wählen Sie links in der Leiste der anwendungsspezifischen Übersicht den Tab API permissions (API-Berechtigungen) aus.
- Klicken Sie auf den Button Add a permission (Berechtigung hinzufügen).
- Wählen Sie Microsoft Graph aus.
- Wählen Sie nun Delegated permissions (Delegierte Berechtigungen) aus.
- Aktivieren Sie in der folgenden Liste User.Read.
-
Klicken Sie auf den Button Add permissions (Berechtigungen hinzufügen).
Sie gelangen zurück zur Übersichtsseite.
Zusätzliche Einstellungen für SCIM
Für SCIM als Bereitstellungsverfahren müssen zusätzliche Einstellungen getroffen werden. Hinweis: Diese Einstellungen können erst getroffen werden, nachdem der empower® Installer verwendet wurde und SCIM damit eingerichtet wurde. Wenn Sie SCIM als Bereitstellungsverfahren nutzen möchten, gehen Sie wie folgt vor:
- Wechseln Sie zur anwendungsspezifischen Übersicht.
- Wählen Sie links in der Leiste der anwendungsspezifischen Übersicht den Tab Provisioning (Bereitstellung) aus.
- Wählen Sie für Provisioning Mode (Bereitstellungsmodus) aus dem Dropdown-Menü Automatic (Automatisch) aus.
-
Geben Sie im Feld Tenant URL die URL des SCIM-Endpoint, welche beim empower® Installer generiert wurde für die Anwendung in dem Format an:
<https://<dns_name>/empower/scimapi/scim>
- Geben Sie im Feld Secret Token (Geheimes Token) den Token ein, der beim empower® Installer generiert wurde
- Um die Verbindung zu testen, klicken Sie auf Test Connection (Verbindung testen).
Wenn der Versuch fehlschlägt, wird eine Fehlermeldung angezeigt. - Wenn der Versuch erfolgreich ist, klicken Sie auf den Button Save (Speichern).
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.