Konfigurera SCIM-integration

Den här guiden guidar dig genom konfigurationen av SCIM-integrationen (System for Cross-domain Identity Management) mellan din identitetsleverantör och Cosafe.

Important Anteckningar

Den här artikeln behandlar SCIM-integrering med Entra-ID:t (Azure AD) som identitetsleverantör. För att konfigurera Cosafe SCIM med andra identitetsleverantörer, vänligen kontakta supporten.

Stödda identitetsleverantörer

Förutsättningar

Innan du påbörjar SCIM-installationen, se till att du har:

• Administrativ åtkomst till din identitetsleverantör
• Administrativ åtkomst till ditt Cosafe-konto
• API-inloggningsuppgifter tillhandahållna av Cosafe-supporten

SCIM-bas-URL-format

SCIM-kommunikation sker via förfrågningar till SCIM-tjänsteleverantörens SCIM-slutpunkter. Enligt standardprotokollet har de alla en bas-URL-del, som identitetsleverantörer använder för att konfigurera SCIM-integrationen, och senare använder denna bas för att skapa slutpunkter (som ../scim/v2/Users/).

För Azure AD/Entra-ID:

https://api.[region].prod.cosafe.com/core/v1/scim/v2?aadOptscim062020

Viktigt: Parametern ?aadOptscim062020 krävs specifikt för Azure AD/Entra ID-integration. Detta säkerställer att Entra scim-klienten skickar förfrågningar enligt SCIM 2.0-specifikationen.

För andra leverantörer:

https://api.[region].prod.cosafe.com/core/v1/scim/v2

Steg 1: Kontakta Cosafe-supporten

1. Begär SCIM-aktivering: Skicka e-post till support@cosafe.com för att begära aktivering av SCIM-integration
2. Få API-inloggningsuppgifter: Cosafe-supporten förser dig med:
   • API-nyckel: Autentiseringstoken för SCIM-förfrågningar
   • SCIM-bas-URL: Baserat på din region

Steg 2: Konfigurera grupper i Cosafe

Innan du aktiverar SCIM-synkronisering, konfigurera grupper i Cosafe:

1. Åtkomst till din Cosafe-administratörspanel
2. Navigera till Grupphantering
3. Skapa grupper där SCIM-användare ska tilldelas. Placera dessa grupper i lämpliga underkonton. Om en grupp redan finns kan du använda en befintlig grupp för associationen.
4. Endast Entra — Konfigurera externt ID: För varje grupp i Cosafe-administratörspanelen, ställ in fältet Grupp-ID så att det matchar grupp-ID:t från din identitetsleverantör (objectId i Entra).

Steg 3: Konfiguration av identitetsleverantör

Konfigurera din identitetsleverantör för att använda Cosafe SCIM-bas-URL:en. De exakta stegen varierar beroende på leverantör:

För Entra-ID:

1. Navigera till Företagsapplikationer i Entra ID
2. Skapa en ny eller välj din befintliga Cosafe-applikation. För nya applikationer:
   • 2.1. "Ny ansökan" -> "Skapa din egen ansökan" (överst till vänster)
   • 2.2. "Namn på din app" — valfritt namn, till exempel Cosafe SCIM. Det är att föredra att du kan urskilja det senare.
   • 2.3. Välj "Inte galleri"
3. Navigera till "Provisionering" (vänster sida), "Skapa ny konfiguration" (överst)
4. Ange SCIM-bas-URL:en och API-nyckeln från steg 1. Se till att bas-URL:en är i det format som beskrivs i Bas-URL-format.

   Obs: Du behöver inte lägga till "Bearer"-delen i API-nyckeln; klistra in den direkt i indatafältet enligt anvisningarna.

5. Tryck på "Testa anslutning".
6. Se till att provisioneringsområdet är "Synkronisera endast tilldelade användare och grupper". (Bör vara inställt som standard).

