SCIM (System for Cross-domain Identity Management) ermöglicht es Ihrem Identitätsanbieter (IdP), Benutzerkonten in nShift automatisch zu erstellen, zu aktualisieren und zu deaktivieren. Wenn Sie jemanden in Ihrem Verzeichnis hinzufügen oder entfernen, wird die Änderung innerhalb von Minuten an nShift übermittelt – ohne manuellen Kontoverwaltungsaufwand.
Unterstützte Identitätsanbieter:
- Microsoft Entra ID (früher Azure AD)
- Okta
- PingIdentity
- Jeder SCIM 2.0-kompatible Anbieter
Was wird synchronisiert:
| Von Ihrem IdP | Zu nShift |
|---|---|
| Benutzerkonten (Name, E-Mail) | nShift-Benutzerprofile |
| Gruppenmitgliedschaften | nShift-Berechtigungsgruppen (per Zuordnung) |
| Kontodeaktivierung/-löschung | Deaktivierung von nShift-Benutzern |
Abschnitte in diesem Artikel:
- Voraussetzungen
- Teil 1: SCIM in nShift Portal aktivieren
- Teil 2: Ihren Identitätsanbieter konfigurieren
- Teil 3: Gruppen in nShift zuordnen
- Teil 4: Bereitstellung überprüfen
- Fehlerbehebung
Voraussetzungen
Stellen Sie vor Beginn sicher, dass:
- Sie über nShift Admin-Zugriff mit SSO-Konfigurationsberechtigungen verfügen.
- SSO (Single Sign-On) bereits konfiguriert und für Ihre Organisation aktiv ist. Siehe Single Sign-On (SSO)-Konfiguration.
- Sie Administratorzugang zu Ihrem Identitätsanbieter haben.
- Ihr nShift-Vertrag SCIM-Bereitstellung beinhaltet.
Teil 1: SCIM in nShift Portal aktivieren
- Melden Sie sich im nShift Portal an.
- Gehen Sie zu Settings > Company Management > Single-Sign On (SSO).
- Klicken Sie auf das Bearbeitungssymbol neben Ihrem Identitätsanbieter.
- Wählen Sie die Registerkarte User provisioning.
- Klicken Sie auf Generate credentials.
- Es erscheint ein einmaliger Anmeldeinformationsdialog mit Ihrer Client ID, Ihrem Client Secret, dem Token-Endpunkt und dem SCIM-Endpunkt. Kopieren Sie jetzt alle vier Werte und speichern Sie sie sicher – das Client Secret kann nach dem Schließen dieses Dialogs nicht mehr abgerufen werden.
- Nach dem Schließen des Dialogs zeigt die Registerkarte User provisioning:
„SCIM provisioning is enabled
Users and groups sync automatically when sent by your identity provider".
Die Registerkarte zeigt auch Schaltflächen zum Disable provisioning und Rotate client secret, wenn Sie diese später benötigen.
nShift ist nun bereit, SCIM-Anfragen zu empfangen. Fahren Sie mit Teil 2 fort, um Ihren Identitätsanbieter zu konfigurieren.
Teil 2: Ihren Identitätsanbieter konfigurieren
Zur Konfiguration Ihres Identitätsanbieters verweisen wir auf die offizielle Dokumentation:
Sobald Sie Ihren IdP konfiguriert haben, fahren Sie bitte mit Teil 3: Gruppen in nShift zuordnen fort.
Teil 3: Gruppen in nShift zuordnen
Sobald Ihr IdP mit der Bereitstellung beginnt, überträgt er Gruppeninformationen via SCIM an nShift. Diese Gruppen erscheinen automatisch in der Registerkarte Group mapping, und Sie müssen sie nShift-Berechtigungsgruppen zuordnen, damit bereitgestellte Benutzer die richtigen Zugriffsrechte erhalten.
Hinweis: Benutzer in nicht zugeordneten Gruppen werden in nShift bereitgestellt, erhalten jedoch keine Berechtigungen, bis ihre Gruppe zugeordnet ist. Wenn Sie eine Gruppenzuordnung entfernen, können Sie wählen, Benutzer aus den nShift-Gruppen zu entfernen, um ihre Berechtigungen beizubehalten.
Schritt 1: Group mapping öffnen
- Gehen Sie im nShift Portal zu Settings > Company Management > Single-Sign On (SSO).
- Klicken Sie auf das Bearbeitungssymbol neben Ihrem Identitätsanbieter.
- Wählen Sie die Registerkarte Group mapping. Sie sehen eine Liste der von Ihrem IdP erkannten Gruppen mit ihrem aktuellen Zuordnungsstatus.
- Ordnen Sie jede Gruppe zu, indem Sie auf das Bearbeitungssymbol in der Zeile klicken.
- Klicken Sie auf das Bearbeitungssymbol in der Zeile und wählen Sie eine oder mehrere nShift-Berechtigungsgruppen aus dem Dropdown-Menü.
- Wiederholen Sie dies für alle relevanten Gruppen. Many-to-many-Zuordnung wird unterstützt: Eine externe Gruppe kann mehreren nShift-Berechtigungsgruppen zugeordnet werden, und mehrere externe Gruppen können derselben Berechtigungsgruppe zugeordnet werden.
