Hva er SCIM 2.0

SCIM (System for Cross-Domain Identity Management) er en metode onVisit (5.8) bruker til automatisk synkronisering av brukere direkte fra Azure AD. På denne måten kan man benytte eksisterende grupper og enkeltbrukere i katalogen til å oppdatere brukere per firma i onVisit. 

Noen av fordelene med SCIM 2.0 er:

1. Forenklet brukeradministrasjon: SCIM 2.0 gjør det mulig for organisasjoner å integrere ulike systemer og tjenester, slik at brukerdata kan opprettes, oppdateres, og slettes sentralt. Dette eliminerer behovet for manuell synkronisering av brukerdata mellom ulike systemer.

2. Standardisert format: Med SCIM 2.0 følger en standard modell for brukeridentiteter og gruppemedlemskap. Dette betyr at uavhengig av system eller leverandør, så vil dataene være konsistente.

3. Bedre sikkerhet: Når en ansatt slutter eller endrer rolle, kan endringene reflekteres umiddelbart over alle tilknyttede systemer. Dette reduserer risikoen for uautorisert tilgang.

4. Støtte for skalerbarhet: SCIM 2.0 er designet for å kunne håndtere tusenvis av brukerendringer per sekund, noe som gjør det til en løsning som kan vokse med organisasjonens behov.

5. Reduserte kostnader: Ved å eliminere manuelle prosesser og mulige feil som følge av disse, kan organisasjoner spare både tid og penger.

6. Fleksibilitet: SCIM 2.0 støtter både JSON og XML, noe som gir bedrifter fleksibilitet når det gjelder integrasjon med forskjellige systemer.

7. Bred støtte i industrien: Som en åpen standard, har SCIM 2.0 mottatt bred støtte fra mange store teknologileverandører, noe som betyr at integrasjon ofte er smidigere og mer sømløs.

Etter fullført oppsett henter onVisit automatisk informasjon fra Azure AD og gjennomfører følgende operasjoner i onVisit:

• Legger inn nye brukere
• Oppdaterer endrede brukere
• Deaktiverer brukere som har blitt fjernet eller 'Disabled'

Synkroniseringen fra Azure AD via SCIM foregår cirka en gang hvert 40. minutt, så brukere vil raskt være oppdatert i onVisit. 

onVisit krever følgende felter på brukere som skal synkroniseres fra Azure AD via SCIM:

• Fornavn
• Etternavn

Ettersom SCIM-synkroniseringen ikke krever mobil eller epost, er det opp til firma selv å sørge for at brukerne har enten epost eller mobilnummer. Dersom man synkroniserer brukere som mangler både epost og mobil i Azure AD, vil de ikke motta varslinger fra onVisit. 

Teknisk informasjon

SCIM-provisjonering via en 'non-Gallery' 'Enterprise Application' i Azure AD støtter kun én type autentisering: registering av en langtlevende JWT-token med provisjoneringsapplikasjonen og deretter validering av dette tokenet i onVisit.

Dermed må kunder som ønsker å bruke provisjonering via SCIM til onVisit først generere en slik token i onVisit, og deretter registrere den i provisjoneringsapplikasjonen i Azure AD. Dette er tilsvarende til å sikre APIer med en hemmelig nøkkel per applikasjon som er vanligvis brukt til APIer som ikke krever direkte brukerinteraksjon.

Den hemmelige nøkkelen er unik til kunden, privat og må ikke deles, vises fram eller publiseres. Kunden bestemmer varigheten på den hemmelige nøkkelen og kan når som helst slette eksisterende, eller opprette ny hemmelig nøkkel.

Forutsetninger for oppsett

Følgende kreves for å gjennomføre oppsett av Provisioning i Azure AD via SCIM til onVisit:

• Global Administrator og/eller Application Administrator i eget Azure AD
• Rollen Firmaadministrator (eller Administrator) i onVisit
• For å importere grupper fra Azure AD kreves det P1 eller P2-lisens på brukeren som administrerer SCIM-applikasjonen i AAD. Har man ikke P1/2-lisens, kan man importere enkeltbrukere eller alle ansatte i stedet for grupper.

