Suporte SCIM 2.0

O Nullcore suporta o SCIM 2.0 (Sistema para gerenciamento de identidade de domínio cruzado) para o provisionamento automatizado de usuários e grupos de provedores de identidade como Okta, Azure AD e Google Workspace.

Visão geral

O SCIM é um padrão aberto que permite a automação do provisionamento do usuário. Quando ativado, seu provedor de identidade pode automaticamente:

Crie usuários em webui aberto quando forem adicionados à sua organização
Atualize as informações do usuário quando as alterações são feitas
Desative os usuários quando eles são removidos de sua organização
Gerenciar associações de grupo

Configuração

O SCIM é configurado inteiramente através de variáveis de ambiente. Não há configuração de interface do usuário para configurações do SCIM.

Variáveis de ambiente

Configure o SCIM definindo essas variáveis de ambiente:

SCIM_ENABLED: Definido comotruePara ativar o suporte SCIM (padrão:false
SCIM_TOKEN: O token do portador para autenticação SCIM (exigido quando o SCIM estiver ativado)

Nota de segurança

O token SCIM deve ser uma string segura e gerada aleatoriamente. Você pode gerar um usando:

OpenSSL rand -base64 32

Mantenha esse token seguro, pois fornece acesso às operações de gerenciamento de usuários.

Exemplo de configuração

# Enable scim
exportar scim_enabled = true

# Defina um token seguro (substitua por seu próprio token gerado)
exportar scim_token = "sua teta-token-here"

Configuração do SCIM API

Ao configurar seu provedor de identidade, use as seguintes configurações:

Scim Base URL<your-nullcore-url>/api/v1/scim/v2/
Autenticação: Token do portador
TokenBearer <your-scim-token>

Exemplo para provedores de identidade populares

OKTA

Em Okta, adicione o aplicativo SCIM
Defina o URL da base do conector SCIM como:https://your-domain.com/api/v1/scim/v2/
Defina a autenticação como "Cabeçalho HTTP"
Adicione o cabeçalho da autorização com valor:Bearer your-scim-token

Operações SCIM suportadas

A implementação SCIM da Nullcore suporta as seguintes operações:

Operações do usuário

Criar usuárioPOST /Users): Crie uma nova conta de usuário
Obtenha usuárioGET /Users/{id}): Recupere as informações do usuário
Atualize o usuárioPUT /Users/{id}, Assim,PATCH /Users/{id}): Atualize os atributos do usuário
Excluir usuárioDELETE /Users/{id}): Desative uma conta de usuário
Liste os usuáriosGET /Users): Liste todos os usuários com suporte de filtragem

Operações de grupo

Criar grupoPOST /Groups): Crie um novo grupo
Obtenha grupoGET /Groups/{id}): Recuperar informações do grupo
Grupo de atualizaçãoPUT /Groups/{id}, Assim,PATCH /Groups/{id}): Atualizar associação ao grupo
Excluir grupoDELETE /Groups/{id}): Remova um grupo
Grupos de listasGET /Groups): Liste todos os grupos com suporte de filtragem

Atributos suportados

Atributos do usuário

userName: O endereço de e -mail do usuário (necessário, exclusivo)
name.givenName: Primeiro nome
name.familyName: Sobrenome
emails: Endereços de e -mail
active: Status do usuário (ativo/inativo)
externalId: Identificador externo do provedor de identidade

Atributos do grupo

displayName: Nome do grupo (exigido)
members: Matriz de membros do usuário
externalId: Identificador externo do provedor de identidade

Suporte de filtragem

A API SCIM suporta filtragem para usuários e grupos:

Get/api/v1/scim/v2/usuários? Filtro = nome de usuário eq "user@example.com"
Get/api/v1/scim/v2/grupos? Filtro = displayname eq "engenharia"

Operadores de filtro suportados:

eq: Igual a
ne: Não é igual
co: Contém
sw: Começa com
ew: Termina com
pr: Presente (tem valor)
gt: Maior que
ge: Maior ou igual
lt: Menor que
le: Menos ou igual

Solução de problemas

Questões comuns

401 erros não autorizados
- Verifique issoSCIM_ENABLEDestá definido comotrue
- Verifique se o token do portador em seu provedor de identidade correspondeSCIM_TOKEN
- Verifique se o formato do cabeçalho da autorização é:Bearer <token>
404 não encontrados erros
- Verifique se o URL da base do SCIM termina com/api/v1/scim/v2/
- Verifique se o caminho inclui o/api/v1prefixo
Falhas de criação de usuários
- Garanta ouserNameO campo contém um endereço de e -mail válido
- Verifique se o email ainda não está em uso

Testando pontos de extremidade SCIM

Você pode testar os terminais do SCIM usando o CURL:

# Teste de autenticação e listar usuários
Curl -H "Autorização: Portador Your-Scim-Token" \
https://your-domain.com/api/v1/scim/v2/users

# Obtenha um usuário específico
Curl -H "Autorização: Portador Your-Scim-Token" \
https://your-domain.com/api/v1/scim/v2/users/user-id

# Crie um usuário de teste
Curl -x post \
-H "Autorização: Portador seu Scim-Token" \
-H "Tipo de Conteúdo: Application/Scim+JSON" \
-d '{
"Esquemas": ["urn: IETF: params: scim: esquemas: núcleo: 2.0: user"],
"Nome de usuário": "test@example.com",
"nome": {
"Givenname": "Teste",
"FamilyName": "Usuário"

"E -mails": [{
"Valor": "test@example.com",
"Primário": verdadeiro

"Ativo": verdadeiro
} '\
https://your-domain.com/api/v1/scim/v2/users

Considerações de segurança

Use https: Sempre use https na produção para proteger o token do portador
Armazenamento de token seguro: Armazene o token scim com segurança e gire -o periodicamente
Lista de permissões IP: Considere restringir o acesso da API SCIM aos endereços IP do seu provedor de identidade
Auditoria log: Operações SCIM são registradas para auditoria de segurança

Limitações

As extensões de esquema personalizadas não são atualmente suportadas
Operações em massa não são implementadas
ETAGS para versão de recursos não são suportados

Integração com SSO

O SCIM funciona melhor quando combinado com o SSO (assinatura única). Uma configuração típica inclui:

SCIM para provisionamento automatizado de usuários
OIDC para autenticação de usuário

Isso garante que os usuários sejam criados automaticamente e possam autenticar imediatamente usando suas credenciais corporativas.

Para configuração de SSO, consulte oDocumentação do SSO