Wir wissen, wie wichtig es für manche Unternehmen ist, die Benutzerverwaltung zu automatisieren und eine sichere, skalierbare Zugriffskontrolle zu gewährleisten.
Mit der SCIM-Unterstützung (System for Cross-domain Identity Management) können Sie Benutzer in Tomorro nun automatisch direkt über Ihren Identity Provider verwalten..
Dies ermöglicht es Ihnen, Ihren Identity Provider zu nutzen, um Zugriff, Rollen und Gruppen in Tomorro automatisch zu verwalten. Konkret können Sie:
Einen Benutzer provisionieren (Zugriff gewähren)
Einen Benutzer deprovisionieren (Zugriff entziehen)
Die Rolle eines Benutzers zuweisen und aktualisieren (Admin, Manager, Mitwirkender)
Tomorro-Gruppen erstellen und löschen
Benutzer bestimmten Tomorro-Gruppen zuweisen
Verbindung mit Tomorro herstellen
Verbindung mit Tomorro herstellen
Um die Integration einzurichten, gehen Sie bitte zur Integrationsseite in Tomorro und öffnen Sie den Bereich Benutzerbereitstellung. Nur Administratoren haben Zugriff auf diesen Bereich.
Zwei Optionen stehen zur Verfügung:
Standard-Stellvertreter
Ein Standard-Stellvertreter kann von der Organisation direkt in Tomorro konfiguriert werden. Dieser Stellvertreter wird automatisch zugewiesen, wenn ein Benutzer über SCIM entfernt wird.
Diese Stellvertreterlogik ist spezifisch für Tomorro und ist nicht Teil des SCIM-Standards, d. h. Identity Provider können die für diesen Prozess erforderlichen Informationen nicht übermitteln. Der Standard-Stellvertreter ist daher unsere Lösung, um Kontinuität und Dateneigentümerschaft bei der Deprovisionierung von Benutzern über SCIM sicherzustellen.
Gruppenzuweisung auf Ihren Identity Provider beschränken
Sie können die Gruppenzuweisung in Tomorro auf Ihren Identity Provider beschränken. Wenn diese Einstellung aktiviert ist, können Gruppen und Benutzer-Gruppen-Mitgliedschaften nicht mehr manuell in Tomorro bearbeitet werden – sie werden vollständig über SCIM verwaltet.
Dies gewährleistet Konsistenz zwischen Ihrem Identity Provider und Tomorro, vermeidet manuelle Fehler und stärkt das zentralisierte Zugriffsmanagement. Besonders nützlich für Organisationen, die eine strikte Governance und Automatisierung der Benutzerrollen und Gruppenstrukturen durchsetzen möchten.
Einrichtung in OKTA
Einrichtung in OKTA
SCHRITT 1 – Eine benutzerdefinierte App in Okta erstellen
SCHRITT 1 – Eine benutzerdefinierte App in Okta erstellen
Wenn Sie bereits eine Tomorro-Anwendung für die SAML-Anmeldung verwenden, können Sie direkt zu Schritt 2 übergehen.
Melden Sie sich bei Ihrem Okta-Konto > Einstellungen > Anwendung an
Klicken Sie auf „App-Integration erstellen"
Wählen Sie „SAML 2.0" und klicken Sie auf „Weiter"
Geben Sie den Namen der Anwendung ein, z. B. „Tomorro", und fügen Sie ein Logo hinzu
Konfigurieren Sie SAML wie in diesem Artikel beschrieben und stellen Sie sicher, dass die Einstellungen exakt den Screenshots entsprechen, dann klicken Sie unten rechts auf „Weiter"
Wählen Sie die erste Option und klicken Sie unten rechts auf „Fertigstellen"
SCHRITT 2 – SCIM-Einstellungen für die App konfigurieren
SCHRITT 2 – SCIM-Einstellungen für die App konfigurieren
Öffnen Sie auf der Anwendungsseite den Abschnitt „Allgemein" und aktivieren Sie die Bearbeitung
Aktivieren Sie die SCIM-Bereitstellung und speichern Sie.
Gehen Sie zu den „Bereitstellungs"-Einstellungen und aktivieren Sie die Bearbeitung.
Füllen Sie die Anfangsparameter aus und öffnen Sie das Tomorro-SCIM-Integrationsmodul in einem anderen Tab
Kopieren Sie die Informationen aus dem Tomorro-SCIM-Modul in die Felder SCIM-Connector-Basis-URL und Autorisierung und testen Sie dann die Verbindung
Schließen Sie das Fenster und speichern Sie.
SCHRITT 3 – SCIM-Bereitstellung für Ihre Anwendung konfigurieren
SCHRITT 3 – SCIM-Bereitstellung für Ihre Anwendung konfigurieren
Sie sollten sich nun auf der Seite „Bereitstellung (Provisioning)" Ihrer Tomorro-Anwendung befinden.
