Einführung
In diesem Artikel zeigen wir dir, wie du die SCIM-Benutzerbereitstellung zwischen deinem internen Benutzerverzeichnis und fynk schnell einrichten kannst.
Du kannst hierzu jedes Benutzerverzeichnis verwenden, das SCIM unterstützt, wie beispielsweise Microsoft Entra ID (ehemals Azure AD), Okta oder Google Workspace.
Voraussetzungen
Du benötigst:
die Unterstützung durch einen internen IT-Administrator
Ein fynk-Benutzerkonto mit der Rolle Admin oder Owner, um auf die SCIM-Einstellungen zuzugreifen
Anbieter-bezogene Anforderungen
Microsoft Entra ID Tenant mit einer Lizenz, die App-Provisioning unterstützt
(z. B. Entra ID P1 oder P2)Okta-Admin-Konto mit Berechtigungen für App-Integrationen und Provisioning
💡 Hinweis: Wir empfehlen, zwei Applikationen zu erstellen: eine für SSO und eine separate für SCIM. Wenn SSO zuerst aktiviert wird, vereinfacht das die spätere SCIM-Einrichtung deutlich.
Zugriff auf die SCIM-Einstellungen in fynk
Die Konfiguration kann gemeinsam durchgeführt werden von:
einem fynk-Kontoinhaber oder Admin
einem internen IT-Administrator
💡Hinweis: Alternativ kann die Einrichtung auch vollständig durch den IT-Administrator erfolgen, sofern dieser (temporär) über ein fynk-Benutzerkonto mit der Rolle Admin oder Owner verfügt.
Schritte:
Öffne fynk und navigiere zu Einstellungen → Integrationen → SCIM
Klicke auf Erstellen, um eine neue SCIM-Integration anzulegen
Du siehst nun das API-Token und die Basis-URL – diese werden später in Microsoft Entra ID oder Okta benötigt
Einrichtung von SCIM in Microsoft Entra ID
1. Applikation erstellen:
Wir empfehlen zwei Applikationen zu erstellen: eine für SSO und eine separate für die SCIM Provisionierung.
2. Benutzergruppen anlegen
Lege in Entra ID fünf Gruppen an, die den fynk-Rollen entsprechen. Die Gruppennamen können frei gewählt werden, müssen aber folgende Zeichenfolgen enthalten:
account-limited-manager
account-manager
account-editor
account-admin
account-owner
Anschließend:
Weise diese Gruppen der Entra-ID-App für SCIM zu
Ordne alle Benutzer ihren jeweiligen Rollengruppen zu
⚠️ Wichtig: Nach der Aktivierung der Bereitstellung werden Benutzer synchronisiert.
Benutzer ohne passende Gruppe werden aus fynk entfernt.
Benutzer mit abweichender Rollengruppe werden in fynk automatisch angepasst. Dies kann dazu führen, dass Benutzer den Zugriff auf fynk oder auf bestimmte Bereiche (z. B. Kontoeinstellungen) verlieren.
3. Bereitstellung aktivieren
Öffne deine App in Entra ID
Navigiere zu Provisioning
Setze den Provisioning Mode auf Automatic
Trage die fynk-Basis-URL und das API-Token ein
Klicke auf Test Connection
Bei erfolgreicher Verbindung: Speichern
4. Attribut-Zuordnungen anpassen
Öffne den Bereich Mappings
Wähle Provision Microsoft Entra ID Users
⚠️ Wichtig: Entferne alle Attribute außer folgende:
userName
active
name.givenName
name.familyName
externalId
5. Provisioning starten
Klicke auf Speichern, um die Zuordnungen zu übernehmen
Gehe zurück zur Overview
Wähle Start provisioning, um die Synchronisierung zu aktivieren
Einrichtung der SCIM-Integration in Okta
1. fynk-App in Okta erstellen
Melde dich in deinem Okta Admin Dashboard an
Navigiere zu Applications → Applications
Klicke auf Create App Integration
Wähle:
Sign-in method: SAML 2.0 (falls SSO aktiv ist, kannst du dieselbe App auch für SCIM nutzen)
Provisioning method: SCIM 2.0
Klicke auf Next
Gib deiner App einen Namen (optional kannst du ein Logo hochladen)
SAML Settings konfigurieren
Klicke auf Next
Optionale Fragen von Okta überspringen
Klicke auf Finish
Applications → Sign on
Kopiere die Metadata URL aus Okta
Füge sie in fynk ein → über den Button werden alle weiteren Informationen automatisch geladen
Klicke in fynk auf Speichern
Konfiguriere SSO mit Okta
Gehe in Okta auf General
Klicke im Bereich Provisioning auf SCIM
Klicke auf Save
2. SCIM-Verbindung konfigurieren
