Zum Hauptinhalt springen

SCIM-Verbindung einrichten – Azure (Microsoft Entra)

Wir wissen, wie wichtig es für manche Unternehmen ist, die Benutzerverwaltung zu automatisieren und eine sichere, skalierbare Zugriffskontrolle zu gewährleisten.

Mit der SCIM-Unterstützung (System for Cross-domain Identity Management) können Sie Benutzer in Tomorro nun automatisch direkt über Ihren Identity Provider verwalten.

Dies ermöglicht es Ihnen, Ihren Identity Provider zu nutzen, um Zugriff, Rollen und Gruppen in Tomorro automatisch zu verwalten. Konkret können Sie:

  • Einen Benutzer provisionieren (Zugriff gewähren)

  • Einen Benutzer deprovisionieren (Zugriff entziehen)

  • Die Rolle eines Benutzers zuweisen und aktualisieren (Admin, Manager, Mitwirkender)

  • Tomorro-Gruppen erstellen und löschen

  • Benutzer bestimmten Tomorro-Gruppen zuweisen

Verbindung mit Tomorro herstellen

Um die Integration einzurichten, gehen Sie bitte zur Integrationsseite in Tomorro und öffnen Sie den Bereich Benutzerbereitstellung. Nur Administratoren haben Zugriff auf diesen Bereich.

Mein Konto > Integrationen > Benutzerbereitstellung"

Zwei Optionen stehen zur Verfügung:

Standard-Stellvertreter


Ein Standard-Stellvertreter kann von der Organisation direkt in Tomorro konfiguriert werden. Dieser Stellvertreter wird automatisch zugewiesen, wenn ein Benutzer über SCIM entfernt wird.

Diese Stellvertreterlogik ist spezifisch für Tomorro und ist nicht Teil des SCIM-Standards, d. h. Identity Provider können die für diesen Prozess erforderlichen Informationen nicht übermitteln. Der Standard-Stellvertreter ist daher unsere Lösung, um Kontinuität und Dateneigentümerschaft bei der Deprovisionierung von Benutzern über SCIM sicherzustellen.


Gruppenzuweisung auf Ihren Identity Provider beschränken


Sie können die Gruppenzuweisung in Tomorro auf Ihren Identity Provider beschränken. Wenn diese Einstellung aktiviert ist, können Gruppen und Benutzer-Gruppen-Mitgliedschaften nicht mehr manuell in Tomorro bearbeitet werden – sie werden vollständig über SCIM verwaltet.

Dies gewährleistet Konsistenz zwischen Ihrem Identity Provider und Tomorro, vermeidet manuelle Fehler und stärkt das zentralisierte Zugriffsmanagement. Besonders nützlich für Organisationen, die eine strikte Governance und Automatisierung der Benutzerrollen und Gruppenstrukturen durchsetzen möchten.

Einrichtung in AZURE

SCHRITT 1 – Eine benutzerdefinierte App in Azure erstellen

Wenn Sie bereits eine Tomorro-Anwendung für die SAML-Anmeldung verwenden, können Sie direkt zu Schritt 2 übergehen.

  • Gehen Sie zu Unternehmensanwendungen > Klicken Sie auf „Neue Anwendung"

  • Klicken Sie dann auf „Eigene Anwendung erstellen"

    • Wählen Sie den Namen Ihrer App, z. B. „Tomorro"

    • Wählen Sie die Option „Eine andere Anwendung integrieren, die nicht im Katalog zu finden ist"

SCHRITT 2 – SCIM-Einstellungen für die App konfigurieren

  • Gehen Sie in der linken Seitenleiste zu „Bereitstellung"

  • Füllen Sie die Informationen aus dem SCIM-Modul in Tomorro aus, indem Sie die Details in die Azure-Integrationseinrichtung kopieren und einfügen, und testen Sie dann die Verbindung.

  • Speichern Sie nach dem Test die Änderungen

  • Unterhalb der Testschaltfläche sollte dann ein Abschnitt „Zuordnungen" erscheinen, mit dem wir die Konfiguration fortsetzen können.

SCHRITT 3 – Zuordnung

In diesem Schritt aktualisieren wir die vorhandenen Zuordnungen, erstellen eine neue Zuordnung zur automatischen Zuweisung von Tomorro-Rollen aus Azure und entfernen abschließend unnötige Felder.

  • Öffnen Sie den Abschnitt Benutzerzuordnung.

Schritt 3.1 – Vorhandene Attributzuordnungen anpassen

UserName:

  • Öffnen Sie das Attribut mit „userName" als customappsso


  • Stellen Sie sicher, dass das Quellattribut auf „mail" gesetzt ist

  • Bestätigen Sie mit der Schaltfläche „OK" unten links

ExternalId (wie userName):

  • Öffnen Sie das Attribut mit „externalId" als customappsso


  • Stellen Sie sicher, dass das Quellattribut auf „objectId" gesetzt ist

  • Bestätigen Sie mit der Schaltfläche „OK" unten links

Schritt 3.2 – Tomorro-Rollen über das userType-Attribut zuweisen

Um eine Tomorro-Rolle (Admin, Manager, Mitwirkender) direkt aus Azure zuzuweisen, müssen Sie eine neue Zuordnung hinzufügen.

