Mit Inbound SCIM können Sie Nutzer- und Gruppendaten aus einem externen Verzeichnis mit Ihrem Google Cloud-Verzeichnis synchronisieren. Die Synchronisierung findet in der Cloud statt, sodass Sie keinen Synchronisierungsclient oder lokale Software installieren müssen. Inbound SCIM ist ideal, wenn Sie inkrementelle Echtzeit-Updates einrichten möchten, um Ihre Verzeichnisse konsistent zu halten.
Was wird von Inbound SCIM unterstützt?
Inbound SCIM wird von den meisten Identitätsanbietern (Identity Providers, IdPs) und Personalverwaltungssystemen (Human Resources Information Systems, HRIS) unterstützt. Unsere APIs können mit jedem IdP, HRIS oder jeder benutzerdefinierten Anwendung verwendet werden, die den SCIM 2.0-Standard unterstützt.
Wie funktioniert Inbound SCIM?
Wenn Sie eine Inbound SCIM-Verbindung einrichten, erstellt das System automatisch ein von Google verwaltetes Dienstkonto mit den Rollen Administrator für Nutzerverwaltung und Gruppenadministrator. Außerdem erstellen Sie API-Schlüssel, die zur Authentifizierung des Dienstkontos bei der Synchronisierung von Ihrem IdP verwendet werden. Ihre synchronisierten Gruppen sind standardmäßig gesperrt, um die Konsistenz zwischen Ihren Verzeichnissen zu gewährleisten.
Wie funktionieren Inbound SCIM-API-Schlüssel?
API-Schlüssel werden für die SCIM-Verbindung erstellt und an das zugehörige Dienstkonto gebunden. Anfragen, bei denen der API-Schlüssel zum Aufrufen von Verzeichnisaktualisierungen verwendet wird, nutzen die Berechtigungen des Dienstkontos. Wenn die Verbindung gelöscht wird, werden auch das Dienstkonto und alle zugehörigen API-Schlüssel gelöscht.
Weitere Informationen zu Inbound SCIM-API-Schlüsseln:
- Da die API-Schlüssel und Dienstkonten in der Google Workspace Admin-Konsole verwaltet werden, werden sie nicht in der Google Cloud Admin-Konsole angezeigt.
- Die API-Schlüssel können nur für den Cloud Identity SCIM API-Endpunkt verwendet werden.
Administratoren sollten außerdem beachten, dass Workspace-Administratorkonten manuell synchronisiert werden müssen. Dienstkonten, die mit Inbound SCIM-Verbindungen verknüpft sind, haben keine Berechtigung zum Verwalten von Administratorkonten.
Wie funktioniert das Sperren synchronisierter Gruppen?
Wenn Sie eine neue Inbound SCIM-Verbindung erstellen, ist die Einstellung Synchronisierte Gruppen sperren standardmäßig aktiviert. So wird die Konsistenz zwischen Identitätsanbietern gewährleistet, da Nutzer keine Änderungen an Ihrem Verzeichnis vornehmen können.
- Erste Verarbeitung:Wenn eine Gruppe zum ersten Mal über eine SCIM-Anfrage erstellt oder aktualisiert wird, wird die Einstellung Synchronisierte Gruppen sperren aus Ihrer Verbindung angewendet. Danach wird die Gruppe als verarbeitet markiert.
- Manuelles Entsperren:Wenn ein Administrator eine verarbeitete Gruppe manuell entsperrt, wird sie durch SCIM-Updates nicht wieder gesperrt. Die Überschreibung bleibt bestehen, bis die Einstellungen für die SCIM-Verbindung aktualisiert werden.
- Verbindungeinstellungen ändern:Wenn Sie die Einstellung Synchronisierte Gruppen sperren für Ihre SCIM-Verbindung aktualisieren, wird die neue Einstellung bei der nächsten SCIM-Anfrage auf die zugehörigen Gruppen angewendet.
Weitere Informationen zum Sperren von Gruppen, um Daten synchron zu halten.
Hinweis
Bevor Sie Inbound SCIM verwenden können, benötigen Sie Folgendes:
- Ein Google Cloud- oder Cloud Identity-Konto mit einer Super Admin-Rolle oder einer benutzerdefinierten Rolle mit der Berechtigung „Verwaltung der Einstellungen für die eingehende SCIM-Verzeichnissynchronisierung“ in der Admin-Konsole. Ausführliche Informationen finden Sie unter Vordefinierte Administratorrollen.
- Eine Google Cloud-Organisationsressource. Informationen zum Abrufen einer Organisationsressource.
Wenn Sie Hilfe bei der Verwaltung von Inbound SCIM-Verbindungen benötigen, können Sie einem anderen Administrator in der Admin-Konsole die Berechtigung Verwaltung der Einstellungen für die eingehende SCIM-Verzeichnissynchronisierung erteilen. Wenn ein anderer Administrator die Einstellungen ansehen, aber nicht aktualisieren soll, können Sie ihm die Berechtigung Lesen der SCIM-Directory Sync-Einstellungen für eingehende Daten erteilen.
Inbound SCIM einrichten
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü
Verzeichnis
Externe Verzeichnisse.
Hierfür ist die Berechtigung „Verwaltung der Einstellungen für die eingehende SCIM-Verzeichnissynchronisierung“ erforderlich.
- Klicken Sie auf Inbound SCIM einrichten , wenn Sie noch keine anderen Synchronisierungen eingerichtet haben. Wenn Sie die Verzeichnissynchronisierung bereits konfiguriert haben, öffnen Sie den Tab Inbound SCIM und wählen Sie SCIM-Connector hinzufügen aus.
Fügen Sie einen Verbindungsnamen für diese Synchronisierung hinzu.
Hinweis:Wählen Sie einen kurzen, beschreibenden Namen aus. Die ersten 18 Zeichen des Namens (ohne Leerzeichen) bilden die E-Mail-Adresse für das Dienstkonto, das für diese SCIM-Verbindung erstellt wurde.
Kopieren Sie die SCIM-Endpunkt-URL und speichern Sie sie. Fügen Sie sie Ihrem externen Identitätsanbieter hinzu, um eine Verbindung herzustellen.
Die Einstellung Synchronisierte Gruppen sperren ist standardmäßig aktiviert. Wenn Sie diese Einstellung aktivieren, wird die Konsistenz zwischen Identitätsanbietern gewährleistet.
Klicken Sie auf Speichern und fortfahren.
Klicken Sie auf API-Schlüssel generieren.
In einem Pop-up-Fenster wird ein generierter API-Schlüssel angezeigt. Kopieren Sie ihn und fügen Sie ihn an einer Stelle ein, an der Sie ihn wieder aufrufen können. Klicken Sie dann auf In die Zwischenablage kopieren und schließen.
Hinweis:Nachdem Sie das Dialogfeld geschlossen haben, können Sie den Schlüssel nicht mehr sehen. Sie können bis zu zwei Schlüssel generieren sowie löschen und neu generieren, wenn Sie neue benötigen.
Verwenden Sie in Ihrem externen IdP oder einem anderen SCIM-Client den API-Schlüssel als Bearertoken, um SCIM API-Anfragen zu autorisieren.
Wenn Sie zur Seite „Externe Verzeichnisse“ zurückkehren, können Sie Ihre Verbindungen für Directory Sync oder Inbound SCIM überprüfen.
Weitere Informationen
Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.