SCIM (System for Cross-domain Identity Management) lader din Identity Provider (IdP) automatisk oprette, opdatere og deaktivere brugerkonti i nShift. Når du tilføjer eller fjerner en person i dit directory, overføres ændringen til nShift inden for få minutter – ingen manuel kontoadministration nødvendig.
Understøttede Identity Providers:
- Microsoft Entra ID (tidligere Azure AD)
- Okta
- PingIdentity
- Enhver SCIM 2.0-kompatibel provider
Hvad synkroniseres:
| Fra din IdP | Til nShift |
|---|---|
| Brugerkonti (navn, e-mail) | nShift-brugerprofiler |
| Gruppemedlemskaber | nShift Permission Groups (via mapping) |
| Kontodeaktivering/-sletning | Deaktivering af nShift-bruger |
Afsnit i denne artikel:
- Forudsætninger
- Del 1: Aktivér SCIM i nShift Portal
- Del 2: Konfigurer din Identity Provider
- Del 3: Tilknyt grupper i nShift
- Del 4: Bekræft provisionering
- Fejlfinding
Forudsætninger
Inden du begynder, skal du sikre dig:
- Du har nShift Admin-adgang med tilladelse til SSO-konfiguration.
- SSO (Single Sign-On) er allerede konfigureret og aktivt for din organisation. Se Single Sign-On (SSO) configuration.
- Du har administratoradgang til din Identity Provider.
- Din nShift-kontrakt inkluderer SCIM-provisionering.
Del 1: Aktivér SCIM i nShift Portal
- Log ind på nShift Portal.
- Gå til Settings > Company Management > Single-Sign On (SSO).
- Klik på redigeringsikonet ud for din identity provider.
- Vælg fanen User provisioning.
- Klik på Generate credentials.
- En engangs-legitimationsdialog vises med dit Client ID, Client secret, Token endpoint og SCIM endpoint. Kopiér alle fire værdier nu og gem dem sikkert – client secret kan ikke hentes igen, når du lukker denne dialog.
- Når du lukker dialogen, viser fanen User provisioning:
"SCIM provisioning is enabled
Users and groups sync automatically when sent by your identity provider".
Fanen viser også knapper til Disable provisioning og Rotate client secret, når du får brug for dem senere.
nShift er nu klar til at modtage SCIM-forespørgsler. Fortsæt til Del 2 for at konfigurere din Identity Provider.
Del 2: Konfigurer din Identity Provider
For at konfigurere din identity provider henviser vi til den officielle dokumentation:
Når du har konfigureret din IdP, skal du fortsætte til Del 3: Tilknyt grupper i nShift.
Del 3: Tilknyt grupper i nShift
Når din IdP begynder at provisionere, sender den gruppeinformation til nShift via SCIM. Disse grupper vises automatisk i fanen Group mapping, og du skal tilknytte dem til nShift Permission Groups, så provisionerede brugere får den rigtige adgang.
Bemærk: Brugere i ikke-tilknyttede grupper provisioneres i nShift, men modtager ingen tilladelser, før deres gruppe er tilknyttet. Hvis du fjerner en gruppetilknytning, kan du vælge at fjerne brugere fra nShift-grupperne for at bevare deres tilladelser.
Trin 1: Åbn Group mapping
- Gå til Settings > Company Management > Single-Sign On (SSO) i nShift Portal.
- Klik på redigeringsikonet ud for din identity provider.
- Vælg fanen Group mapping. Du får vist en liste over grupper fundet fra din IdP med deres aktuelle tilknytningstatus.
- Tilknyt hver gruppe ved at klikke på redigeringsikonet i rækken.
- Klik på redigeringsikonet i rækken og vælg en eller flere nShift Permission Groups fra rullemenuen.
- Gentag for alle relevante grupper. Many-to-many-tilknytning er understøttet: én ekstern gruppe kan tilknyttes til flere nShift Permission Groups, og flere eksterne grupper kan tilknyttes til den samme Permission Group.
