SCIM (System for Cross-domain Identity Management) låter din identitetsleverantör (IdP) automatiskt skapa, uppdatera och avaktivera användarkonton i nShift. När du lägger till eller tar bort någon i din katalog skickas ändringen till nShift inom några minuter – utan manuell kontohantering.
Identitetsleverantörer som stöds:
- Microsoft Entra ID (tidigare Azure AD)
- Okta
- PingIdentity
- Alla SCIM 2.0-kompatibla leverantörer
Vad synkroniseras:
| Från din IdP | Till nShift |
|---|---|
| Användarkonton (namn, e-post) | nShift-användarprofiler |
| Gruppmedlemskap | nShift-behörighetsgrupper (via mappning) |
| Kontoavaktivering/-borttagning | Avaktivering av nShift-användare |
Avsnitt i den här artikeln:
- Förutsättningar
- Del 1: Aktivera SCIM i nShift Portal
- Del 2: Konfigurera din identitetsleverantör
- Del 3: Mappa grupper i nShift
- Del 4: Verifiera etableringen
- Felsökning
Förutsättningar
Innan du börjar, se till att:
- Du har nShift Admin-åtkomst med SSO-konfigurationsbehörigheter.
- SSO (Single Sign-On) redan är konfigurerat och aktivt för din organisation. Se Single Sign-On (SSO)-konfiguration.
- Du har administratörsåtkomst till din identitetsleverantör.
- Ditt nShift-avtal inkluderar SCIM-etablering.
Del 1: Aktivera SCIM i nShift Portal
- Logga in på nShift Portal.
- Gå till Settings > Company Management > Single-Sign On (SSO).
- Klicka på redigeringsikonen bredvid din identitetsleverantör.
- Välj fliken User provisioning.
- Klicka på Generate credentials.
- En engångsdialog för autentiseringsuppgifter visas med din Client ID, Client Secret, Token-slutpunkt och SCIM-slutpunkt. Kopiera alla fyra värden nu och lagra dem säkert – Client Secret kan inte hämtas efter att du stänger den här dialogen.
- När du stänger dialogen visar fliken User provisioning:
„SCIM provisioning is enabled
Users and groups sync automatically when sent by your identity provider".
Fliken visar också knappar för Disable provisioning och Rotate client secret när du behöver dem senare.
nShift är nu redo att ta emot SCIM-förfrågningar. Fortsätt till Del 2 för att konfigurera din identitetsleverantör.
Del 2: Konfigurera din identitetsleverantör
För att konfigurera din identitetsleverantör hänvisar vi till deras officiella dokumentation:
När du har konfigurerat din IdP, fortsätt till Del 3: Mappa grupper i nShift.
Del 3: Mappa grupper i nShift
När din IdP börjar etablera användare skickar den gruppinformation till nShift via SCIM. Dessa grupper visas automatiskt på fliken Group mapping, och du måste mappa dem till nShift-behörighetsgrupper så att etablerade användare får rätt åtkomst.
Obs! Användare i omappade grupper etableras i nShift men får inga behörigheter förrän deras grupp är mappad. Om du tar bort en gruppmappning kan du välja att ta bort användare från nShift-grupperna för att behålla deras behörigheter.
Steg 1: Öppna Group mapping
- Gå till Settings > Company Management > Single-Sign On (SSO) i nShift Portal.
- Klicka på redigeringsikonen bredvid din identitetsleverantör.
- Välj fliken Group mapping. Du ser en lista över grupper som identifierats från din IdP, med deras aktuella mappningsstatus.
- Mappa varje grupp genom att klicka på redigeringsikonen på raden.
- Klicka på redigeringsikonen på raden och välj en eller flera nShift-behörighetsgrupper från rullgardinsmenyn.
- Upprepa för alla relevanta grupper. Many-to-many-mappning stöds: en extern grupp kan mappas till flera nShift-behörighetsgrupper, och flera externa grupper kan mappas till samma behörighetsgrupp.
