Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

SCIM

Diese Seite erklärt, wie Sie die SCIM-Konfiguration von Dastra mit einem Unternehmensverzeichnis vom Typ Azure Active Directory (Cloud) einrichten

Funktionsprinzip

SCIM, die englische Abkürzung für System for Cross-domain Identity Management (übersetzt: „System für domänenübergreifendes Identitätsmanagement"), ist ein offener Standard, der die Automatisierung der Nutzerbereitstellung unterstützt. Das SCIM-Protokoll ist ein Vermittler: Es sammelt Identitätsdaten der Nutzer bei den Identitätsanbietern (Azure AD, Google Workspace, Okta...) und übermittelt sie an die Dienstanbieter, die diese Identifikationsinformationen benötigen (wie Dastra).

Die SCIM-Funktionalität ist Kunden mit einem Enterprise-Plan vorbehalten.

Konsultieren Sie unsere Preisseite

Wir empfehlen Ihnen dringend, vorab die SSO-Einrichtung mit aktivierter Option „Für alle Nutzer erzwingen" durchzuführen.

Wie konfiguriere ich SCIM mit Azure Active Directory?

Die Nutzer von Dastra können über SCIM 2.0 hinzugefügt, gelöscht und geändert werden.

Sie definieren Gruppen in Ihrem Azure Directory und Dastra kann diese Nutzer synchronisieren. Dies ist ein idealer Weg, um Zeit zu sparen und den Aufwand der Nutzerkontenverwaltung zu vermeiden. Es handelt sich auch um eine ideale Sicherheitsimplementierung.

1. Melden Sie sich bei Azure an und klicken Sie auf Azure Active Directory

01-Azure-SCIM

2. Gehen Sie zu „Entreprise applications"

01-Azure-SCIM

3. Klicken Sie auf „New application"

03-Azure-SCIM

4. Klicken Sie auf „Create your own application"

04-Azure-SCIM

5. Benennen Sie Ihre Anwendung

6. Klicken Sie in der neu erstellten Anwendung auf die Schaltfläche „Provision User Accounts"

06-Azure-SCIM

7. Klicken Sie auf „Get Started"

07-Azure-SCIM

8. Setzen Sie den Bereitstellungsmodus auf automatisch. Füllen Sie die Mandanten-URL und das Geheimnis-Token mit den Informationen aus Ihrem Dastra-Konto aus.

Melden Sie sich bei Dastra als Administrator an. Gehen Sie zur Organisationskonfiguration > klicken Sie auf Sicherheit / SCIM

Klicken Sie auf die Schaltfläche Konfigurieren

Konfigurieren Sie Ihr SCIM. Wählen Sie den Mandanten aus, den Sie synchronisieren möchten (die Teams und Nutzer werden automatisch in diesem Mandanten bereitgestellt).

Wählen Sie dann die Standardrolle, die Sie neuen Nutzern zuweisen möchten. Beachten Sie, dass die Rollen lokal vom Dastra-Kontoadministrator verwaltet werden.

Klicken Sie auf Speichern

Kopieren Sie das Authentifizierungs-Token und die SCIM-URL

Derzeit ermöglicht Dastra die SCIM-Synchronisation (Teams + Nutzer) von nur einem Mandanten pro Organisation.

Klicken Sie auf „Verbindung testen" und „Speichern". Wenn beim Verbindungstest ein Fehler auftritt, kann dies an einer nicht aktivierten Funktion in Ihrem Abonnement liegen. Kontaktieren Sie dann den Support

9. Aktivieren Sie die Bereitstellung der Anwendung

10. Fügen Sie Nutzer und/oder Gruppen zur erstellten Anwendung hinzu

Lassen Sie Ihre Nutzer sich verbinden

Sie sollten sehen, dass sich die Nutzerkonten Ihres AD automatisch in Dastra synchronisieren. Wenn sie sich über die Anmeldeseite bei Dastra anmelden, sollten sie sich mit ihrer E-Mail verbinden können. Wenn das SSO nicht konfiguriert und für alle Nutzer erzwungen ist, müssen die Nutzer ein Passwort-Reset durchführen, um sich anzumelden. Wenn das SSO aktiv ist und für alle Nutzer erzwungen wird, werden diese automatisch zum Anmeldeformular Ihres Identitätsanbieters (Azure AD, Google Workspace, Okta...) weitergeleitet.

Verhaltensweisen und Einschränkungen der SCIM-Synchronisation

Verwaltung des Nutzer-Lebenszyklus

Deaktivierung in Entra ID

Wenn ein Nutzer in Entra ID deaktiviert wird:

  • Sein Profil wird in Dastra anonymisiert

  • Wenn er anschließend reaktiviert wird:

    • Ein neues Nutzerkonto wird erstellt

    • Das alte anonymisierte Konto wird nicht wiederhergestellt

Vollständige Löschung in Entra ID

Wenn ein Nutzer in Entra ID endgültig gelöscht wird:

  • Sein Profil wird vollständig in Dastra anonymisiert

  • Alle durchgeführten Aktionen werden beibehalten

  • Der Nutzer erscheint als „deleted user"

Auswirkung auf verknüpfte Daten:

  • Verknüpfte Objekte (z. B.: Verarbeitungen, Risiken, Anfragen usw.) werden nicht gelöscht

  • Beziehungen (z. B.: Inhaber, Zuweisung) bleiben erhalten

  • Nur die Identität des Nutzers wird anonymisiert

Verwaltung von Gruppen (Teams)

Löschung einer Gruppe in Entra ID

Wenn eine Gruppe in Entra ID gelöscht wird:

  • Das entsprechende Team wird in Dastra gelöscht

  • Die Nutzer werden nicht gelöscht

  • Keine Auswirkung auf ihre individuellen Konten

Mapping und Synchronisationsumfang

Gruppen und Workspaces

  • SCIM ermöglicht die Synchronisation mehrerer Gruppen

  • Aktuelle Einschränkung:

    • Synchronisation möglich zu nur einem Workspace pro Organisation

    • Multi-Workspace wird nicht unterstützt

Synchronisierte Attribute

Derzeit synchronisiert Dastra:

  • Den Gruppennamen (displayName)

Derzeit nicht unterstützt:

  • Mapping auf Organisationseinheiten

  • Synchronisation von Attributen wie:

    • Organisation

    • Land

Eine Weiterentwicklung ist durch Hinzufügen eines spezifischen Attributs möglich, das eine auf Dastra-Seite verwertbare Kennung enthält.

Lokale Verwaltung nach Synchronisation

Nach der SCIM-Synchronisation:

  • Administratoren können weiterhin:

    • Rollen ändern

    • Berechtigungen anpassen

  • Die feingrakulare Zugriffsverwaltung bleibt lokal in Dastra möglich

Auswirkung auf die Lizenz

  • Die SCIM-Synchronisation ist begrenzt durch:

    • die Anzahl der in Ihrem Abonnement enthaltenen Nutzer

  • Bei Überschreitung des Kontingents:

    • gibt der SCIM-Server einen Fehler zurück

    • Zusätzliche Nutzer werden nicht bereitgestellt

Zuletzt aktualisiert

War das hilfreich?