Aktivieren Sie die Bearbeitung und wählen Sie die ersten drei Optionen aus: „Benutzer erstellen", „Benutzerattribute aktualisieren" und „Benutzer deaktivieren" – dann speichern.
Löschen Sie am unteren Ende der Seite alle unnötigen Attributzuordnungen und behalten Sie nur „Username", „Given name", „Family name" und „User Type".
SCHRITT 4 – Okta-Gruppen auswählen, die in Tomorro erstellt werden sollen
SCHRITT 4 – Okta-Gruppen auswählen, die in Tomorro erstellt werden sollen
Sie können Gruppen aus Okta automatisch in Ihrer Tomorro-Anwendung neu erstellen. Gehen Sie dazu zum Abschnitt „Gruppen pushen" innerhalb der Anwendung.
Wählen Sie „Gruppen pushen", dann „Gruppen nach Name suchen", suchen Sie nach der gewünschten Gruppe und speichern Sie
Diese Gruppe erscheint nun in Tomorro mit demselben Namen
SCHRITT 5 – Benutzer provisionieren
SCHRITT 5 – Benutzer provisionieren
Über Gruppen
Über Gruppen
Um Zugriff auf die Anwendung direkt über Okta-Gruppen zu gewähren, müssen Sie die Anwendung diesen Gruppen zuweisen. Gehen Sie dazu im linken Navigationsmenü unter „Verzeichnis" zum Abschnitt „Gruppen".
Klicken Sie auf eine Ihrer Okta-Gruppen und gehen Sie zur Registerkarte „Anwendungen"
Weisen Sie die Tomorro-Anwendung der Gruppe zu
Alle Mitglieder, die dieser Gruppe hinzugefügt werden, werden automatisch in Tomorro provisioniert. Wenn die Gruppe selbst nach Tomorro gepusht wird, werden ihre Mitglieder auch der entsprechenden Gruppe hinzugefügt.
Individuell
Individuell
Sie können die Tomorro-Anwendung auch einzelnen Benutzern zuweisen. Gehen Sie dazu im linken Navigationsmenü unter „Verzeichnis" zum Abschnitt „Personen".
Wählen Sie in der Registerkarte „Anwendungen" die Option „Anwendung zuweisen" und folgen Sie denselben Schritten wie bei Gruppen. Der Benutzer wird dann automatisch in Tomorro provisioniert.
SCHRITT 6 – Tomorro-Rolle der Benutzer in Okta festlegen
SCHRITT 6 – Tomorro-Rolle der Benutzer in Okta festlegen
You can also define the Tomorro role (Admin, Manager, Contributor) for your users directly from Okta. This can be done either at the group level or individually. By default, members will be created with the Contributor role.
Here are the values to enter in the User Type field and their corresponding Tomorro roles:
Okta - Attribute | Tomorro Rolle | Tomorro Rolle |
admin | Admin | Admin |
manager | Manager | Creator - Manager |
user | Mitwirkender | Creator - Contributor |
viewer |
| Viewer |
Über Gruppen
Bei der Zuweisung einer Anwendung zu einer Gruppe erscheint ein Attributfenster, in dem Sie Werte automatisch zuweisen können. Füllen Sie den Wert User Type aus, damit alle Benutzer dieser Gruppe automatisch die richtige Rolle in Tomorro erhalten.
Individuell
Öffnen Sie in einem Benutzerprofil den Abschnitt „Profil" und aktivieren Sie die Bearbeitung.
Suchen Sie das Feld „User Type" und weisen Sie den entsprechenden Wert zu. Bestätigen Sie den Wert durch Drücken der Eingabetaste oder durch Klicken auf „Speichern" am unteren Rand der Seite.
Das SCIM-Protokoll ist nun für Tomorro aktiviert!
Zusätzliche Informationen & Empfehlungen
In Tomorro erstellte Gruppen können nicht mit Okta synchronisiert werden. Wir empfehlen, diese Gruppen direkt in Okta neu zu erstellen und sie dann über SCIM nach Tomorro zu provisionieren, um Zugriff auf die verschiedenen Ordner und Vorlagen zuzuweisen. Obwohl dies eine anfängliche Zeitinvestition erfordert, spart es Ihnen langfristig wertvolle Zeit durch eine stärker automatisierte Zugriffskontrolle in Tomorro direkt aus Okta.
Es kann übersichtlicher und effizienter sein, „Zugriffs"-Gruppen von „Berechtigungs"-Gruppen zu trennen. Sie könnten beispielsweise verschiedene Gruppen basierend auf Ihren Abteilungen oder geografischen Regionen haben, die Zugriff auf bestimmte Vorlagen oder Teile Ihrer Vertragsbibliothek gewähren, und dann eine „Admins"-Gruppe und eine „Manager"-Gruppe für die Steuerung des userType-Attributs haben.