Steg 4: Konfiguration av attributmappning

Entra

Gruppattributmappning:

Cosafe SCIM-attribut	Identitetsleverantörsattribut	Nödvändig	Matchande prioritet	Beskrivning
externtID	objekt-ID	Ja	1	ID:t som användes för att skapa grupper i Cosafe
visningsnamn	visningsnamn	Ja		Gruppnamnet
medlemmar	medlemmar	Ja		Medlemskap i användargrupper

Important Anteckningar

externalId måste vara ett matchande attribut. Som standard är matchningsattributet inställt på displayName med matchningsprioritet 1.

För att Entra ska tillåta dig att ersätta displayName som ett matchande attribut med externalId:

• Ändra prioriteten för displayName till 2
• Redigera attributet externalId via knappen "redigera" (se skärmdump), ange "Matcha objekt med detta attribut": "Ja", "Matchningsprioritet": 1
• Gå tillbaka till displayName och ange "Match objects using this attribute": "No" för att ta bort matchningsprioriteten från detta attribut. Spara

Mappning av användarattribut:

Cosafe SCIM-attribut	Identitetsleverantörsattribut	Nödvändig	Matchande prioritet	Beskrivning
användarnamn	användarhuvudnamn	Ja	1	Unikt användarnamn. Måste vara e-postadress
aktiv	Switch([IsSoftDeleted], , "False", "True", "True", "False")	Ja		Anger om användaren är aktiverad
visningsnamn	displayName eller name	Ja		Användarens fullständiga namn
titel	jobbtitel	Inga		Användarens jobbtitel
telefonnummer[typ ekvation "arbete"].värde	telefonnummer	Inga		Primärt telefonnummer

Important Anteckningar

• Användarnamnet måste vara en e-postadress
• Användarnamnet (e-postadressen) måste vara unikt på hela Cosafe-plattformen
• Användarnamnet (e-postadressen) ska matcha den e-postadress du vill att dina synkroniserade användare ska ha i cosafe. Om det inte matchar userPrincipalName du har i entra kan du mappa det till Entra-egenskapen email
• Du måste ta bort raden emails[type eq "work"].value
• Telefonnummer måste vara i internationellt format (t.ex. +46701234567)
• Entra: Telefonnumret måste vara exakt ett
• aktivt värde som Switch([IsSoftDeleted], , "False", "True", "True", "False") — är standardmappningen
• Om active sätts till false kommer användardeprovisionering att utlösas. Mer information om användaravregistrering: Användaravregistrering

Ytterligare information för att konfigurera attributmappning i Entra: Entra Anpassa applikationsattribut

Steg 5: Tilldela grupper till integrationen

Entra

Navigera till "Provisionering" -> "Användare och grupper"

1. Tryck på "Lägg till användare/grupp"
2. Välj de grupper du vill tilldela. Obs: kan välja flera samtidigt
3. Tryck på "Tilldela"

Om användaren är medlem i gruppen i AD, som är tilldelad scim-integrationen, kommer den användaren också att anses vara tilldelad scim-integrationen.

Steg 6: Starta provisionering

Nu kan du börja provisionera!

Stödda SCIM-operationer

Cosafe implementerar en delmängd av SCIM 2.0-standarden och stöder följande operationer:

Användaråtgärder

• ✅ Lista användare (GET /Användare)
• ✅ Hitta användare (GET /Användare?filter=användarnamn eq "användare@example.com")
• ✅ Läs användare (GET /Användare/{id})
• ✅ Skapa användare (POST /Användare)
• ✅ Uppdatera användare (PUT /Användare/{id})
• ✅ Patchanvändare (PATCH /Användare/{id})
• ✅ Ta bort användare (DELETE /Användare/{id}, mer information om användaravregistrering: Användaravregistrering)

