SCIM (System for Cross-domain Identity Management) mahdollistaa Identity Providerin (IdP) luoda, päivittää ja poistaa käyttäjätilejä automaattisesti nShiftissä. Kun lisäät tai poistat henkilön hakemistostasi, muutos siirtyy nShiftiin muutamassa minuutissa – manuaalista tilien hallintaa ei tarvita.
Tuetut Identity Providerit:
- Microsoft Entra ID (aiemmin Azure AD)
- Okta
- PingIdentity
- Mikä tahansa SCIM 2.0 -yhteensopiva provider
Mitä synkronoidaan:
| IdP:stäsi | nShiftiin |
|---|---|
| Käyttäjätilit (nimi, sähköposti) | nShift-käyttäjäprofiilit |
| Ryhmäjäsenyydet | nShift Permission Groups (mappauksen kautta) |
| Tilin poistaminen käytöstä / poistaminen | nShift-käyttäjän deaktivointi |
Artikkelin osiot:
- Edellytykset
- Osa 1: SCIM:n käyttöönotto nShift Portalissa
- Osa 2: Identity Providerin määrittäminen
- Osa 3: Ryhmien yhdistäminen nShiftissä
- Osa 4: Provisioinnin tarkistaminen
- Vianmääritys
Edellytykset
Ennen kuin aloitat, varmista seuraavat asiat:
- Sinulla on nShift Admin -käyttöoikeus SSO-määritysvaltuuksilla.
- SSO (Single Sign-On) on jo määritetty ja aktiivinen organisaatiossasi. Katso Single Sign-On (SSO) configuration.
- Sinulla on järjestelmänvalvojan käyttöoikeus Identity Provideriisi.
- nShift-sopimuksesi sisältää SCIM-provisioinnin.
Osa 1: SCIM:n käyttöönotto nShift Portalissa
- Kirjaudu sisään nShift Portaliin.
- Siirry kohtaan Settings > Company Management > Single-Sign On (SSO).
- Napsauta muokkauskuvaketta identity providerisi vieressä.
- Valitse User provisioning -välilehti.
- Napsauta Generate credentials.
- Näyttöön tulee kertakäyttöinen tunnistetietovalintaikkuna, jossa näkyvät Client ID, Client secret, Token endpoint ja SCIM endpoint. Kopioi kaikki neljä arvoa nyt ja säilytä ne turvallisesti – client secretiä ei voi hakea uudelleen, kun suljet tämän valintaikkunan.
- Kun suljet valintaikkunan, User provisioning -välilehti näyttää:
"SCIM provisioning is enabled
Users and groups sync automatically when sent by your identity provider".
Välilehdellä näkyy myös painikkeet Disable provisioning ja Rotate client secret myöhempää käyttöä varten.
nShift on nyt valmis vastaanottamaan SCIM-pyyntöjä. Jatka osaan 2 Identity Providerin määrittämiseksi.
Osa 2: Identity Providerin määrittäminen
Identity Providerin määrittämiseksi viittaamme viralliseen dokumentaatioon:
Kun olet määrittänyt IdP:si, jatka kohtaan Osa 3: Ryhmien yhdistäminen nShiftissä.
Osa 3: Ryhmien yhdistäminen nShiftissä
Kun IdP:si aloittaa provisioinnin, se lähettää ryhmätiedot nShiftiin SCIM:n kautta. Nämä ryhmät näkyvät automaattisesti Group mapping -välilehdellä, ja sinun on yhdistettävä ne nShift Permission Groupsiin, jotta provisioitujen käyttäjien käyttöoikeudet ovat oikein.
Huomio: Yhdistämättömiin ryhmiin kuuluvat käyttäjät provisioidaan nShiftiin, mutta heillä ei ole käyttöoikeuksia ennen kuin heidän ryhmänsä on yhdistetty. Jos poistat ryhmäyhdistämisen, voit valita, poistetaanko käyttäjät nShift-ryhmistä käyttöoikeuksien säilyttämiseksi.
Vaihe 1: Avaa Group mapping
- Siirry nShift Portalissa kohtaan Settings > Company Management > Single-Sign On (SSO).
- Napsauta muokkauskuvaketta identity providerisi vieressä.
- Valitse Group mapping -välilehti. Näet luettelon IdP:stäsi löydetyistä ryhmistä ja niiden nykyisestä yhdistämistilasta.
- Yhdistä kukin ryhmä napsauttamalla rivin muokkauskuvaketta.
- Napsauta rivin muokkauskuvaketta ja valitse yksi tai useampi nShift Permission Group avattavasta valikosta.
- Toista tämä kaikille asiaankuuluville ryhmille. Many-to-many-yhdistäminen on tuettu: yksi ulkoinen ryhmä voidaan yhdistää useisiin nShift Permission Groupsiin, ja useita ulkoisia ryhmiä voidaan yhdistää samaan Permission Groupiin.
