Skip to content
Kordoni juhised

SCIM 2.0 liidestamise juhend

Kordon toetab SCIM (System for Cross-domain Identity Management) v2.0 protokolli kasutajate ja gruppide automatiseeritud haldamiseks identiteedipakkujatelt nagu:

  • Microsoft Azure Active Directory (Entra ID)
  • Okta
  • OneLogin
  • Google Workspace
  • Mis tahes SCIM 2.0 ühilduv identiteedipakkuja

See võimaldab suurettevõtetel sünkroniseerida töötajate nimekirja automaatselt Kordoniga, kaotades vajaduse käsitsi kasutajhalduse järele.

Autentimine

Section titled “Autentimine”

SCIM žetoonide (token) haldus

Section titled “SCIM žetoonide (token) haldus”

SCIM žetoone haldavad Kordoni kasutajaliideses administraatorid:

  1. Žetoonide loomine (Ainult administraator):

    • Mine Seaded → Integratsioonid
    • Keri sektsioonini SCIM Integratsioonid
    • Klõpsa Lisa SCIM luba (Add SCIM Token)
    • Sisesta kirjeldav pealkiri (nt “Azure AD Toodang”, “Okta Test”)
    • Žetoon genereeritakse ja kuvatakse ainult ühe korra - kopeeri see kohe
    • Iga žetoon loob auditoitavuse tagamiseks spetsiaalse boti kasutaja

  2. Auditijälg:

    • Iga SCIM-i muudatus (kasutaja loomine/uuendamine/kustutamine, grupi liikmelisus) logitakse
    • Boti kasutaja nimi: SCIM Integration: {token_title}
    • Muudatused ilmuvad muudatuste ajaloos tähisega [I]
    • Täielik auditi ajalugu säilitatakse sündmuste logis

  3. Žetooni tühistamine:

    • Kustuta žetoon kasutajaliidesest → kohene kehtetuks muutumine
    • Serveri taaskäivitamine ei ole vajalik
    • IdP (identiteedipakkuja) saab järgmisel sünkroniseerimisel vastuseks 401 Unauthorized

  4. Turvalisus:

    • Žetoonid salvestatakse andmebaasis turvaliselt
    • Ligipääs žetoonide haldusele on ainult administraatoritel
    • Igal integratsioonil võib olla isoleerimiseks eraldi žetoon
    • Boti kasutajatel on admin roll (vajalik kasutajate/gruppide haldamiseks)

Seadistamine

Section titled “Seadistamine”

1. Loo SCIM žetoon kasutajaliideses

Section titled “1. Loo SCIM žetoon kasutajaliideses”

SCIM žetoone hallatakse Kordoni veebiliideses (ainult admin):

  1. Mine Seaded → Integratsioonid

    • Logi sisse administraatorina
    • Ava Seadete menüü
    • Klõpsa “Integratsioonid”

  2. Loo uus SCIM žetoon

    • Keri sektsioonini “SCIM Integratsioonid”
    • Klõpsa nupul “Lisa SCIM luba”
    • Sisesta kirjeldav pealkiri (nt “Azure AD Toodang”, “Okta Test”)
    • Klõpsa “Loo”

  3. Kopeeri žetoon

    • Žetooni kuvatakse ühe korra modaalalas
    • Kopeeri see kohe ja salvesta turvaliselt
    • Sa ei näe seda enam uuesti
    • Modaalaken näitab ka sinu SCIM-i baasaadressi (Base URL)

  4. Seadista oma identiteedipakkuja

    • Kasuta kopeeritud žetooni kui “Bearer Token” või “Secret Token”
    • Kasuta kuvatud SCIM-i baasaadressi (nt https://sinu-domeen.ee/scim/v2)
    • Vaata identiteedipakkujate seadistamise juhendeid allpool

Turvafunktsioonid:

  • Ainult administraatoritele mõeldud žetoonide haldus
  • Iga žetoon loob auditoitavuse jaoks spetsiaalse boti kasutaja
  • Boti e-post: scim-{uuid}@kordon.app
  • Kõik SCIM-i kaudu tehtud muudatused on muudatuste ajaloos tähistatud märgiga [I]
  • IdP saab pärast tühistamist järgmisel sünkroniseerimisel vastuseks 401 Unauthorized

Žetoonide haldus:

  • Loo eraldi žetoonid iga keskkonna jaoks (dev/staging/toodang)
  • Kasuta kirjeldavaid pealkirju, et tuvastada, millise IdP jaoks žetoon on mõeldud
  • Tühista žetoonid, kustutades need kasutajaliidesest
  • Jälgi SCIM-i tegevust kasutaja/grupi muudatuste ajaloost (otsi [I] tähist)

Identiteedipakkuja seadistamine

Section titled “Identiteedipakkuja seadistamine”

Microsoft Azure AD (Entra ID)

Section titled “Microsoft Azure AD (Entra ID)”

Samm 1: Loo Enterprise Application

  1. Azure Portal → Enterprise Applications → New Application
  2. Create your own application → “Kordon SCIM Integration”
  3. Vali “Non-gallery application”

Samm 2: Seadista Provisioning

  1. Vali Provisioning → Get Started
  2. Provisioning Mode: Automatic