SCIM-Verzeichnissynchronisierung konfigurieren (Provisionierung)
Sobald Single Sign-On aktiv ist, kann CalendarBridge Benutzerkonten automatisch aus Ihrem Identitätsanbieter mit SCIM 2.0 erstellen, aktualisieren und deaktivieren. Das bedeutet, dass Benutzer in dem Moment provisioniert werden, in dem sie in Ihrem Verzeichnis zugewiesen werden, und in dem Moment deprovisioniert werden, in dem sie ausscheiden – ohne manuelle Lizenzverwaltung.
Was die SCIM-Provisionierung leistet
SCIM (System for Cross-domain Identity Management) ist der offene Standard, den Identitätsanbieter verwenden, um Lebenszyklusänderungen von Benutzern an Anwendungen zu übermitteln. Mit aktiviertem SCIM sendet Ihr IdP CalendarBridge eine Anfrage, wann immer ein Benutzer zugewiesen, aktualisiert oder entfernt wird, und CalendarBridge hält seine Benutzerliste automatisch synchron.
- Standard: SCIM 2.0.
- Voraussetzung: eine aktive SSO-Konfiguration für dieselbe verifizierte Domain. Siehe zuerst Single Sign-On konfigurieren – der SCIM-Abschnitt erscheint unter jeder aktiven SSO-Konfiguration.
- Wer es konfigurieren kann: nur ein CalendarBridge-Organisationsadministrator.
- Vorgänge: Benutzer erstellen, Benutzerattribute aktualisieren und Benutzer deaktivieren (deprovisionieren).
Ihr SCIM-Endpunkt und -Token
Wenn SCIM für eine Domain aktiviert ist, zeigt der Single-Sign-On-Tab zwei Werte, die Ihr Identitätsanbieter benötigt:
| Wert | Beschreibung |
|---|---|
| SCIM-Endpunkt (Base URL / Tenant URL) | Die Basis-URL, an die Ihr IdP SCIM-Anfragen sendet. Kopieren Sie sie mit der Schaltfläche Kopieren aus dem SSO-Tab. |
| Bearer-Token (API token / Secret token) | Das Authentifizierungstoken, das Ihr IdP bei jeder Anfrage vorlegt. Es wird nur einmal bei der Generierung oder Rotation angezeigt – kopieren Sie es sofort und speichern Sie es in Ihrem IdP. |
Authentifizierung
CalendarBridge authentifiziert SCIM-Anfragen mit einem OAuth-2.0-Bearer-Token, das im HTTP-Authorization-Header vorgelegt wird. Geben Sie das Token im SCIM-Connector Ihres IdP genau wie angezeigt ein (in Okta fügen Sie das Wort „Bearer“ nicht hinzu – Okta fügt es hinzu). Sie können das Token jederzeit aus dem SCIM-Abschnitt rotieren, ohne SSO neu zu konfigurieren.
Unterstützte Ressourcen und Attribute
CalendarBridge implementiert die SCIM-2.0-Ressource Users. Die Attribute, die CalendarBridge liest, sind unten aufgeführt; zusätzliche von Ihrem IdP gesendete Attribute werden akzeptiert und ignoriert.
| SCIM-Attribut | Wird zugeordnet zu in CalendarBridge | Hinweise |
|---|---|---|
userName | Eindeutiger Login des Benutzers (E-Mail) | Erforderlich. Muss auf einer für die Organisation verifizierten Domain liegen. |
emails[primary] / emails[work] | E-Mail-Adresse | Wird verwendet, um den Benutzer Ihrer Domain und SSO zuzuordnen. |
name.givenName | Vorname | Füllt den Anzeigenamen aus. |
name.familyName | Nachname | Optional. |
active | Konto aktiviert / deaktiviert | Das Setzen von active=false deprovisioniert (deaktiviert) den CalendarBridge-Benutzer. |
active=false setzt (Soft Delete), wodurch der Benutzer in CalendarBridge deaktiviert und seine Lizenz freigegeben wird. Eine erneute Zuweisung des Benutzers reaktiviert ihn.SCIM in Ihrem Identitätsanbieter aktivieren
Öffnen Sie den Single-Sign-On-Tab, suchen Sie die aktive Konfiguration für Ihre Domain und scrollen Sie zum Abschnitt SCIM. Wählen Sie Ihren Identitätsanbieter aus der integrierten Anleitung für genaue Menüpfade aus und folgen Sie dann den Schritten für Ihren IdP unten. In jedem Fall fügen Sie den SCIM-Endpunkt und das Bearer-Token aus dem Portal ein.
Microsoft Entra ID (Azure AD)
-
Öffnen Sie das Provisioning-Blade der App
Gehen Sie im Microsoft Entra Admin Center zu Enterprise applications, öffnen Sie Ihre CalendarBridge-App und wählen Sie Provisioning.
-
Setzen Sie den Provisioning Mode auf Automatic
Geben Sie dann die Anmeldedaten ein: Tenant URL = der SCIM-Endpunkt aus dem Portal; Secret Token = das Bearer-Token aus dem Portal.
