SCIM (System for Cross-domain Identity Management) lar din identitetsleverandør (IdP) automatisk opprette, oppdatere og deaktivere brukerkontoer i nShift. Når du legger til eller fjerner noen i katalogen din, overføres endringen til nShift i løpet av minutter – uten manuell kontoadministrasjon.
Støttede identitetsleverandører:
- Microsoft Entra ID (tidligere Azure AD)
- Okta
- PingIdentity
- Enhver SCIM 2.0-kompatibel leverandør
Hva synkroniseres:
| Fra din IdP | Til nShift |
|---|---|
| Brukerkontoer (navn, e-post) | nShift-brukerprofiler |
| Gruppemedlemskap | nShift-tillatelsesgrupper (via tilordning) |
| Kontodeaktivering/-sletting | Deaktivering av nShift-brukere |
Seksjoner i denne artikkelen:
- Forutsetninger
- Del 1: Aktiver SCIM i nShift Portal
- Del 2: Konfigurer din identitetsleverandør
- Del 3: Tilordne grupper i nShift
- Del 4: Verifiser klargjøringen
- Feilsøking
Forutsetninger
Før du begynner, sørg for at:
- Du har nShift Admin-tilgang med SSO-konfigurasjonstillatelser.
- SSO (Single Sign-On) allerede er konfigurert og aktiv for organisasjonen din. Se Single Sign-On (SSO)-konfigurasjon.
- Du har administratortilgang til din identitetsleverandør.
- Din nShift-kontrakt inkluderer SCIM-klargjøring.
Del 1: Aktiver SCIM i nShift Portal
- Logg inn på nShift Portal.
- Gå til Settings > Company Management > Single-Sign On (SSO).
- Klikk på redigeringsikonet ved siden av identitetsleverandøren din.
- Velg fanen User provisioning.
- Klikk på Generate credentials.
- Det vises en engangsdialog for legitimasjon med din Client ID, Client Secret, Token-endepunkt og SCIM-endepunkt. Kopier alle fire verdiene nå og lagre dem sikkert – Client Secret kan ikke hentes etter at du lukker denne dialogen.
- Etter at du lukker dialogen, viser fanen User provisioning:
«SCIM provisioning is enabled
Users and groups sync automatically when sent by your identity provider».
Fanen viser også knapper for Disable provisioning og Rotate client secret når du trenger dem senere.
nShift er nå klar til å motta SCIM-forespørsler. Fortsett til Del 2 for å konfigurere identitetsleverandøren din.
Del 2: Konfigurer din identitetsleverandør
For å konfigurere din identitetsleverandør henviser vi til den offisielle dokumentasjonen:
Når du har konfigurert din IdP, fortsett til Del 3: Tilordne grupper i nShift.
Del 3: Tilordne grupper i nShift
Når din IdP begynner å klargjøre, sender den gruppeinformasjon til nShift via SCIM. Disse gruppene vises automatisk i fanen Group mapping, og du må tilordne dem til nShift-tillatelsesgrupper slik at klargjorte brukere får riktig tilgang.
Merk: Brukere i ikke-tilordnede grupper klargjøres i nShift, men mottar ingen tillatelser før gruppen er tilordnet. Hvis du fjerner en gruppetilordning, kan du velge å fjerne brukere fra nShift-gruppene for å beholde tillatelsene deres.
Trinn 1: Åpne Group mapping
- Gå til Settings > Company Management > Single-Sign On (SSO) i nShift Portal.
- Klikk på redigeringsikonet ved siden av identitetsleverandøren din.
- Velg fanen Group mapping. Du vil se en liste over grupper oppdaget fra din IdP, med deres gjeldende tilordningsstatus.
- Tilordne hver gruppe ved å klikke på redigeringsikonet i raden.
- Klikk på redigeringsikonet i raden og velg én eller flere nShift-tillatelsesgrupper fra rullegardinmenyen.
- Gjenta for alle relevante grupper. Many-to-many-tilordning støttes: én ekstern gruppe kan tilordnes til flere nShift-tillatelsesgrupper, og flere eksterne grupper kan tilordnes til samme tillatelsesgruppe.
