Automatisierte Benutzerverwaltung mit SCIM 2.0

  • Aktualisiert
  • Aktualisiert
Avatar
Written by Charissa F.
  • Aktualisiert
Erfordert eine der folgenden Lizenzen:

Anmerkung

Als Voraussetzung erfordert dieses Feature eine abgeschlossene Domain-Verifizierung (DV).

SCIM 2.0 (System for Cross-domain Identity Management) ist ein branchenüblicher Standard, der es Identitätsanbietern (IdPs) wie Okta oder Microsoft Entra ermöglicht, den Zugriff auf Samsara-Ressourcen zu verwalten. SCIM 2.0 kann automatisch neue Benutzer hinzufügen, Benutzerinformationen aktualisieren und Benutzer aus dem System löschen, wenn sie ausscheiden. Dies hilft, den Benutzerzugriff genau zu halten, verbessert die interne Sicherheit und reduziert die Notwendigkeit manueller Aktualisierungen durch Administratoren.

Während Single Sign-On (SSO)-Authentifizierung die Benutzeridentität beim Anmelden bestätigt, stellt SCIM sicher, dass nur die richtigen Benutzer überhaupt im System existieren. SCIM 2.0 kann auch Benutzerkonten erstellen und konfigurieren, wie z. B. ihre zugewiesene Rolle, bevor sie sich zum ersten Mal über SSO anmelden.

Um SCIM 2.0 für Ihre Organisation einzurichten, wählen Sie einen Workflow:

SCIM 2.0 für Okta konfigurieren

Samsara unterstützt SCIM 2.0 für Okta. Sie müssen mit Okta als Ihrem IdP integriert sein, um SCIM 2.0 für Okta zu verwenden. Verwenden Sie den folgenden Workflow, um SCIM 2.0 für Okta einzurichten:

  1. Navigieren Sie im Samsara-Dashboard zu Einstellungen ( Gear_Icon.png ) > Organisation > Single Sign On.

  2. Umschalten auf SCIM aktivieren.

    enable_scim.png

  3. Navigieren Sie in Ihrer Okta-Admin-Konsole zu der App, die Sie zur Verwaltung des Zugriffs auf Samsara verwenden.

  4. Unter Allgemein wählen Sie die Option SCIM in der Bereitstellung.

    okta_admin_console_general_scim.png

  5. Speichern Sie Ihre Änderungen.

  6. Unter Bereitstellung wählen Sie Integration und konfigurieren Ihre SCIM-Verbindung:

    scim_provisioning_integration.png

    1. Geben Sie Ihren SCIM-Endpunkt in die Basis-URL des SCIM-Konnektors ein.

    2. Für den Authentifizierungsmodus stellen Sie sicher, dass HTTP-Header ausgewählt ist.

    3. Öffnen Sie ein neues Fenster und kehren Sie zum Samsara-Dashboard zurück, um das Bearer-Token aus den SCIM-Einstellungen zu kopieren, die sich in Einstellungen ( Gear_Icon.png ) > Organisation > Single Sign-on befinden.

      scim_bearer_token.png

    4. Kehren Sie zur Okta-Admin-Konsole zurück und fügen Sie das Bearer-Token in das Feld für die Autorisierung ein.

    5. Klicken Sie auf Test Connector Configuration, um zu bestätigen, dass die Verbindung erfolgreich ist.

    6. Nachdem die Verbindung erfolgreich ist, Speichern.

  7. Während Sie sich noch unter Bereitstellung befinden, wählen Sie Zur App und klicken Sie auf Bearbeiten:

    To_App_Edit.png

    1. Stellen Sie sicher, dass Benutzer erstellen, Benutzerattribute aktualisieren und Benutzer deaktivieren aktiviert sind.

    2. Speichern Sie Ihre Änderungen.

    3. Scrollen Sie nach unten und wählen Sie Zum Profil-Editor gehen.

    4. Klicken Sie im Profil-Editor auf + Attribut hinzufügen und geben Sie die folgenden Felder ein:

      scim_okta_add_attribute.png

      Attribut

      Feldeintrag

      Beispiel

      Datentyp

      string array

      Anzeigename

      Samsara-Dashboard-Rollen

      Variablenname

      samsaraRoles

      Externer Name

      rolesList

      Enum

      Wählen Sie Definieren Sie eine aufgezählte Liste von Werten

      Attributmitglieder

      Geben Sie jede Rolle für Ihre Organisation ein.

      Wenn Sie Rollen mit Gruppen anvisieren möchten, verwenden Sie das folgende Format: Volladministrator Gruppen:warehouse,dock

      Anzeigename: Volladministrator, Wert: Volladministrator

      Erforderliche Attribute

      Wählen Sie Ja

      Externer Namensraum

      urn:ietf:params:scim:schemas:core:2.0:User

    5. Speichern Sie Ihre Änderungen.

    Nachdem Sie gespeichert haben, ist die Konfiguration für SCIM 2.0 zwischen Okta und Samsara abgeschlossen.

