> For the complete documentation index, see [llms.txt](https://help.steeple.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://help.steeple.com/de/administration/provisioning-scim.md).

# Automatische Bereitstellung von Mitarbeitenden (Provisioning / SCIM)

### Was ist Provisioning?

Provisioning (Bereitstellung) ist die automatische und kontinuierliche Synchronisierung von Benutzern von einem Identitätsanbieter zu Steeple. Im Gegensatz zu SSO, das nur bei der Authentifizierung wirkt, hält Provisioning die Daten dauerhaft aktuell.

#### Was automatisch synchronisiert wird

* **Identitätsdaten** : Vorname, Nachname, E-Mail
* **Zugriffsrechte** auf Communities
* **Rollenvergabe**

#### Protokoll

Steeple verwendet das Protokoll **SCIM** (System for Cross-domain Identity Management). Die Kommunikation ist **einseitig** : vom Identitätsanbieter zu Steeple.

#### Synchronisierte Ressourcen

* Benutzer
* Gruppen
* Benutzer-Gruppen-Zugehörigkeiten

### Wichtige Voraussetzung

Der **SSO muss vor dem Provisioning konfiguriert werden**. Es ist nicht möglich, nur das Provisioning einzurichten, unabhängig vom Anbieter.

### Unterstützte Anbieter

* **Azure Active Directory** (Microsoft Entra ID)
* **Okta**

Google Workspace unterstützt nur SSO, nicht das SCIM-Provisioning.

### Zuordnung Gruppen → Communities

Die Gruppen des Identitätsanbieters entsprechen nicht direkt den Steeple-Communities. Eine **Zwischenzuordnung** ist erforderlich: Jede Gruppe ist mit einem Paar (Community, Rolle) verknüpft, wodurch die Gruppenzugehörigkeit in Community-Zugriff mit einer spezifischen Rolle übersetzt wird.

**Empfehlung** : mindestens **zwei Gruppen pro Community** (Mitwirkende und Administratoren).

### Provisioning einrichten

Die Konfiguration erfolgt über **Administration** > **Integrationen** (`/administration/integrations`).

#### Provisioning mit Azure Active Directory

1. In Steeple: Verwaltung > Integrationen > Installieren > in der Identifikationssektion auf "Anzeigen" klicken, um die**SCIM-URL** und den **Bearer-Token**
   * zu erhalten. Der Token ist ein Geheimnis: niemals über einen unsicheren Kanal weitergeben (Chat, E-Mail, öffentliches Ticket)
2. In Azure: Directory Overview > Provisioning > in den Modus **Automatisch**
3. die URL (Tenant URL) und den Token (Secret Token) einfügen, die Verbindung testen
4. Falls Soft-Delete benötigt wird: eine Ausdruckszuordnung hinzufügen `Switch([IsSoftDeleted], , "False", "True", "True", "False")` auf dem Attribut **active**
5. Die vorab erstellten Gruppen in "Users and Groups" zuweisen
6. Die Bereitstellung starten — **Azure synchronisiert alle 25 bis 40 Minuten**
7. In Steeple: Rollen den verknüpften Gruppen und Communities zuweisen
8. Prüfen, ob die Anzahl der Benutzer und Gruppen übereinstimmt, dann die Synchronisierung aktivieren

#### Provisioning mit Okta

1. In Steeple: Verwaltung > Integrationen > Okta SCIM > Installieren, um die**Tenant-URL** und den **Secret Token**
   * zu erhalten. Der Token ist ein Geheimnis: niemals über einen unsicheren Kanal weitergeben (Chat, E-Mail, öffentliches Ticket)
2. zu erhalten. In Okta: General > App Settings > Provisioning manuell aktivieren > speichern
3. Provisioning > Integration > den SCIM-Konnektor konfigurieren:
   * Tenant-URL einfügen
   * Eindeutige Kennung: **userName**
   * Nur die Kästchen ankreuzen **Push**
   * Authentifizierungsmethode: **HTTP Header** mit dem Secret Token
   * Testen und dann speichern
4. Provisioning > Settings > To App: aktivieren **Create Users**, **Update User Attributes**, **Deactivate Users**
5. Benutzer/Gruppen zuweisen, Push Groups für die Zuordnung zu den Communities konfigurieren
6. Die Synchronisierung in Steeple aktivieren — **Okta übernimmt Änderungen nahezu sofort**

### Wichtige Warnhinweise

* **Einen Benutzer deaktivieren oder löschen** aufseiten des Identitätsanbieters **entfernt den Benutzer aus der Steeple-Organisation** und macht seine Beiträge unsichtbar
* Nur ein manueller Eingriff des Supports kann die Beiträge eines entfernten Benutzers neu zuordnen
* Jeder Benutzer, der im Unternehmensverzeichnis fehlt, wird **alle seine Zugriffe entzogen bekommen** standardmäßig

### Zusätzliche Optionen

* **Automatischer Versand von Einladungs-E-Mails** an neu erstellte Benutzer (optional mit SSO, da SSO die Anmeldung ohne Einladung ermöglicht)
* **Manuelle Erstellung von Konten** außerhalb des Unternehmensverzeichnisses (diese Konten verwenden die klassische Authentifizierung per E-Mail/Passwort und müssen manuell gelöscht werden)

### Was der Assistent tun kann

Der Assistent kann den Benutzer zur Seite führen **Integrationen** via navigate\_to und die Konzepte des Provisioning erklären. Für die detaillierte technische Konfiguration auf <https://help.steeple.com/> verweisen


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://help.steeple.com/de/administration/provisioning-scim.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.