Документация/SCIM-провижининг/Discovery-эндпоинты

SCIM Discovery-эндпоинты

SCIM 2.0 определяет три discovery-эндпоинта, позволяющие поставщику идентификации узнать, что поддерживает SCIM-сервер, без попыток выполнить каждую операцию вручную. SecureCodingHub обслуживает все три; большинство IdP вызывают их автоматически во время начального теста подключения.

Три эндпоинта

Все три живут под тем же префиксом, что и остальной SCIM API. Замените {base} на https://api.limeplate.com/api/sch/scim/v2:

ЭндпоинтНазначение
{base}/ServiceProviderConfigДокумент SCIM Service Provider Config. Сообщает IdP, какие операции поддерживает сервер (PATCH, фильтрация, bulk, sort, change password и т.д.) и каковы их границы.
{base}/SchemasВозвращает SCIM-схемы, обслуживаемые этим тенантом, включая схемы Core User и Core Group плюс любые расширения.
{base}/ResourceTypesВозвращает типы ресурсов, которые этот тенант выставляет (User, Group), и префикс URL для каждого.

Когда они Вам нужны

Большую часть времени — не нужны: Okta и Azure AD оба вызывают эти эндпоинты автоматически во время теста подключения SCIM и во время настройки сопоставления атрибутов, и Вы никогда не видите ответы. Эндпоинты становятся релевантными, когда:

  • Вы пишете кастомный SCIM-клиент и должны знать, какие операторы принимает парсер фильтров.
  • Тест подключения IdP не удаётся, и ошибка ссылается на один из трёх discovery-эндпоинтов — просмотр фактического ответа часто выводит на неправильную конфигурацию быстрее, чем чтение документации вендора.
  • Аудитор запрашивает документацию по SCIM-возможностям, рекламируемым Вашим тенантом; три эндпоинта вместе образуют эту документацию, обновляемую при каждом запросе.

Что Вам говорят ответы

ServiceProviderConfig — самый полезный из трёх для повседневной работы. Он сообщает IdP, что операции фильтрации поддерживаются, но ограничены оператором eq, что PATCH поддерживается, что bulk-операции не поддерживаются, что эндпоинт смены пароля не реализован и где живёт документация со стороны SCIM (этот сайт). Большинство багов SCIM — это несоответствия между тем, что IdP ожидает делать, и тем, что SP говорит, что может делать; чтение ответа config — самый быстрый способ подтвердить, какая сторона неправа.

Аутентификация

Discovery-эндпоинты защищены тем же Bearer-токеном, что и остальной SCIM API. Используйте SCIM-токен, выпущенный из Организация → SSO — тот же токен, который обрабатывает запросы /Users и /Groups. Discovery-эндпоинты отвечают со стандартным content-типом application/scim+json.