Konfigurieren Sie SCIM 2.0 für Microsoft Entra

Samsara unterstützt SCIM 2.0 für Entra. Sie müssen mit Entra als Ihrem IdP integriert sein, um SCIM 2.0 für Entra zu verwenden. Verwenden Sie den folgenden Workflow, um SCIM 2.0 für Entra einzurichten:

  1. Melden Sie sich bei Azure an und führen Sie eine Suche nach Entra ID durch, dann wählen Sie Microsoft Entra ID aus.

    scim_entra_step_1.png

    Dann führen Sie die folgenden Schritte in Azure aus:

    1. Navigieren Sie zu Verwalten > Enterprise-Apps.

      scim_entra_step_2.png

    2. Wählen Sie + Neue Anwendung.

      scim_entra_step_3.png

    3. Klicken Sie auf + Erstellen Sie Ihre eigene App.

    4. Benennen Sie Ihre App.

    5. Wählen Sie innerhalb der App, die Sie gerade erstellt haben, Benutzerkonten bereitstellen.

      scim_entra_step_1-d.png

    6. Wählen Sie Verbinden Sie Ihre App.

      scim_entra_step_7.png

  2. Navigieren Sie im Samsara-Dashboard zu Einstellungen ( Gear_Icon.png ) > Organisation > Single Sign On.

  3. Umschalten auf SCIM aktivieren.

    Bearer-Token und SCIM-Endpunkt für EntraID-Felder werden im nächsten Schritt verwendet.

    enable_scim.png

  4. Kopieren Sie den SCIM-Endpunkt für EntraID von Ihrem Samsara-Dashboard und fügen Sie ihn dann in das Feld Mandanten-URL in Entra ein.

    scim_entra_tenant_url.png

  5. Kopieren Sie das Bearer-Token von Ihrem Samsara-Dashboard und fügen Sie es in das Feld Geheimtoken in Entra ein.

    scim_entra_secret_token.png

  6. Führen Sie in Entra die folgenden Schritte aus:

    1. Wählen Sie Verbindung testen.

      Bei Erfolg wird ein Pop-up angezeigt, das bestätigt, dass der Test erfolgreich war.

    2. Klicken Sie auf Erstellen.

    3. Nach erfolgreicher Erstellung werden Sie zur Übersicht weitergeleitet. Wählen Sie Attributzuordnung (Vorschau).

      scim_entra_attribute_mapping_overview.png

      Führen Sie dann die folgenden Schritte innerhalb der Attributzuordnung aus:

      1. Aktivieren Sie Erweiterte Optionen anzeigen und klicken Sie dann auf Attributliste für customappsso bearbeiten.

        scim_entra_show_advanced_options.png

      2. Fügen Sie ein neues Attribut mit dem Namen roles, Typ string hinzu und aktivieren Sie Mehrfachwert.

        scim_entra_add_attribute.png

      3. Speichern.

      4. Klicken Sie auf Neue Zuordnung hinzufügen, um das soeben erstellte Rollenattribut zuzuordnen.

      5. In Attribut bearbeiten:

        • Wählen Sie im Dropdown-Menü Zuordnungstyp die Option Ausdruck.

        • Geben Sie im Ausdrucksfeld AppRoleAssignmentsComplex([appRoleAssignments]) ein.

        • Wählen Sie im Dropdown-Menü Zielattribut die Option roles.

        scim_entra_edit_attribute.png

      6. Wählen Sie Ok.

      7. Speichern.

        So muss die Attributzuordnungstabelle aussehen:

        scim_entra_attribute_mapping.png

        Wenn irgendwelche Zeilen fehlen, funktioniert die SCIM-Verbindung nicht. Wenn irgendwelche Zeilen fehlen oder wenn die Werte unter dem CustomAppSSO Attribut oder dem Microsoft Entra ID Attribut von dem abweichen, was angezeigt wird, klicken Sie auf Bearbeiten, um den Eintrag zu ändern, oder auf Neue Zuordnung hinzufügen, um sie zu erstellen, und dann auf Speichern.

        Wenn es zusätzliche Anforderungsattribute gibt, die nicht vom Samsara SCIM-Schema akzeptiert werden, funktioniert die SCIM-Verbindung nicht. Einige Attribute werden automatisch von Entra gesetzt.

    4. Navigieren Sie zu Bereitstellung und aktivieren Sie den Bereitstellungsstatus auf Ein.

      scim_entra_provisioning.png

    5. Speichern Sie Ihre Änderungen.

      Nach diesem Schritt können Sie Rollen und Zuweisungen innerhalb von Entra erstellen.

Rollen-Erstellung und Zuweisung innerhalb von Entra

Nachdem Sie den letzten Schritt in Konfigurieren Sie SCIM 2.0 für Microsoft Entra abgeschlossen haben, können Sie Rollen erstellen und sie in der App zuweisen, die Sie in Entra erstellt haben. Rollen werden in der App erstellt, die Sie in Entra erstellt haben, unter App-Rollen.

scim_app_roles.png

Der Anzeigename sollte mit dem Samsara-Dashboard-Namen übereinstimmen, und der Wert sollte der base64-codierte Rollenname sein.

Um Gruppen innerhalb einer Rolle zu übergeben, fügen Sie tags:<tag1,tag2> im Anzeigenamen hinzu. Zum Beispiel, wenn Sie eine Volladministrator-Rolle in einer Gruppe namens Lager haben, würden Sie Folgendes im Anzeigenamen eingeben: Volladministrator tags:warehouse. Der Wert sollte derselbe base64-codierte String sein.

scim_entra_tags.png

Diese Rollen können Benutzern und Gruppen zugewiesen werden, indem App-Zuweisungen über Benutzer und Gruppen > + Benutzer/Gruppe hinzufügen erstellt werden.

scim_entra_user_and_groups.webp

Für einen schnellen Test gehen Sie zu Bereitstellung auf Anfrage und versuchen Sie, einen Benutzer bereitzustellen. Wenn erfolgreich, wird der Benutzer im Samsara-Dashboard mit der zugewiesenen Rolle erstellt oder aktualisiert.

Feedback

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Möchten Sie uns noch mehr mitteilen? Wir wollen es gerne hören!
Have more questions? Submit a request
Zurück an den Anfang

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.

Verwandte Beiträge

Beiträge in diesem Abschnitt

©2024 Samsara Inc.

Chatten Sie mit uns