Oppsett

Vi starter i Azure AD-portalen

1. I menyen på venstre side velger du 'Azure Active Directory'
2. Trykk deretter på 'Enterprise applications' i menyen til venstre
3. Nå er du på siden 'All applications'. Øverst velger du 'New application':
   
4. Trykk på 'Create your own application':
   
5. I vinduet som dukker opp legger du inn navn. Bruk gjerne onVisit og navn på firmaet som skal synkroniseres. I dette tilfellet: 5802.onVisit.AdaptiveAS
   
6. I bildet over sørger du for at det nederste valget er aktivert 'Integrate any other application you don't find in the gallery (Non-gallery)', trykk deretter på 'Create'-knappen nederst. 
7. Etter å ha trykket 'Create' i steget over, kommer du til applikasjonen du nettopp opprettet. Trykk på 'Provisioning' i menyen til venstre:
   
8. I menyen til venstre under 'Manage' velger du 'Provisioning' på nytt. Deretter velger du Provisioning mode 'Automatic':
   
9. Utvid 'Admin credentials'-feltet som dukket opp etter du gjennomførte steget over.
10. I feltet Tenant URL oppgir du URL til din onVisit-side, slik: 'https://<kundenummer>.onVisit.net/onvisitservice/SCIM' hvor <kundenummer> byttes ut med nummeret på din onVisit-instans, altså siden brukerne går til for å bruke onVisit. (NB, i eksempelet under brukes '.org' som TLD i URL, men for kunder skal '.net' brukes:
    
11. Secret Token genereres og hentes fra onVisit -> Kontrollpanel -> Firma -> Rediger aktuelt firma -> Provisjoneringsnøkkel, se dokumentasjon for generering og henting av nøkkel her.
    
12. . Lim så inn Provisjoneringsnøkkelen fra steget over i feltet Secret Token i AAD:
    
    
    
13. Deretter trykker du 'Test Connection' under Secret Token-feltet. Oppe til høyre i skjermbildet skal du nå få opp melding om vellykket autorisering:
    
14. Trykk 'Save' øverst i vinduet, deretter skal du motta tilsvarende melding:
    
15. Etter innstillingene har blitt lagret i steget over, skal det nå ha dukket opp et 'Mappings'-felt som kan utvides. Dersom feltet ikke automatisk dukker opp kan du refreshe siden:
    
    
    
16. Åpne 'Provision Azure Active Directory Groups' i skjermbildet over.
17. Sett denne til 'Enabled: No' og trykk deretter 'Save' og deretter 'Yes' for å godta lagringen:
    
    
18. Gå tilbake til forrige skjembildet ved å trykke på krysset øverst til høyre. 
    Velg deretter 'Provision Azure Active Directory Users':
    
19. Under Attribute Mappings trykker du på 'userPrincipalName':
    
20. Sett 'Matching Presedence' til '2' og trykk 'OK':
    
    
    
21. I mapping-lista blar du deretter ned til 'mailNickname', og åpner denne:
     
22. Endre 'Source attribute' til 'objectId':
    
23. Endre 'Match objects using this attribute' til 'Yes':
    
24. Trykk 'OK' nederst på siden.
25. La resten av feltene under Attribute Mapping være uendret. 
    Attribute Mapping skal nå se slik ut:
    
26. Trykk deretter 'Save' etterfulgt av 'Yes' øverst på 'Attribute Mapping'-siden.
27. Trykk på krysset øverst til høyre i Azure AD for å lukke 'Attribute-mapping' siden, og trykk deretter 'Overview' øverst i menyen til venstre. 
28. Trykk 'Start provisioning':
    
29. Etter provisioning har blitt startet kan du trykke 'Refresh' til høyre, og deretter utvide 'View provisioning details':
    
30. Nå er oppsettet fullført, og vi kan legge til brukere i AAD-applikasjonen vi opprettet. Under 'Manage' i menyen til venstre velger du 'Users and groups':
    
    
    
31. Velg 'Add user/group':
     
32. Trykk på 'None selected' under 'Users and groups':
    
33. I feltet som dukker opp på venstre side kan du søke etter og legge til enkeltbrukere og grupper (trykk her for egen dokumentasjon til opprettelse av gruppe som kan synkroniseres til onVisit via SCIM i Azure AD):
    
    Dersom man har P1 eller P2 lisens på brukeren som administrerer oppsettet i Azure AD vil man kunne legge til grupper i skjembildet over.
    Dersom man har lavere lisens i Azure AD, kan man legge til enkeltbrukere i skjermbildet over.  
34. Velg 'Select' i bildet over og trykk deretter 'Assign'. 
35. Tilbake på siden for 'Users and groups' skal grupper og brukere som du la til over nå vises:
    

Etter oppsett er fullført

Etter å ha fulgt stegene over er oppsett for SCIM fra Azure AD til onVisit fullført. Synkronisering vil nå skje ca en gang hvert 40. minutt, noe som medfører at brukere bør begynne å dukke opp i onVisit etter ca en times tid. Den første synkroniseringen etter å ha gjennomført oppsett i AAD med brukere kan ta opptil noen timer, avhengig av hvor mange brukere som blir synkronisert.

Når synkroniserte brukere endres i AAD vil endringene reflekteres i onVisit etter neste sync, man skal med andre ord kunne forvente å se endringer etter det har gått en times tid.