- Luk dialogboksen Group mapping og klik på Save. Fra dette tidspunkt vil brugere, der tilføjes til en tilknyttet gruppe af din IdP, automatisk modtage de tilsvarende nShift-tilladelser. Når brugeren fjernes fra gruppen, tilbagekaldes disse tilladelser. Ændringer spredes inden for få minutter, afhængigt af din IdPs synkroniseringsinterval.
Del 4: Bekræft provisionering
Kør følgende kontrol efter opsætningen for at bekræfte, at alt fungerer:
| Kontrol | Sådan verificerer du | Forventet resultat |
|---|---|---|
| Forbindelsestest | IdP-provisioneringsindstillinger > Test connection | Succes |
| Brugeroprettelse | Tildel en testbruger i din IdP | Brugeren vises i nShift inden for ca. 40 min (Entra) eller ca. 5 min (Okta/Ping) |
| Brugeropdatering | Skift testbrugerens navn i din IdP | Opdateret i nShift ved næste synkronisering |
| Brugerdeaktivering | Fjern tildeling af eller deaktiver testbrugeren i din IdP | Bruger deaktiveret i nShift |
| Gruppemedlemskab | Tilføj testbrugeren til en tilknyttet gruppe i din IdP | Brugeren modtager de tilsvarende nShift Permission Groups |
| Fjernelse af gruppe | Fjern testbrugeren fra gruppen i din IdP | Tilladelser tilbagekaldt i nShift |
Hvor du kontrollerer i nShift Portal
- Users list – gå til Settings > Company Management > Users og bekræft, at den provisionerede bruger vises med det korrekte navn og e-mail.
- User detail – bekræft, at Access groups stemmer overens med din gruppekortkonfiguration.
- Audit log – gå til Settings > Company Management > Audit Logs og bekræft, at SCIM-provisioneringsbegivenheder registreres.
Fejlfinding
"Test connection" mislykkes
| Mulig årsag | Løsning |
|---|---|
| Forkert SCIM-slutpunkt | Kontroller, at du har indtastet SCIM-slutpunktet nøjagtigt som vist i nShift, uden afsluttende skråstreg |
| Forkerte legitimationsoplysninger | Kontroller, at Client ID og Client Secret stemmer overens med det, nShift leverede |
| Secret blev ikke kopieret | Roter secret: gå til User provisioning > Rotate client secret, kopiér det nye secret og opdatér din IdP |
| Provisionering ikke aktiveret | Bekræft, at fanen User provisioning i nShift viser "SCIM provisioning is enabled" |
Brugere provisioneres ikke
| Mulig årsag | Løsning |
|---|---|
| Brugere ikke tildelt til appen | Tildel brugere eller grupper i din IdPs programindstillinger |
| Provisioneringsomfang for snævert | I Entra ID: bekræft, at Scope er indstillet til "Sync assigned users and groups only", og at de relevante brugere er tildelt |
| Første synkronisering er stadig i gang | Den første synkronisering i Entra ID kan tage 20–40 min – tjek provisioneringsloggene i din IdP |
| Manglende påkrævede attributtilknytninger | Sørg for, at userName, externalId, emails og active er tilknyttet i din IdP |
Gruppetilladelser anvendes ikke
| Mulig årsag | Løsning |
|---|---|
| Grupper ikke tilknyttet i nShift | Gå til fanen Group mapping og tilknyt eksterne grupper til Permission Groups |
| Grupper sendes ikke af IdP | I Okta: bekræft, at grupper er i fanen Push Groups. I Entra ID: bekræft, at grupper er tildelt til nShift-applikationen |
| Synkroniseringsforsinkelse | Vent på den næste IdP-synkroniseringscyklus |
Behov for at rotere legitimationsoplysninger
- Gå til Settings > Company Management > Single-Sign On (SSO) i nShift Portal.
- Rediger din identity provider og åbn fanen User provisioning.
- Klik på Rotate client secret.
- Kopiér det nye client secret. Det vises kun én gang.
- Opdatér client secret i din IdPs provisioneringsindstillinger.
- Test forbindelsen.
Bemærk: Det gamle secret ugyldiggøres øjeblikkeligt. Opdatér din IdP hurtigt for at undgå synkroniseringsafbrydelser.