Dokumente/SCIM-Bereitstellung/Discovery-Endpoints

SCIM Discovery-Endpoints

SCIM 2.0 definiert drei Discovery-Endpoints, die einem Identitätsanbieter ermöglichen, zu erfahren, was der SCIM-Server unterstützt, ohne jede Operation manuell zu versuchen. SecureCodingHub bedient alle drei; die meisten IdPs rufen sie automatisch während des initialen Verbindungstests auf.

Die drei Endpoints

Alle drei leben unter demselben Präfix wie der Rest der SCIM-API. Ersetzen Sie {base} durch https://api.limeplate.com/api/sch/scim/v2:

EndpointZweck
{base}/ServiceProviderConfigDas SCIM Service Provider Config Dokument. Teilt dem IdP mit, welche Operationen der Server unterstützt (PATCH, Filtering, Bulk, Sort, Passwort ändern usw.) und welche Grenzen sie haben.
{base}/SchemasGibt die von diesem Tenant bedienten SCIM-Schemas zurück, einschließlich der Core User- und Core Group-Schemas plus jeglicher Erweiterungen.
{base}/ResourceTypesGibt die von diesem Tenant offengelegten Ressourcentypen (User, Group) und das URL-Präfix für jeden zurück.

Wann Sie sie benötigen

Meistens benötigen Sie sie nicht — Okta und Azure AD rufen beide diese Endpoints automatisch während des SCIM-Verbindungstests und während der Attributzuordnungs-Einrichtung auf, und Sie sehen die Antworten nie. Die Endpoints werden relevant, wenn:

  • Sie einen benutzerdefinierten SCIM-Client schreiben und wissen müssen, welche Operatoren der Filter-Parser akzeptiert.
  • Ein IdP-Verbindungstest fehlschlägt und der Fehler auf einen der drei Discovery-Endpoints verweist — der Blick auf die tatsächliche Antwort offenbart die Fehlkonfiguration oft schneller als das Lesen der Anbieterdokumentation.
  • Ein Auditor Dokumentation der SCIM-Fähigkeiten anfordert, die von Ihrem Tenant beworben werden; die drei Endpoints bilden zusammen diese Dokumentation, bei jeder Anfrage aktualisiert.

Was die Antworten Ihnen sagen

Die ServiceProviderConfig ist die nützlichste der drei im Tagesgeschäft. Sie teilt dem IdP mit, dass Filteroperationen unterstützt werden, aber auf den eq-Operator beschränkt sind, dass PATCH unterstützt wird, dass Bulk-Operationen nicht unterstützt werden, dass der Endpoint zum Passwortändern nicht implementiert ist und wo die SCIM-seitige Dokumentation liegt (diese Seite). Die meisten SCIM-Bugs sind Fehlausrichtungen zwischen dem, was der IdP zu tun erwartet, und dem, was der SP sagen kann; das Lesen der Config-Antwort ist der schnellste Weg zu bestätigen, welche Seite falsch liegt.

Auth

Die Discovery-Endpoints werden durch dasselbe Bearer-Token wie der Rest der SCIM-API geschützt. Verwenden Sie das SCIM-Token, das von Organisation → SSO ausgestellt wurde — dasselbe Token, das /Users- und /Groups-Anfragen verarbeitet. Discovery-Endpoints antworten mit dem standardmäßigen application/scim+json-Inhaltstyp.