- Sulje Group mapping -valintaikkuna ja napsauta Save. Tästä eteenpäin käyttäjät, jotka IdP:si lisää yhdistettyyn ryhmään, saavat automaattisesti vastaavat nShift-käyttöoikeudet. Kun käyttäjä poistetaan ryhmästä, käyttöoikeudet peruutetaan. Muutokset leviävät muutamassa minuutissa riippuen IdP:n synkronointivälistä.
Osa 4: Provisioinnin tarkistaminen
Suorita seuraavat tarkistukset asennuksen jälkeen varmistaaksesi, että kaikki toimii:
| Tarkistus | Tarkistustapa | Odotettu tulos |
|---|---|---|
| Yhteystesti | IdP:n provisiointiasetukset > Test connection | Onnistui |
| Käyttäjän luominen | Määritä testikäyttäjä IdP:ssäsi | Käyttäjä näkyy nShiftissä noin 40 min kuluessa (Entra) tai noin 5 min kuluessa (Okta/Ping) |
| Käyttäjän päivittäminen | Muuta testikäyttäjän nimi IdP:ssäsi | Päivitetty nShiftissä seuraavassa synkronoinnissa |
| Käyttäjän deaktivointi | Poista testikäyttäjän määritys tai poista se käytöstä IdP:ssäsi | Käyttäjä deaktivoitu nShiftissä |
| Ryhmäjäsenyys | Lisää testikäyttäjä yhdistettyyn ryhmään IdP:ssäsi | Käyttäjä saa vastaavat nShift Permission Groups -käyttöoikeudet |
| Ryhmästä poistaminen | Poista testikäyttäjä ryhmästä IdP:ssäsi | Käyttöoikeudet peruutettu nShiftissä |
Mistä tarkistaa nShift Portalissa
- Users list – siirry kohtaan Settings > Company Management > Users ja varmista, että provisioitu käyttäjä näkyy oikealla nimellä ja sähköpostiosoitteella.
- User detail – varmista, että Access groups vastaa ryhmäyhdistämismääritystäsi.
- Audit log – siirry kohtaan Settings > Company Management > Audit Logs ja varmista, että SCIM-provisiointitapahtumat on kirjattu.
Vianmääritys
"Test connection" epäonnistuu
| Mahdollinen syy | Ratkaisu |
|---|---|
| Virheellinen SCIM-päätepiste | Varmista, että olet syöttänyt SCIM-päätepisteen täsmälleen sellaisena kuin se näkyy nShiftissä, ilman loppukauttaviivaa |
| Virheelliset tunnistetiedot | Varmista, että Client ID ja Client Secret vastaavat nShiftin antamia tietoja |
| Secretiä ei kopioitu | Kierrätä secret: siirry kohtaan User provisioning > Rotate client secret, kopioi uusi secret ja päivitä IdP:si |
| Provisiointi ei ole käytössä | Varmista, että nShiftin User provisioning -välilehdellä näkyy "SCIM provisioning is enabled" |
Käyttäjiä ei provisioida
| Mahdollinen syy | Ratkaisu |
|---|---|
| Käyttäjiä ei ole määritetty sovellukselle | Määritä käyttäjät tai ryhmät IdP:n sovellusasetuksissa |
| Provisioinnin laajuus liian suppea | Entra ID:ssä: varmista, että Scope on asetettu arvoon "Sync assigned users and groups only" ja että asiaankuuluvat käyttäjät on määritetty |
| Ensimmäinen synkronointi on vielä käynnissä | Entra ID:n ensimmäinen synkronointi voi kestää 20–40 min – tarkista provisiointilokit IdP:ssäsi |
| Pakollisia attribuuttiyhdistämisiä puuttuu | Varmista, että userName, externalId, emails ja active on yhdistetty IdP:ssäsi |
Ryhmäkäyttöoikeuksia ei sovelleta
| Mahdollinen syy | Ratkaisu |
|---|---|
| Ryhmiä ei ole yhdistetty nShiftissä | Siirry Group mapping -välilehdelle ja yhdistä ulkoiset ryhmät Permission Groupsiin |
| IdP ei lähetä ryhmiä | Oktassa: varmista, että ryhmät ovat Push Groups -välilehdellä. Entra ID:ssä: varmista, että ryhmät on määritetty nShift-sovellukselle |
| Synkronointiviive | Odota IdP:n seuraavaa synkronointisykliä |
Tunnistetietojen kierrättäminen
- Siirry nShift Portalissa kohtaan Settings > Company Management > Single-Sign On (SSO).
- Muokkaa identity provideriasi ja avaa User provisioning -välilehti.
- Napsauta Rotate client secret.
- Kopioi uusi client secret. Se näytetään vain kerran.
- Päivitä client secret IdP:n provisiointiasetuksissa.
- Testaa yhteys.
Huomio: Vanha secret mitätöidään välittömästi. Päivitä IdP:si nopeasti synkronointikatkojen välttämiseksi.