Admin - SCIM
Die Funktion ermöglicht es Personendaten über SCIM mit FE2 zu synchronisieren.
Inhalt
Hinweise
Zur Synchronisation der Daten wird das offene Protokoll SCIM verwendet. Dieses steht in vielen Anwendungen zur Verfügung.
1. Verbindung zu FE2 einrichten
SCIM funktioniert über den in FE2 integrierten Webserver. Sie müssen in Ihrer SCIM-Konfiguration den Webserver von FE2 angeben. Die URL für den SCIM-Endpunkt setzt sich folgendermaßen zusammen:
http[s]://URL-FE2/rest/scim
Bei Microsoft Entra würde die Konfiguration beispielsweise folgendermaßen aussehen:
Tenant URL | Die URL zu FE2 (siehe oben) |
Secret Token | Der SCIM-API-Schlüssel von FE2 (siehe unten) |
Den API-Schlüssel für die SCIM-Synchronisation finden Sie als Admin im Bereich SCIM/SSO:
Bitte beachten Sie die Hinweise unter Punkt 1.1 API-Schlüssel.
1.1 API-Schlüssel
Der API-Schlüssel muss in SCIM hinterlegt werden, sodass das System berechtigt ist in FE2 Daten anzulegen bzw. abzurufen. Ein Schlüssel ist für 180 Tage gültig, bevor dieser erneuert werden muss. Die Erneuerung findet automatisch statt. Sie können 4 Wochen vor Ablauf des API-Schlüssels ausgewählten Personen über den neuen Schlüssel benachrichtigen. Mehr Informationen zu Benachrichtigungen finden Sie auf der Seite Benachrichtigungen für Personen. Innerhalb dieser 4 Wochen muss der Schlüssel in SCIM ausgetauscht werden. Nach Ablauf des Datums können keine Daten mehr über den alten Schlüssel synchronisiert werden.
2. Personen über SCIM in FE2 erstellen
Die Personen, welche Sie synchronisieren möchten, müssen in SCIM als Benutzer erstellt sein.
Damit Personen der korrekten Organisation zugewiesen wird, erstellen Sie anschließen eine Gruppe. Diese Gruppe muss zwingend wie folgt angelegt werden, damit eine Person auch in FE2 in ihrer Organisation erscheint.
Das Erstellen der Gruppe ist zwingend notwendig, andernfalls können die SCIM Benutzer in FE2 nicht als Personen genutzt werden.
Öffnen Sie zunächst in der Administration die Organisation. Oben rechts im Fenster finden Sie eine eindeutige ID, welche für die Synchronisation zu verwenden ist.
Diese externe ID der Organisation ist als Name der Gruppe zu verwenden, in Beispiel vom Bild ist dies AZ1NC9
.
Eine Person kann über SCIM aktuell nicht automatisch mehreren Organisationen zugewiesen werden. Sollte eine Person mehreren Organisationen angehören, geben Sie die Person den anderen Organisationen manuell über FE2 frei.
3. Rollen, Alarmgruppen, OS Funktionen und Gruppen über SCIM
Sie können über SCIM weitere FE2 Funktionen für die Personenverwaltung abbilden.
Hierfür wird für die Namen der Gruppen in SCIM eine spezifische Syntax für FE2 vorausgesetzt. Dieser Gruppenname setzt sich aus der Externen-ID der Organisation, die Zielfunktionalität von FE2 und einen Namen der Funktionalität innerhalb von FE2 zusammen. In der folgenden Tabelle werden die Schreibweisen der Gruppennamen und welcher FE2 Funktion sie entsprechen, beschrieben.
FE2 Funktionalität | Gruppenname |
---|---|
Rollen |
(Rollen mit angegebenen Namen muss in FE2 bereits existieren) |
Alarmgruppen |
|
OS Funktionen |
|
OS Gruppen |
|
xxxxxx
ist mit der Externen-ID der FE2 Organisation zu ersetzen. Der Gruppenname
kann nach Belieben gewählt werden und definiert, wie die Funktionalität in FE2 heißen soll.
Das Mapping auf FE2 findet immer über den Namen statt. Stimmen die Namen der FE2 Funktionalität für Alarmgruppen etc. überein, werden diese für die SCIM Verwaltung verwendet. Die bestehenden Personenzuweisungen von FE2 werden dabei entfernt. Sollte dies nicht gewünscht sein, wählen Sie einen anderen Namen für die SCIM Gruppen.
Am Beispiel einer Online-Service-Funktion kann der Gruppenname wie folgt aussehen: AZ1NC9_Funktion_Maschinist
Den Mitgliedern dieser Gruppe wird die Funktion dann den zuvor synchronisierten Personen der Organisation zugewiesen.
3.1 Rollen
Sie können bestehende Rollen von FE2 über SCIM Personen zuweisen. Rollen können nicht über SCIM erstellt werden. Die Rollen werden über ihren Namen gemappt, achten Sie also auf die Schreibweise in FE2.
Wird eine passende Rolle innerhalb von FE2 gefunden, werden den gewählten Benutzern den entsprechenden Personen (FE2) die Rolle zugewiesen. Sollten der Person noch keine Login-Daten zur Verfügung stehen, werden diese automatisch von FE2 generiert. Diese neuen Zugangsdaten werden anschließend an die Personen übermittelt.
3.2 OS Funktionen und Gruppen
Voraussetzung für Funktionen und Gruppen ist, dass für die Zielorganisationen Verfügbarkeiten aktiv sind. Andernfalls kann keine Verwaltung über SCIM für diese in der Organisation durchgeführt werden.
4. SSO E-Mailquelle anpassen
Standardmäßig bezieht FE2 die SSO E-Mail aus dem SCIM Feld “Username”. Ist dieses Feld für ihre SSO Anwendung falsch, kann er in der Administration angepasst werden.
Es können nur die Werte für die Kategorien der E-Mail gefunden werden. Wird der Wert nicht gefunden, wird kein Wert übernommen in FE2. Die Kategorie muss mit dem übertragenen Wert in type
an FE2 übereinstimmen. Verwenden Sie ggf. das HTTP Protokoll in FE2 und starten die Synchronisation über SCIM, um den Wert einzusehen.
"emails":[
{
"value":"dschrute@example.com",
"type":"work",
"primary": true
}
]
// Scim User Datenformat