Ctrlk

Automatische Bereitstellung der Mitarbeiter (Provisioning / SCIM)

Was ist Provisioning?

Provisioning (Bereitstellung) ist die automatische und kontinuierliche Synchronisierung von Benutzern von einem Identitätsanbieter zu Steeple. Im Gegensatz zu SSO, das nur bei der Authentifizierung wirkt, hält Provisioning die Daten dauerhaft aktuell.

Was automatisch synchronisiert wird

  • Identitätsdaten : Vorname, Nachname, E-Mail

  • Zugriffsrechte auf Communities

  • Rollenvergabe

Protokoll

Steeple verwendet das Protokoll SCIM (System for Cross-domain Identity Management). Die Kommunikation ist einseitig : vom Identitätsanbieter zu Steeple.

Synchronisierte Ressourcen

  • Benutzer

  • Gruppen

  • Benutzer-Gruppen-Zugehörigkeiten

Wichtige Voraussetzung

Der SSO muss vor dem Provisioning konfiguriert werden. Es ist nicht möglich, nur das Provisioning einzurichten, unabhängig vom Anbieter.

Unterstützte Anbieter

  • Azure Active Directory (Microsoft Entra ID)

  • Okta

Google Workspace unterstützt nur SSO, nicht das SCIM-Provisioning.

Zuordnung Gruppen → Communities

Die Gruppen des Identitätsanbieters entsprechen nicht direkt den Steeple-Communities. Eine Zwischenzuordnung ist erforderlich: Jede Gruppe ist mit einem Paar (Community, Rolle) verknüpft, wodurch die Gruppenzugehörigkeit in Community-Zugriff mit einer spezifischen Rolle übersetzt wird.

Empfehlung : mindestens zwei Gruppen pro Community (Mitwirkende und Administratoren).

Provisioning einrichten

Die Konfiguration erfolgt über Administration > Integrationen (/administration/integrations).

Provisioning mit Azure Active Directory

  1. In Steeple: Verwaltung > Integrationen > Installieren > in der Identifikationssektion auf "Anzeigen" klicken, um dieSCIM-URL und den Bearer-Token

    • zu erhalten. Der Token ist ein Geheimnis: niemals über einen unsicheren Kanal weitergeben (Chat, E-Mail, öffentliches Ticket)

  2. In Azure: Directory Overview > Provisioning > in den Modus Automatisch

  3. die URL (Tenant URL) und den Token (Secret Token) einfügen, die Verbindung testen

  4. Falls Soft-Delete benötigt wird: eine Ausdruckszuordnung hinzufügen Switch([IsSoftDeleted], , "False", "True", "True", "False") auf dem Attribut active

  5. Die vorab erstellten Gruppen in "Users and Groups" zuweisen

  6. Die Bereitstellung starten — Azure synchronisiert alle 25 bis 40 Minuten

  7. In Steeple: Rollen den verknüpften Gruppen und Communities zuweisen

  8. Prüfen, ob die Anzahl der Benutzer und Gruppen übereinstimmt, dann die Synchronisierung aktivieren

Provisioning mit Okta

  1. In Steeple: Verwaltung > Integrationen > Okta SCIM > Installieren, um dieTenant-URL und den Secret Token

    • zu erhalten. Der Token ist ein Geheimnis: niemals über einen unsicheren Kanal weitergeben (Chat, E-Mail, öffentliches Ticket)

  2. zu erhalten. In Okta: General > App Settings > Provisioning manuell aktivieren > speichern

  3. Provisioning > Integration > den SCIM-Konnektor konfigurieren:

    • Tenant-URL einfügen

    • Eindeutige Kennung: userName

    • Nur die Kästchen ankreuzen Push

    • Authentifizierungsmethode: HTTP Header mit dem Secret Token

    • Testen und dann speichern

  4. Provisioning > Settings > To App: aktivieren Create Users, Update User Attributes, Deactivate Users

  5. Benutzer/Gruppen zuweisen, Push Groups für die Zuordnung zu den Communities konfigurieren

  6. Die Synchronisierung in Steeple aktivieren — Okta übernimmt Änderungen nahezu sofort

Wichtige Warnhinweise

  • Einen Benutzer deaktivieren oder löschen aufseiten des Identitätsanbieters entfernt den Benutzer aus der Steeple-Organisation und macht seine Beiträge unsichtbar

  • Nur ein manueller Eingriff des Supports kann die Beiträge eines entfernten Benutzers neu zuordnen

  • Jeder Benutzer, der im Unternehmensverzeichnis fehlt, wird alle seine Zugriffe entzogen bekommen standardmäßig

Zusätzliche Optionen

  • Automatischer Versand von Einladungs-E-Mails an neu erstellte Benutzer (optional mit SSO, da SSO die Anmeldung ohne Einladung ermöglicht)

  • Manuelle Erstellung von Konten außerhalb des Unternehmensverzeichnisses (diese Konten verwenden die klassische Authentifizierung per E-Mail/Passwort und müssen manuell gelöscht werden)

Was der Assistent tun kann

Der Assistent kann den Benutzer zur Seite führen Integrationen via navigate_to und die Konzepte des Provisioning erklären. Für die detaillierte technische Konfiguration auf https://help.steeple.com/ verweisen

VorherigeÜbersicht der Steeple-VerwaltungNächsteWie verlasse ich eine Community?

Zuletzt aktualisiert

War das hilfreich?