SCIM Discovery-эндпоинты
SCIM 2.0 определяет три discovery-эндпоинта, позволяющие поставщику идентификации узнать, что поддерживает SCIM-сервер, без попыток выполнить каждую операцию вручную. SecureCodingHub обслуживает все три; большинство IdP вызывают их автоматически во время начального теста подключения.
Три эндпоинта
Все три живут под тем же префиксом, что и остальной SCIM API. Замените {base} на https://api.limeplate.com/api/sch/scim/v2:
| Эндпоинт | Назначение |
|---|---|
{base}/ServiceProviderConfig | Документ SCIM Service Provider Config. Сообщает IdP, какие операции поддерживает сервер (PATCH, фильтрация, bulk, sort, change password и т.д.) и каковы их границы. |
{base}/Schemas | Возвращает SCIM-схемы, обслуживаемые этим тенантом, включая схемы Core User и Core Group плюс любые расширения. |
{base}/ResourceTypes | Возвращает типы ресурсов, которые этот тенант выставляет (User, Group), и префикс URL для каждого. |
Когда они Вам нужны
Большую часть времени — не нужны: Okta и Azure AD оба вызывают эти эндпоинты автоматически во время теста подключения SCIM и во время настройки сопоставления атрибутов, и Вы никогда не видите ответы. Эндпоинты становятся релевантными, когда:
- Вы пишете кастомный SCIM-клиент и должны знать, какие операторы принимает парсер фильтров.
- Тест подключения IdP не удаётся, и ошибка ссылается на один из трёх discovery-эндпоинтов — просмотр фактического ответа часто выводит на неправильную конфигурацию быстрее, чем чтение документации вендора.
- Аудитор запрашивает документацию по SCIM-возможностям, рекламируемым Вашим тенантом; три эндпоинта вместе образуют эту документацию, обновляемую при каждом запросе.
Что Вам говорят ответы
ServiceProviderConfig — самый полезный из трёх для повседневной работы. Он сообщает IdP, что операции фильтрации поддерживаются, но ограничены оператором eq, что PATCH поддерживается, что bulk-операции не поддерживаются, что эндпоинт смены пароля не реализован и где живёт документация со стороны SCIM (этот сайт). Большинство багов SCIM — это несоответствия между тем, что IdP ожидает делать, и тем, что SP говорит, что может делать; чтение ответа config — самый быстрый способ подтвердить, какая сторона неправа.
Аутентификация
Discovery-эндпоинты защищены тем же Bearer-токеном, что и остальной SCIM API. Используйте SCIM-токен, выпущенный из Организация → SSO — тот же токен, который обрабатывает запросы /Users и /Groups. Discovery-эндпоинты отвечают со стандартным content-типом application/scim+json.