- Schließen Sie das Dialogfeld Group mapping und klicken Sie auf Save. Von diesem Zeitpunkt an erhalten Benutzer, die von Ihrem IdP einer zugeordneten Gruppe hinzugefügt werden, automatisch die entsprechenden nShift-Berechtigungen. Wenn der Benutzer aus der Gruppe entfernt wird, werden diese Berechtigungen widerrufen. Änderungen werden innerhalb von Minuten übernommen, abhängig vom Synchronisierungsintervall Ihres IdP.
Teil 4: Bereitstellung überprüfen
Führen Sie nach der Einrichtung diese Überprüfungen durch, um sicherzustellen, dass alles funktioniert:
| Überprüfung | Vorgehensweise | Erwartetes Ergebnis |
|---|---|---|
| Verbindungstest | IdP-Bereitstellungseinstellungen > Test connection | Erfolgreich |
| Benutzererstellung | Weisen Sie Ihrem IdP einen Testbenutzer zu | Benutzer erscheint innerhalb von ca. 40 Min. (Entra) oder ca. 5 Min. (Okta/Ping) in nShift |
| Benutzeraktualisierung | Ändern Sie den Namen des Testbenutzers in Ihrem IdP | Beim nächsten Sync in nShift aktualisiert |
| Benutzerdeaktivierung | Heben Sie die Zuweisung des Testbenutzers in Ihrem IdP auf oder deaktivieren Sie ihn | Benutzer in nShift deaktiviert |
| Gruppenmitgliedschaft | Fügen Sie den Testbenutzer einer zugeordneten Gruppe in Ihrem IdP hinzu | Benutzer erhält die entsprechenden nShift-Berechtigungsgruppen |
| Gruppenentfernung | Entfernen Sie den Testbenutzer aus der Gruppe in Ihrem IdP | Berechtigungen in nShift widerrufen |
Wo in nShift Portal prüfen
- Users list – gehen Sie zu Settings > Company Management > Users und bestätigen Sie, dass der bereitgestellte Benutzer mit dem richtigen Namen und der richtigen E-Mail-Adresse angezeigt wird.
- User detail – bestätigen Sie, dass Access groups Ihrer Gruppenzuordnungskonfiguration entsprechen.
- Audit log – gehen Sie zu Settings > Company Management > Audit Logs und bestätigen Sie, dass SCIM-Bereitstellungsereignisse aufgezeichnet werden.
Fehlerbehebung
„Test connection" schlägt fehl
| Mögliche Ursache | Lösung |
|---|---|
| Falscher SCIM-Endpunkt | Stellen Sie sicher, dass Sie den SCIM-Endpunkt genau wie in nShift angegeben eingegeben haben, ohne abschließenden Schrägstrich |
| Falsche Anmeldeinformationen | Überprüfen Sie, ob Client ID und Client Secret mit den von nShift bereitgestellten Angaben übereinstimmen |
| Secret wurde nicht kopiert | Rotieren Sie das Secret: Gehen Sie zu User provisioning > Rotate client secret, kopieren Sie das neue Secret und aktualisieren Sie Ihren IdP |
| Bereitstellung nicht aktiviert | Bestätigen Sie, dass die Registerkarte User provisioning in nShift „SCIM provisioning is enabled" anzeigt |
Benutzer werden nicht bereitgestellt
| Mögliche Ursache | Lösung |
|---|---|
| Benutzer nicht der App zugewiesen | Weisen Sie Benutzer oder Gruppen in den Anwendungseinstellungen Ihres IdP zu |
| Bereitstellungsbereich zu eng | In Entra ID: Bestätigen Sie, dass Scope auf „Sync assigned users and groups only" gesetzt ist und die relevanten Benutzer zugewiesen sind |
| Erster Sync läuft noch | Der erste Entra ID-Sync kann 20–40 Min. dauern – prüfen Sie die Bereitstellungsprotokolle in Ihrem IdP |
| Fehlende erforderliche Attributzuordnungen | Stellen Sie sicher, dass userName, externalId, emails und active in Ihrem IdP zugeordnet sind |
Gruppenberechtigungen werden nicht angewendet
| Mögliche Ursache | Lösung |
|---|---|
| Gruppen in nShift nicht zugeordnet | Gehen Sie zur Registerkarte Group mapping und ordnen Sie externe Gruppen den Berechtigungsgruppen zu |
| Gruppen werden vom IdP nicht übertragen | In Okta: Bestätigen Sie, dass sich die Gruppen in der Registerkarte Push Groups befinden. In Entra ID: Bestätigen Sie, dass die Gruppen der nShift-Anwendung zugewiesen sind |
| Synchronisierungsverzögerung | Warten Sie auf den nächsten IdP-Synchronisierungszyklus |
Anmeldeinformationen rotieren
- Gehen Sie im nShift Portal zu Settings > Company Management > Single-Sign On (SSO).
- Bearbeiten Sie Ihren Identitätsanbieter und öffnen Sie die Registerkarte User provisioning.
- Klicken Sie auf Rotate client secret.
- Kopieren Sie das neue Client Secret. Es wird nur einmal angezeigt.
- Aktualisieren Sie das Client Secret in den Bereitstellungseinstellungen Ihres IdP.
- Testen Sie die Verbindung.
Hinweis: Das alte Secret wird sofort ungültig. Aktualisieren Sie Ihren IdP zeitnah, um Synchronisierungsunterbrechungen zu vermeiden.