SCIM (System for Cross-domain Identity Management) stelt uw Identity Provider (IdP) in staat om automatisch gebruikersaccounts aan te maken, bij te werken en te deactiveren in nShift. Wanneer u iemand toevoegt of verwijdert in uw directory, wordt de wijziging binnen enkele minuten naar nShift verzonden – geen handmatig accountbeheer nodig.
Ondersteunde Identity Providers:
- Microsoft Entra ID (voorheen Azure AD)
- Okta
- PingIdentity
- Elke SCIM 2.0-compatibele provider
Wat wordt gesynchroniseerd:
| Van uw IdP | Naar nShift |
|---|---|
| Gebruikersaccounts (naam, e-mail) | nShift-gebruikersprofielen |
| Groepslidmaatschappen | nShift Permission Groups (via mapping) |
| Account deactiveren/verwijderen | Deactivering van nShift-gebruiker |
Secties in dit artikel:
- Vereisten
- Deel 1: SCIM inschakelen in nShift Portal
- Deel 2: Uw Identity Provider configureren
- Deel 3: Groepen koppelen in nShift
- Deel 4: Provisioning verifiëren
- Problemen oplossen
Vereisten
Zorg er voor u begint voor dat:
- U nShift Admin-toegang heeft met SSO-configuratiemachtigingen.
- SSO (Single Sign-On) al is geconfigureerd en actief is voor uw organisatie. Zie Single Sign-On (SSO) configuration.
- U beheerderstoegang heeft tot uw Identity Provider.
- Uw nShift-contract SCIM-provisioning omvat.
Deel 1: SCIM inschakelen in nShift Portal
- Log in op nShift Portal.
- Ga naar Settings > Company Management > Single-Sign On (SSO).
- Klik op het bewerkingspictogram naast uw identity provider.
- Selecteer het tabblad User provisioning.
- Klik op Generate credentials.
- Er verschijnt een eenmalig legitimatiedialoogvenster met uw Client ID, Client secret, Token endpoint en SCIM endpoint. Kopieer nu alle vier de waarden en sla ze veilig op – het client secret kan niet meer worden opgehaald nadat u dit dialoogvenster sluit.
- Nadat u het dialoogvenster sluit, toont het tabblad User provisioning:
"SCIM provisioning is enabled
Users and groups sync automatically when sent by your identity provider".
Het tabblad toont ook knoppen voor Disable provisioning en Rotate client secret wanneer u die later nodig heeft.
nShift is nu klaar om SCIM-aanvragen te ontvangen. Ga verder naar Deel 2 om uw Identity Provider te configureren.
Deel 2: Uw Identity Provider configureren
Voor het configureren van uw identity provider verwijzen wij naar de officiële documentatie:
Nadat u uw IdP heeft geconfigureerd, gaat u verder naar Deel 3: Groepen koppelen in nShift.
Deel 3: Groepen koppelen in nShift
Wanneer uw IdP begint met provisioning, stuurt het groepsinformatie naar nShift via SCIM. Deze groepen verschijnen automatisch in het tabblad Group mapping en u moet ze koppelen aan nShift Permission Groups zodat geprovisioneerde gebruikers de juiste toegang krijgen.
Opmerking: Gebruikers in niet-gekoppelde groepen worden geprovisioneerd in nShift maar ontvangen geen machtigingen totdat hun groep is gekoppeld. Als u een groepskoppeling verwijdert, kunt u ervoor kiezen gebruikers uit de nShift-groepen te verwijderen om hun machtigingen te behouden.
Stap 1: Open Group mapping
- Ga in nShift Portal naar Settings > Company Management > Single-Sign On (SSO).
- Klik op het bewerkingspictogram naast uw identity provider.
- Selecteer het tabblad Group mapping. U ziet een lijst met groepen die zijn gevonden in uw IdP, met hun huidige koppelingsstatus.
- Koppel elke groep door op het bewerkingspictogram in de rij te klikken.
- Klik op het bewerkingspictogram in de rij en selecteer een of meer nShift Permission Groups in het vervolgkeuzemenu.
- Herhaal dit voor alle relevante groepen. Many-to-many-koppeling wordt ondersteund: één externe groep kan worden gekoppeld aan meerdere nShift Permission Groups, en meerdere externe groepen kunnen worden gekoppeld aan dezelfde Permission Group.