Öffne in Okta Provisioning → Integration
Aktiviere Enable API Integration
Trage folgende Informationen ein:
SCIM connector base URL → aus den fynk SCIM-Einstellungen
Unique identifier field for users → username oder email
Unterstützte Provisioning Actions auswählen
Authentication Mode auf HTTP Header setzen
API-Token aus fynk kopieren und in Okta einfügen
Klicke auf Test Connector Configuration
Klicke auf Save
3. Benutzerbereitstellung aktivieren
Navigiere zu Provisioning → To App
Aktiviere alle Optionen außer ❌ Sync Password
Aktiviert werden sollen:
Create Users
Update User Attributes
Deactivate Users
Klicke auf Save
Attribute Mapping
⚠️ Wichtig: Entferne alle Attribute außer folgende:
userName
givenName
familyName
email
4. Benutzergruppen anlegen
Gehe zu Directory → Groups
Lege Gruppen an, die den fynk-Rollen entsprechen. Die Gruppennamen können frei gewählt werden, müssen aber folgende Zeichenfolgen enthalten:
account-limited-manager
account-manager
account-editor
account-admin
account-owner
Gruppen verbinden (Push Groups)
Gehe zu Applications → Push Groups
Pushe die einzelnen Gruppen, damit sie verbunden werden und der Status Active angezeigt wird
Gruppe auswählen und auf Save klicken
Benutzer zuweisen
Unter Applications → Assignments
Benutzer den entsprechenden Gruppen zuordnen
⚠️ Wichtig: Nach der Aktivierung der Bereitstellung werden Benutzer synchronisiert.
Benutzer ohne passende Gruppe werden aus fynk entfernt.
Rollenzuordnungen werden automatisch angepasst. Dies kann den Zugriff auf fynk oder bestimmte Bereiche (z. B. Kontoeinstellungen) einschränken.
5. Provisioning starten
Navigiere zur fynk-App in Okta
Öffne Provisioning → To App
Klicke auf Force Sync, um die erste Synchronisierung manuell zu starten
Anschließend erfolgt die Synchronisierung automatisch (Standardintervall: alle 20–40 Minuten)
Häufig gestellte Fragen
Wie kann ich die SCIM-Bereitstellung mit anderen Anbietern als Entra ID einrichten?
Wenn du Hilfe bei der Konfiguration von SCIM mit einem anderen Anbieter benötigst oder wenn wir deinen Anbieter übersehen haben, lasse es uns bitte über den Chat oder per E-Mail an unser Support-Team wissen.
Kann ich die Bereitstellung ohne die Rollenzuweisung verwenden?
Derzeit leider nicht. In diesem Fall würden alle Benutzer auf die Rolle Manager herabgestuft.
Kann ich auch Teammitgliedschaften über die Bereitstellung hinzufügen?
Aktuell ist die Teamverwaltung über SCIM nicht implementiert. Gib uns gern Bescheid, falls du diese Funktion benötigst.
Benutzerverwaltung nach Aktivierung
Benutzer können weiterhin direkt in fynk verwaltet werden. Manuelle Änderungen werden jedoch beim nächsten SCIM-Sync überschrieben. Langfristig ist geplant, die manuelle Verwaltung für SCIM-verwaltete Benutzer zu deaktivieren.
Deaktivierung der SCIM-Synchronisation
Wenn die Bereitstellung deaktiviert wird:
Bestehende Benutzer bleiben in fynk erhalten
Zukünftige Änderungen aus Entra ID oder Okta werden nicht mehr übernommen
Welche Lizenz ist für Entra ID Provisioning nötig?
Für SCIM-Provisioning wird mindestens Microsoft Entra ID P1 oder P2 benötigt.
Welche Lizenz ist für Okta Provisioning nötig?
Ein Okta-Admin-Konto mit Berechtigungen für App-Integrationen und Provisioning ist erforderlich.
Wie oft wird synchronisiert?
Standardmäßig alle 20–40 Minuten.
Eine manuelle Synchronisierung ist in Entra ID über „Jetzt synchronisieren“ möglich.
Bekannte Einschränkungen (Microsoft & SCIM-Standard)
Verschachtelte Gruppen (Nested Groups) werden derzeit nicht unterstützt
Gruppenmitgliedschaften können aktuell nicht als Teamzuordnung in fynk verwendet werden
Entra ID kann in bestimmten Fällen vom SCIM-2.0-Standard abweichen
(Details siehe Microsoft Known Issues zur SCIM-Provisionierung)
💁♀️ Unser Experten-Supportteam steht bereit. Tritt über die Chat-Funktion mit uns in Kontakt oder wende dich für jegliche Unterstützung gerne an [email protected] 🚀.