- Lukk dialogboksen Group mapping og klikk på Save. Fra dette tidspunktet vil brukere som legges til i en tilordnet gruppe av din IdP, automatisk motta de tilsvarende nShift-tillatelsene. Når brukeren fjernes fra gruppen, trekkes disse tillatelsene tilbake. Endringer overføres i løpet av minutter, avhengig av IdP-ens synkroniseringsintervall.
Del 4: Verifiser klargjøringen
Etter oppsett, gå gjennom disse kontrollene for å bekrefte at alt fungerer:
| Kontroll | Slik verifiserer du | Forventet resultat |
|---|---|---|
| Tilkoblingstest | IdP-klargjøringsinnstillinger > Test connection | Vellykket |
| Brukeropprettelse | Tilordne en testbruker i din IdP | Brukeren vises i nShift innen ca. 40 min. (Entra) eller ca. 5 min. (Okta/Ping) |
| Brukeroppdatering | Endre testbrukerens navn i din IdP | Oppdatert i nShift ved neste synkronisering |
| Brukerdeaktivering | Fjern tilordning eller deaktiver testbrukeren i din IdP | Bruker deaktivert i nShift |
| Gruppemedlemskap | Legg til testbrukeren i en tilordnet gruppe i din IdP | Brukeren mottar de tilsvarende nShift-tillatelsesgruppene |
| Gruppefjernelse | Fjern testbrukeren fra gruppen i din IdP | Tillatelser trukket tilbake i nShift |
Hvor du sjekker i nShift Portal
- Users list – gå til Settings > Company Management > Users og bekreft at den klargjorte brukeren vises med riktig navn og e-post.
- User detail – bekreft at Access groups samsvarer med konfigurasjonen for gruppetilordning.
- Audit log – gå til Settings > Company Management > Audit Logs og bekreft at SCIM-klargjøringshendelser er registrert.
Feilsøking
«Test connection» mislykkes
| Mulig årsak | Løsning |
|---|---|
| Feil SCIM-endepunkt | Kontroller at du har angitt SCIM-endepunktet nøyaktig slik det vises i nShift, uten avsluttende skråstrek |
| Feil legitimasjon | Kontroller at Client ID og Client Secret stemmer overens med det nShift oppga |
| Secret ble ikke kopiert | Roter Secret: gå til User provisioning > Rotate client secret, kopier det nye Secret og oppdater din IdP |
| Klargjøring ikke aktivert | Bekreft at fanen User provisioning i nShift viser «SCIM provisioning is enabled» |
Brukere blir ikke klargjort
| Mulig årsak | Løsning |
|---|---|
| Brukere ikke tilordnet appen | Tilordne brukere eller grupper i IdP-ens programinnstillinger |
| Klargjøringsomfang for smalt | I Entra ID: bekreft at Scope er satt til «Sync assigned users and groups only» og at de relevante brukerne er tilordnet |
| Første synkronisering kjører fortsatt | Første Entra ID-synkronisering kan ta 20–40 min. – sjekk klargjøringsloggene i din IdP |
| Manglende obligatoriske attributtilordninger | Sørg for at userName, externalId, emails og active er tilordnet i din IdP |
Grupperettigheter blir ikke brukt
| Mulig årsak | Løsning |
|---|---|
| Grupper ikke tilordnet i nShift | Gå til fanen Group mapping og tilordne eksterne grupper til tillatelsesgrupper |
| Grupper overføres ikke av IdP-en | I Okta: bekreft at gruppene er i fanen Push Groups. I Entra ID: bekreft at gruppene er tilordnet nShift-applikasjonen |
| Synkroniseringsforsinkelse | Vent på neste IdP-synkroniseringssyklus |
Roter legitimasjon
- Gå til Settings > Company Management > Single-Sign On (SSO) i nShift Portal.
- Rediger identitetsleverandøren din og åpne fanen User provisioning.
- Klikk på Rotate client secret.
- Kopier det nye Client Secret. Det vises bare én gang.
- Oppdater Client Secret i IdP-ens klargjøringsinnstillinger.
- Test tilkoblingen.
Merk: Det gamle Secret ugyldiggjøres umiddelbart. Oppdater din IdP umiddelbart for å unngå synkroniseringsavbrudd.