Koncernens verksamhet

• ✅ Lista grupper (GET /Grupper)
• ✅ Hitta grupp (GET /Groups?filter=externalId eq "xxxxxxxx-xxxx-Mxxx-Nxxx-xxxxxxxxxxxx")
• ✅ Läs grupp (GET /Grupper/{id})
• ❌ Skapa (grupper skapas inom Cosafe)
• ✅ Uppdatera grupp (PUT /Grupper/{id})
• ✅ Patchgrupp (PATCH /Grupper/{id})
• ✅ Radera grupp (RADERA /Grupper/{id})

Attribut som stöds

Användare:

• användarnamn (obligatoriskt, kan uppdateras)
• displayName (obligatoriskt, kan uppdateras)
• telefonnummer (valfritt, kan inte uppdateras)
• titel (valfritt, kan uppdateras)
• id (tilldelad av Cosafe, kan inte uppdateras)
• externalId (valfritt, kan uppdateras)
• e-postadresser (tilldelad av Cosafe, kommer alltid att vara lika med användarnamn)
• aktiv (obligatorisk)

Grupper:

• id (tilldelad av Cosafe, kan inte uppdateras)
• externalId (obligatoriskt, kan uppdateras)
• displayName (obligatoriskt, kan uppdateras)
• medlemmar (obligatoriskt, kan uppdateras)

Flöde för användaravregistrering

Användaren avregistreras när Cosafe SCIM kommer att ta emot:

• TA BORT /Användare/{id}
• PUT /Användare/{id} med aktiv: falsk
• PATCH /Användare/{id} med aktiv: falsk

Alla dessa tre varianter kommer att utlösa användaravregistrering och användaren kommer att raderas. Användarsessionerna blir ogiltiga och de kommer inte längre att ha åtkomst till Cosafes mobil- eller webbapplikation. Senare kan användaren återskapas automatiskt.

När utlöses avregistreringen?

• När användaren tas bort från din katalog skickar identitetsleverantören en SCIM-begäran via PATCH eller PUT för att ställa in användaren som aktiv: falsk.
• När användaren tas bort permanent från din katalog skickar identitetsleverantören en SCIM-begäran via DELETE. Men för att kunna permanent radera en användare måste identitetsleverantörer vanligtvis först göra en mjuk radering; vilket utlöser det första fallet.
• När användaren inte längre har direkt scim-integrationstilldelning eller indirekt scim-integrationstilldelning (via gruppmedlemskap i en scim-tilldelad grupp, se Tilldela grupper). Så om du tar bort en användare i din katalog från någon tilldelad grupp kommer användaren att raderas. Om din leverantör är Entra kan du flytta en användare mellan grupper inom perioden för synkroniseringsförfrågningar, och Entra kommer inte att försöka avprovisionera den användaren.

Felsökning

Vanliga problem

Användare synkroniserar inte:

• Verifiera att API-nyckeln är korrekt och aktiv
• Verifiera SCIM-bas-URL-format: Bas-URL-format
• Verifiera att nödvändiga användare är medlemmar i tilldelade grupper i din identitetsleverantör
• Bekräfta konfigurationen för användarmappning
• Granska provisioneringsloggar i din identitetsleverantör

Gruppuppgifter fungerar inte:

• Verifiera att grupp-ID:n finns i Cosafe
• Verifiera att grupper är tilldelade integrationen i dina integrationsinställningar för identitetsleverantören
• Bekräfta konfigurationen för gruppmappning
• Granska provisioneringsloggar i din identitetsleverantör

Synkroniseringsfördröjningar:

• Initiala SCIM-installationsåtgärder behandlas vanligtvis inom 3–5 minuter
• Synkroniseringshastigheten för SCIM-åtgärder beror på din identitetsleverantör. Se Hur snabbt ändringar synkroniseras
• Stora användarbatcher kan ta längre tid

Få stöd

Om du stöter på problem med SCIM-integrationen:

1. Samla in loggar och tidsstämplar för felprovisionering
2. Notera vilka operationer som misslyckas
3. Kontakta support@cosafe.com med detaljerad information

---

För ytterligare frågor om SCIM-integration, vänligen kontakta vårt supportteam på support@cosafe.com.