  • Klicken Sie auf „Neue Zuordnung hinzufügen"

  • Füllen Sie alle Informationen aus und stellen Sie sicher, dass das Zielattribut auf userType gesetzt ist

  • Als Quellattribut kann ein beliebiges Azure-Attribut verwendet werden. In diesem Beispiel wurde jobTitle verwendet, aber Sie könnten auch ein benutzerdefiniertes Attribut wie tomorroRole erstellen

  • Sie können diesen Attributwert dann aus Azure übernehmen, um die in Tomorro zuzuweisende Rolle festzulegen – entweder direkt aus dem Benutzerprofil oder über eine Azure-Gruppenzuweisung. Nachfolgend finden Sie ein Beispiel dafür, wie Sie das Attribut aus einem Benutzerprofil für eine Admin-Rolle festlegen können.

    Die einzugebenden Wertzuordnungen für die verschiedenen Tomorro-Rollen sind wie folgt:

Azure-attribute

Tomorro Rolle
(Preismodell V4/V5)

Tomorro Rolle
(Preismodell V6+)

admin

Admin

Admin

manager

Manager

Creator - Manager

user

Mitwirkender

Creator - Contributor

viewer

Viewer

Schritt 3.3 – Unnötige Attributzuordnungen entfernens

Löschen Sie alle unnötigen Attribute über die Schaltfläche „Löschen" am rechten Rand der Zeile und behalten Sie nur die 6 Attribute, bei denen customAppsso ist:

  • userName

  • active

  • name.givenName

  • name.familyName

  • externalId

  • userType

Speichern Sie dann Ihre Änderungen über die Schaltfläche oben links.

SCHRITT 4 – Automatische Bereitstellung (Provisioning) aktivieren

  • Gehen Sie über den Breadcrumb zurück zum vorherigen Abschnitt. Aktualisieren Sie die Seite nach einigen Minuten, um die Tomorro-Anwendung zu sehen.

  • Öffnen Sie den Abschnitt „Bereitstellung", dann erneut den Unterabschnitt „Bereitstellung".

  • Aktivieren Sie die automatische Bereitstellung und speichern Sie.

SCHRITT 5 – Zu bereitstellende Gruppen und Benutzer auswählen

  • Öffnen Sie den Abschnitt „Benutzer und Gruppen" und wählen Sie „Benutzer/Gruppe hinzufügen".


  • Öffnen Sie das rechte Panel, indem Sie unter „Benutzer und Gruppen" auf „Keine ausgewählt (None Selected)" klicken. Wählen Sie dann einen Testbenutzer oder eine Testgruppe im rechten Panel aus und speichern Sie am unteren Rand des Panels.

  • Bestätigen Sie den Vorgang, indem Sie unten links auf „Zuweisen" klicken.

Alle zugewiesenen Benutzer und Gruppen werden in Tomorro bereitgestellt. Bei Bereitstellung über eine Gruppe wird die Gruppe in Tomorro erstellt und die Benutzer werden dieser Gruppe hinzugefügt.

Das SCIM-Protokoll ist nun für Tomorro aktiviert!


Zusätzliche Informationen & Empfehlungen

  • In Tomorro erstellte Gruppen können nicht mit Azure-Gruppen synchronisiert werden. Wir empfehlen, diese Gruppen zunächst in Azure neu zu erstellen und dann die über SCIM bereitgestellten Gruppen zu verwenden, um Zugriff auf die verschiedenen Ordner und Vorlagen in Tomorro zuzuweisen. Obwohl dies eine anfängliche Zeitinvestition erfordert, spart es Ihnen langfristig wertvolle Zeit durch eine stärker automatisierte Zugriffskontrolle in Tomorro direkt aus Azure.

  • Es kann übersichtlicher und effizienter sein, „Zugriffs"-Gruppen von „Berechtigungs"-Gruppen zu trennen. Sie könnten beispielsweise verschiedene Gruppen basierend auf Ihren Abteilungen oder geografischen Regionen haben, die Zugriff auf bestimmte Vorlagen oder Teile Ihrer Vertragsbibliothek gewähren, und dann eine „Admins"-Gruppe und eine „Manager"-Gruppe für die Steuerung des userType-Attributs haben.

  • Azure unterstützt sehr präzise und komplexe Zuordnungen. Falls dies ein wichtiger Aspekt für Sie ist, lesen Sie bitte direkt die Microsoft-Dokumentation für weitere Details.

Verwandte Artikel
SAML-Verbindung einrichten – Azure (Microsoft Entra)
SAML-Verbindung einrichten – OneLogin
SAML-Verbindung einrichten – Okta
SCIM-Verbindung einrichten – Okta
SCIM-Verbindung einrichten – OneLogin
Hat dies deine Frage beantwortet?