SCIM-Übersicht — SCIM-Token, Bereitstellung und Authentifizierung
SCIM 2.0 (System for Cross-domain Identity Management) automatisiert die Bereitstellung von Benutzern und Gruppen zwischen Ihrem Identitätsanbieter und SecureCodingHub. Fügen Sie Benutzer hinzu, aktualisieren und entfernen Sie sie ohne manuelle Intervention — authentifiziert durch ein einziges SCIM-Token, das aus Ihren Organisationseinstellungen ausgestellt wird.
Was ist SCIM?
SCIM synchronisiert automatisch Benutzerlebenszyklus-Ereignisse von Ihrem Identitätsanbieter zu SecureCodingHub: Erstellt einen Benutzer bei der Einstellung, aktualisiert Attribute bei Änderungen und deaktiviert beim Offboarding. Es eliminiert die manuelle Benutzerverwaltung vollständig.
Unterstützte Operationen
Der SCIM 2.0 Endpoint von SecureCodingHub unterstützt die folgenden Ressourcen und Operationen:
| Ressource | Operationen |
|---|---|
| Benutzer | Erstellen, Lesen, Aktualisieren, Löschen, Auflisten, Filtern |
| Gruppen | Erstellen, Lesen, Aktualisieren, Löschen, Auflisten |
| Service Provider Config | Lesen (Discovery) |
| Schemas | Lesen (Discovery) |
| Ressourcentypen | Lesen (Discovery) |
Authentifizierung
Die SCIM-API verwendet Bearer-Token-Authentifizierung. Generieren Sie ein Token aus dem SecureCodingHub-Administrator-Panel und konfigurieren Sie es in Ihrem Identitätsanbieter.
| Einstellung | Wert |
|---|---|
| Basis-URL | https://api.limeplate.com/api/sch/scim/v2 |
| Auth-Header | Authorization: Bearer {your-scim-token} |
Funktionsweise
Die Einrichtung der SCIM-Bereitstellung ist ein unkomplizierter Vier-Schritte-Prozess:
Administrator generiert ein SCIM-Token in SecureCodingHub
Token wird im Identitätsanbieter konfiguriert (Okta, Azure AD)
IdP überträgt Benutzer-/Gruppenänderungen an den SecureCodingHub SCIM-Endpoint
Benutzer und Teams werden automatisch erstellt, aktualisiert und entfernt
Warum SCIM für Compliance-Nachweise wichtig ist
SCIM ist nicht nur eine operationelle Annehmlichkeit. Für Organisationen, die unter SOC 2, ISO 27001 oder HIPAA operieren, ist die automatisierte Deprovisionierung die Kontrolle, die Auditoren tatsächlich testen. ISO 27001 Annex A 9.2.6 verlangt die Entfernung von Zugriffsrechten bei Beendigung der Beschäftigung, und SOC 2 Common Criteria 6.2 und 6.3 erwarten, dass logischer Zugriff rechtzeitig widerrufen wird, wenn er nicht mehr benötigt wird. Manuelle Offboarding-Prozesse scheitern an diesem Test häufiger, als die Leute erwarten, weil der Nachweisweg davon abhängt, dass ein Ticket eingereicht wird und ein Mensch sich daran erinnert, durch jedes nachgelagerte Tool zu klicken.
Wenn SCIM mit Ihrem Identitätsanbieter verbunden ist, wird das Offboarding zu einem einzigen Ereignis: HR markiert den Benutzer im HRIS als gekündigt, der IdP propagiert die Deaktivierung, und SecureCodingHub setzt den Benutzer im nächsten Bereitstellungszyklus inaktiv. Auditoren erhalten ein sauberes Protokoll automatisierter Deaktivierungen, die mit IdP-Ereignissen korreliert sind, was genau das ist, was sie während eines Typ-II-Beobachtungsfensters sehen möchten. Wenn Sie sich auf ein erstes SOC 2 Audit vorbereiten, ist das frühe Einschalten von SCIM und das Erzeugen von sechs Monaten sauberer Protokolle einer der günstigsten verfügbaren Gewinne bei der Nachweis-Generierung.
Häufige Bereitstellungsmuster
Drei Bereitstellungsmuster decken die meisten Umgebungen ab. Greenfield-Rollouts sind die einfachsten: Es gibt keine bestehenden Benutzer in SecureCodingHub, SCIM wird aktiviert, bevor die ersten Einladungen ausgehen, und jeder Benutzer stammt vom IdP. Dies ist das sauberste Modell und das, das wir empfehlen, wann immer es möglich ist. Teilweise Synchronisation ist das nächste Muster: Sie beschränken SCIM auf eine einzelne Gruppe oder Abteilung, validieren, dass Lebenszyklusereignisse korrekt funktionieren, und expandieren von dort. Dies ist nützlich für Organisationen mit Tausenden von Sitzplätzen, bei denen eine fehlkonfigurierte Attributzuordnung viele Konten gleichzeitig betreffen könnte.
Das dritte Muster ist das Zusammenführen von SCIM mit bestehenden manuellen Benutzern. SecureCodingHub gleicht eingehende SCIM-Benutzer mit bestehenden Konten anhand der E-Mail-Adresse ab, sodass die Zusammenführung im Allgemeinen nicht destruktiv ist. Das Risiko besteht darin, dass manuell erstellte Benutzer mit nicht übereinstimmender Groß-/Kleinschreibung, Alias-Adressen oder veralteten E-Mail-Werten Duplikate erzeugen. Bevor Sie den Schalter umlegen, exportieren Sie Ihre aktuelle Benutzerliste, gleichen Sie sie mit der IdP-Liste ab und lösen Sie alle Adress-Diskrepanzen im IdP. Für Details zur Konfiguration von Anbietern siehe die Anleitungen Okta SCIM Einrichtung und Azure AD SCIM Einrichtung.