Wie kann ich automatische Benutzer-Provisionierung (SCIM) einrichten?

Über die SCIM-Schnittstelle können Benutzer automatisch in teamecho angelegt, aktualisiert und gelöscht werden.

Mithilfe der SCIM-Benutzerprovisionierung können Benutzerdaten automatisch aus deinem Identity Provider synchronisiert werden. Dadurch können administrative Aufgaben wie das manuelle Anlegen von Benutzer*innen bei Neueintritten, Löschen bei Austritten, aber auch das deaktivieren/aktivieren von Benutzern im Fall von längeren Abwesenheiten (Karenzen, Sabbaticals,...)  automatisiert werden.

Die SCIM-Synchronisierung ist derzeit für Microsoft Entra ID verfügbar, weitere Systeme werden bei Bedarf auf Kompatibilität getestet. Die Verwendung ist nur in Kombination mit SSO möglich.

Konfiguration

Die SCIM-Daten können in der teamecho-Konfiguration verwaltet werden.

Bist du Administrator*in und siehst das Feld SCIM Benutzerprovisionierung nicht? Melde dich bei uns, unser Customer-Happiness-Team aktiviert diese Möglichkeit sehr gerne für euch!

Entra ID

Zur Einrichtung der Synchronisierung wird eine Enterprise Application benötigt. Falls für SSO bereits eine eigene Enterprise Application angelegt wurde, kann diese verwendet werden, ansonsten kann eine neue Application angelegt werden, z.B. via Azure Portal: create-enterprise-app

In den Provisioning-Einstellungen der Enterprise Application kann die Verbindung zu teamecho konfiguriert werden. Dazu werden die Daten aus der teamecho-Konfiguration verwendet.

image-png-May-27-2024-02-22-58-1218-PM-1Nach erfolgreichem Testen der Verbindung werden die Einstellungen gespeichert und die Mappings konfiguriert. Unter "Advanced options" werden die Supported Attributes konfiguriert, anschließend lassen sich die Attribute Mappings so einstellen, wie es für deine Entra ID Verwendung notwendig ist.

Die Attributliste muss mit dem Screenshot übereinstimmen, zusätzliche Attribute müssen gelöscht werden, damit die Synchronisation funktioniert.

image-png-May-27-2024-02-31-39-7739-PM-1

Zusätzliche Details sind in der Microsoft Entra Dokumentation zu finden.

Anschließend sind der Enterprise Application noch die gewünschten Benutzer bzw. Benutzergruppen zuzuweisen, danach kann das Provisioning gestartet werden.startprovisioning-png-1

Es kann einige Zeit dauern, bis Entra ID die Synchronisation durchführt. Leider haben wir  von teamecho darauf keinen Einfluss 😪.

Auf der Suche nach Details? Sowohl via Azure Portal, als auch via teamecho-Konfiguration können Logs angezeigt werden, um besser nachvollziehen zu können, was beim automatischen Synchronisieren passiert.

Einschränkungen

  • Es können nur Benutzer synchronisiert werden, Gruppen werden derzeit nicht unterstützt. Das heißt, die Zuordnung zu Teams und Abteilungen muss weiterhin manuell erfolgen.
    • Deaktivierte User werden automatisch aus ihren Teams/Abteilungen entfernt und verbrauchen keine teamecho Lizenz.
  • Die SCIM Synchronisation wird derzeit nur für Microsoft Entra ID getestet. Weitere Systeme können bei Bedarf hinzugefügt werden.  Melde dich bei uns!
  • Bei der Migration von bestehenden Benutzern werden manuell gesetzte Einstellungen eventuell überschrieben. Benutzer, die nicht in Entra ID zugewiesen wurden, können nicht automatisch aktualisiert werden.
  • SSO wird für die Aktivierung der Benutzer-Provisionierung vorausgesetzt.
    • Unsere vorkonfigurierte Entra ID Enterprise Application für SSO kann noch nicht für Benutzerprovisionierung verwendet werden, da derzeit seitens Microsoft keine Provisioning-Integrationen bearbeitet werden. Stattdessen muss eine separate Enterprise Application wie oben beschrieben angelegt werden.
    • Wird bereits eine eigene (single-tenant) Enterprise Application für SSO verwendet, kann diese auch für die Konfiguration von Provisioning verwendet werden.
    • Als SSO-Provider muss nicht unbedingt Entra ID verwendet werden, allerdings sollten die Daten mit Entra ID konsistent sein.