- Stäng dialogrutan Group mapping och klicka på Save. Från och med nu kommer användare som läggs till i en mappad grupp av din IdP automatiskt att få motsvarande nShift-behörigheter. När användaren tas bort från gruppen återkallas dessa behörigheter. Ändringar sprids inom några minuter, beroende på din IdP:s synkroniseringsintervall.
Del 4: Verifiera etableringen
Efter installationen går du igenom dessa kontroller för att bekräfta att allt fungerar:
| Kontroll | Hur du verifierar | Förväntat resultat |
|---|---|---|
| Anslutningstest | IdP-etableringsinställningar > Test connection | Lyckades |
| Användarskapande | Tilldela en testanvändare i din IdP | Användaren visas i nShift inom ca 40 min (Entra) eller ca 5 min (Okta/Ping) |
| Användaruppdatering | Ändra testanvändarens namn i din IdP | Uppdateras i nShift vid nästa synkronisering |
| Användaravaktivering | Ta bort tilldelningen eller inaktivera testanvändaren i din IdP | Användaren avaktiverad i nShift |
| Gruppmedlemskap | Lägg till testanvändaren i en mappad grupp i din IdP | Användaren får motsvarande nShift-behörighetsgrupper |
| Gruppborttagning | Ta bort testanvändaren från gruppen i din IdP | Behörigheter återkallades i nShift |
Var du kontrollerar i nShift Portal
- Users list – gå till Settings > Company Management > Users och bekräfta att den etablerade användaren visas med rätt namn och e-postadress.
- User detail – bekräfta att Access groups matchar din gruppmappningskonfiguration.
- Audit log – gå till Settings > Company Management > Audit Logs och bekräfta att SCIM-etableringshändelser registreras.
Felsökning
„Test connection" misslyckas
| Möjlig orsak | Lösning |
|---|---|
| Fel SCIM-slutpunkt | Kontrollera att du angav SCIM-slutpunkten exakt som den visas i nShift, utan avslutande snedstreck |
| Fel autentiseringsuppgifter | Kontrollera att Client ID och Client Secret stämmer överens med vad nShift angav |
| Secret kopierades inte | Rotera Secret: gå till User provisioning > Rotate client secret, kopiera det nya Secret och uppdatera din IdP |
| Etablering inte aktiverad | Bekräfta att fliken User provisioning i nShift visar „SCIM provisioning is enabled" |
Användare etableras inte
| Möjlig orsak | Lösning |
|---|---|
| Användare inte tilldelade appen | Tilldela användare eller grupper i din IdP:s programinställningar |
| Etableringsomfång för smalt | I Entra ID: bekräfta att Scope är inställt på „Sync assigned users and groups only" och att de relevanta användarna är tilldelade |
| Första synkroniseringen pågår fortfarande | Entra ID:s första synkronisering kan ta 20–40 min – kontrollera etableringloggarna i din IdP |
| Obligatoriska attributmappningar saknas | Se till att userName, externalId, emails och active är mappade i din IdP |
Gruppbehörigheter tillämpas inte
| Möjlig orsak | Lösning |
|---|---|
| Grupper inte mappade i nShift | Gå till fliken Group mapping och mappa externa grupper till behörighetsgrupper |
| Grupper skickas inte av IdP:n | I Okta: bekräfta att grupperna finns på fliken Push Groups. I Entra ID: bekräfta att grupperna är tilldelade nShift-applikationen |
| Synkroniseringsfördröjning | Vänta på nästa IdP-synkroniseringscykel |
Rotera autentiseringsuppgifter
- Gå till Settings > Company Management > Single-Sign On (SSO) i nShift Portal.
- Redigera din identitetsleverantör och öppna fliken User provisioning.
- Klicka på Rotate client secret.
- Kopiera det nya Client Secret. Det visas bara en gång.
- Uppdatera Client Secret i din IdP:s etableringsinställningar.
- Testa anslutningen.
Obs! Det gamla Secret ogiltigförklaras omedelbart. Uppdatera din IdP utan dröjsmål för att undvika synkroniseringsavbrott.