SCIM-Synchronisierung mit Microsoft Entra ID

System for Cross-Domain Identity Management (SCIM) ist ein offenes Standardprotokoll für die Automatisierung des Austauschs von Benutzeridentitätsinformationen zwischen Identitätsdomänen und IT-Systemen. SCIM stellt sicher, dass für Mitarbeiter*innen, die dem Human Capital Management-System (HCM) hinzugefügt werden, automatisch Konten in Microsoft Entra ID oder Windows Server Active Directory erstellt werden. Benutzerattribute und -profile werden zwischen den beiden Systemen synchronisiert, wobei das Entfernen von Benutzern basierend auf dem Benutzerstatus oder der Rollenänderung aktualisiert wird.

SCIM ist eine standardisierte Definition von zwei Endpunkten: einem „/Users“- und einem „/Groups“-Endpunkt. Es verwendet allgemeine REST-Verben, um Objekte zu erstellen, zu aktualisieren und zu löschen. Außerdem verwendet es ein vordefiniertes Schema für allgemeine Attribute wie Gruppenname, Benutzername, Vorname, Nachname und E-Mail-Adresse. Anwendungen, die eine SCIM 2.0-REST-API bieten, können den Aufwand für die Arbeit mit proprietären Benutzerverwaltungs-APIs oder -produkten reduzieren oder eliminieren. So kann beispielsweise jeder SCIM-kompatible Client eine HTTP POST-Anforderung für ein JSON-Objekt an den „/Users“-Endpunkt senden, um einen neuen Benutzereintrag zu erstellen. Anstatt eine leicht abweichende API für dieselben grundlegenden Aktionen zu benötigen, können Apps, die dem SCIM-Standard entsprechen, sofort die Vorteile bereits vorhandener Clients, Tools und Codes nutzen.

Die Verwendung empfiehlt sich unter folgenden Voraussetzungen:

Sie möchten Benutzerinformationen aus einem HCM-System automatisch für Microsoft Entra ID und Windows Server Active Directory und dann ggf. für Zielsysteme bereitstellen.

Komponenten des Systems

• HCM-System: Anwendungen und Technologien, die HCM-Prozesse und -Praktiken ermöglichen, die HR-Prozesse während des gesamten Mitarbeiterlebenszyklus unterstützen und automatisieren.

• Microsoft Entra-Bereitstellungsdienst: Dieser Dienst verwendet das SCIM 2.0-Protokoll für die automatische Bereitstellung. Der Dienst stellt eine Verbindung mit dem SCIM-Endpunkt für die Anwendung her und verwendet das SCIM-Benutzerobjektschema und REST-APIs, um die Bereitstellung und Aufhebung der Bereitstellung von Benutzern und Gruppen zu automatisieren.

• Microsoft Entra ID: Das zum Verwalten des Lebenszyklus von Identitäten und deren Berechtigungen verwendete Benutzerrepository.

• Zielsystem: Die Anwendung oder das System, die/das über den SCIM-Endpunkt verfügt und zusammen mit der Microsoft Entra-Bereitstellung die automatische Bereitstellung von Benutzer*innen und Gruppen ermöglicht.

Implementieren von SCIM mit Microsoft Entra ID

• Funktionsweise der Bereitstellung in Microsoft Entra ID

• Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps im Azure-Portal

• Erstellen eines SCIM-Endpunkts und Konfigurieren der Benutzerbereitstellung mit Microsoft Entra ID

• Konformität des Microsoft Entra-Bereitstellungsdiensts mit dem SCIM 2.0-Protokoll