-
Test Connection, dann Save
Klicken Sie auf Test Connection, um zu bestätigen, dass Entra ID den Endpunkt erreichen und sich authentifizieren kann, dann Save. Belassen Sie die standardmäßigen Benutzerattributzuordnungen.
-
Schalten Sie die Provisionierung ein und weisen Sie Benutzer zu
Setzen Sie Provisioning Status auf On und speichern Sie. Weisen Sie unter Users and groups die zu synchronisierenden Benutzer oder Gruppen zu. Entra ID provisioniert sie in seinem nächsten Zyklus.
Okta
-
Öffnen Sie den Provisioning-Tab
Öffnen Sie in Okta Admin Ihre CalendarBridge-App, gehen Sie zum Tab Provisioning und klicken Sie auf Configure API Integration → Enable API integration.
-
Geben Sie die SCIM-Anmeldedaten ein
Base URL = der SCIM-Endpunkt aus dem Portal; API token = das Bearer-Token aus dem Portal (ohne
Bearer-Präfix). Klicken Sie auf Test API Credentials, dann Save. -
Aktivieren Sie Provisionierungsaktionen
Aktivieren Sie unter Provisioning → To App die Optionen Create Users, Update User Attributes und Deactivate Users.
-
Weisen Sie Benutzer oder Gruppen zu
Weisen Sie der App Benutzer oder Gruppen zu; Okta übermittelt sie sofort an CalendarBridge.
Google Workspace
-
Öffnen Sie Auto-provisioning
Gehen Sie in der Google Admin-Konsole zu Apps → Web and mobile apps, öffnen Sie Ihre CalendarBridge-SAML-App und klicken Sie auf Auto-provisioning.
-
Geben Sie die SCIM-Anmeldedaten ein
Base URL = der SCIM-Endpunkt aus dem Portal; API token = das Bearer-Token aus dem Portal. Klicken Sie auf Test connection.
-
Ordnen Sie Attribute zu
Ordnen Sie Primary email → userName, First name → name.givenName, Last name → name.familyName zu.
-
Legen Sie den Umfang fest und schalten Sie es ein
Wählen Sie die zu provisionierenden Benutzer, OUs oder Gruppen aus und schalten Sie dann Auto-provisioning ON.
JumpCloud
-
Öffnen Sie Identity Management
Öffnen Sie in JumpCloud Admin Ihre CalendarBridge-SAML-App und gehen Sie zum Tab Identity Management.
-
Aktivieren Sie SCIM und geben Sie die Anmeldedaten ein
Base URL = der SCIM-Endpunkt aus dem Portal; Token = das Bearer-Token aus dem Portal. Klicken Sie auf Test und Save.
-
Weisen Sie Benutzer oder Gruppen zu
Weisen Sie der App Benutzer oder Benutzergruppen zu; JumpCloud synchronisiert sie mit CalendarBridge.
Das SCIM-Token rotieren
Wenn ein Token offengelegt oder verloren wird oder Sie es einfach nach einem Zeitplan rotieren möchten, klicken Sie auf Token rotieren im SCIM-Abschnitt. Das neue Token wird einmal angezeigt; das vorherige Token funktioniert sofort nicht mehr, aktualisieren Sie es daher umgehend im SCIM-Connector Ihres IdP, um eine Synchronisierungsunterbrechung zu vermeiden.
Fehlerbehebung
| Symptom | Wahrscheinliche Ursache & Lösung |
|---|---|
| Testverbindung schlägt mit 401 / unauthorized fehl | Das Bearer-Token ist falsch oder wurde rotiert. Kopieren Sie das aktuelle Token aus dem SCIM-Abschnitt (bei Bedarf rotieren) und geben Sie es erneut ein. Stellen Sie in Okta sicher, dass Sie kein Bearer-Präfix hinzugefügt haben. |
| Benutzer werden nicht erstellt | Bestätigen Sie, dass die Provisionierung eingeschaltet ist und die Benutzer der App in Ihrem IdP zugewiesen sind und dass ihre E-Mail auf einer verifizierten Domain liegt. |
| Fehler vom Typ „User must exist on a verified domain“ | Der userName/die E-Mail des Benutzers liegt auf einer Domain, die für diese Organisation nicht verifiziert ist. Fügen Sie die Domain hinzu und verifizieren Sie sie, oder beschränken Sie den Provisionierungsumfang auf verifizierte Domains. |
| Entfernte Benutzer haben weiterhin Zugriff | Die Deprovisionierung erfolgt, wenn der IdP active=false sendet. Stellen Sie sicher, dass Deactivate Users (oder das Äquivalent Ihres IdP) aktiviert ist und die Zuweisung des Benutzers aufgehoben und er nicht nur ausgeblendet wurde. |
Hilfe erhalten
Wenn sich die SCIM-Provisionierung nicht wie erwartet verhält, wenden Sie sich an den CalendarBridge-Support und geben Sie die Domain Ihrer Organisation, Ihren Identitätsanbieter und eine Beschreibung dessen an, was zugewiesen wurde im Vergleich zu dem, was synchronisiert wurde.