- Sluit het dialoogvenster Group mapping en klik op Save. Vanaf dit moment ontvangen gebruikers die door uw IdP worden toegevoegd aan een gekoppelde groep automatisch de bijbehorende nShift-machtigingen. Wanneer de gebruiker uit de groep wordt verwijderd, worden die machtigingen ingetrokken. Wijzigingen worden binnen enkele minuten doorgevoerd, afhankelijk van het synchronisatie-interval van uw IdP.
Deel 4: Provisioning verifiëren
Voer na de instelling de volgende controles uit om te bevestigen dat alles werkt:
| Controle | Hoe te verifiëren | Verwacht resultaat |
|---|---|---|
| Verbindingstest | IdP-provisioningsinstellingen > Test connection | Geslaagd |
| Gebruiker aanmaken | Wijs een testgebruiker toe in uw IdP | Gebruiker verschijnt in nShift binnen ca. 40 min (Entra) of ca. 5 min (Okta/Ping) |
| Gebruiker bijwerken | Wijzig de naam van de testgebruiker in uw IdP | Bijgewerkt in nShift bij volgende synchronisatie |
| Gebruiker deactiveren | Verwijder de toewijzing van of schakel de testgebruiker uit in uw IdP | Gebruiker gedeactiveerd in nShift |
| Groepslidmaatschap | Voeg de testgebruiker toe aan een gekoppelde groep in uw IdP | Gebruiker ontvangt de bijbehorende nShift Permission Groups |
| Groep verwijderen | Verwijder de testgebruiker uit de groep in uw IdP | Machtigingen ingetrokken in nShift |
Waar te controleren in nShift Portal
- Users list – ga naar Settings > Company Management > Users en bevestig dat de geprovisioneerde gebruiker verschijnt met de juiste naam en het juiste e-mailadres.
- User detail – bevestig dat Access groups overeenkomt met uw groepskoppelingsconfiguratie.
- Audit log – ga naar Settings > Company Management > Audit Logs en bevestig dat SCIM-provisioningsgebeurtenissen worden vastgelegd.
Problemen oplossen
"Test connection" mislukt
| Mogelijke oorzaak | Oplossing |
|---|---|
| Onjuist SCIM-eindpunt | Controleer of u het SCIM-eindpunt exact heeft ingevoerd zoals weergegeven in nShift, zonder afsluitende schuine streep |
| Onjuiste inloggegevens | Controleer of de Client ID en Client Secret overeenkomen met wat nShift heeft verstrekt |
| Secret is niet gekopieerd | Roteer het secret: ga naar User provisioning > Rotate client secret, kopieer het nieuwe secret en update uw IdP |
| Provisioning niet ingeschakeld | Bevestig dat het tabblad User provisioning in nShift "SCIM provisioning is enabled" toont |
Gebruikers worden niet geprovisioneerd
| Mogelijke oorzaak | Oplossing |
|---|---|
| Gebruikers niet toegewezen aan de app | Wijs gebruikers of groepen toe in de applicatie-instellingen van uw IdP |
| Provisioningsbereik te smal | In Entra ID: bevestig dat Scope is ingesteld op "Sync assigned users and groups only" en dat de relevante gebruikers zijn toegewezen |
| Eerste synchronisatie is nog bezig | De eerste synchronisatie van Entra ID kan 20–40 min duren – controleer de provisioningslogboeken in uw IdP |
| Ontbrekende vereiste attribuutkoppelingen | Zorg ervoor dat userName, externalId, emails en active zijn gekoppeld in uw IdP |
Groepsmachtigingen worden niet toegepast
| Mogelijke oorzaak | Oplossing |
|---|---|
| Groepen niet gekoppeld in nShift | Ga naar het tabblad Group mapping en koppel externe groepen aan Permission Groups |
| Groepen worden niet door de IdP verzonden | In Okta: bevestig dat groepen zich in het tabblad Push Groups bevinden. In Entra ID: bevestig dat groepen zijn toegewezen aan de nShift-applicatie |
| Synchronisatievertraging | Wacht op de volgende IdP-synchronisatiecyclus |
Inloggegevens roteren
- Ga in nShift Portal naar Settings > Company Management > Single-Sign On (SSO).
- Bewerk uw identity provider en open het tabblad User provisioning.
- Klik op Rotate client secret.
- Kopieer het nieuwe client secret. Het wordt slechts één keer weergegeven.
- Update het client secret in de provisioningsinstellingen van uw IdP.
- Test de verbinding.
Opmerking: Het oude secret wordt onmiddellijk ongeldig gemaakt. Werk uw IdP snel bij om synchronisatieonderbrekingen te voorkomen.