Wir wissen, wie wichtig es für manche Unternehmen ist, die Benutzerverwaltung zu automatisieren und eine sichere, skalierbare Zugriffskontrolle zu gewährleisten.
Mit der SCIM-Unterstützung (System for Cross-domain Identity Management) können Sie Benutzer in Tomorro nun automatisch direkt über Ihren Identity Provider verwalten..
Dies ermöglicht es Ihnen, Ihren Identity Provider zu nutzen, um Zugriff, Rollen und Gruppen in Tomorro automatisch zu verwalten. Konkret können Sie:
Einen Benutzer provisionieren (Zugriff gewähren)
Einen Benutzer deprovisionieren (Zugriff entziehen)
Die Rolle eines Benutzers zuweisen und aktualisieren (Admin, Manager, Mitwirkender)
Tomorro-Gruppen erstellen und löschen
Benutzer bestimmten Tomorro-Gruppen zuweisen
Verbindung mit Tomorro herstellen
Verbindung mit Tomorro herstellen
Um die Integration einzurichten, gehen Sie bitte zur Integrationsseite in Tomorro und öffnen Sie den Bereich Benutzerbereitstellung. Nur Administratoren haben Zugriff auf diesen Bereich.
Zwei Optionen stehen zur Verfügung:
Standard-Stellvertreter
Ein Standard-Stellvertreter kann von der Organisation direkt in Tomorro konfiguriert werden. Dieser Stellvertreter wird automatisch zugewiesen, wenn ein Benutzer über SCIM entfernt wird.
Diese Stellvertreterlogik ist spezifisch für Tomorro und ist nicht Teil des SCIM-Standards, d. h. Identity Provider können die für diesen Prozess erforderlichen Informationen nicht übermitteln. Der Standard-Stellvertreter ist daher unsere Lösung, um Kontinuität und Dateneigentümerschaft bei der Deprovisionierung von Benutzern über SCIM sicherzustellen.
Gruppenzuweisung auf Ihren Identity Provider beschränken
Sie können die Gruppenzuweisung in Tomorro auf Ihren Identity Provider beschränken. Wenn diese Einstellung aktiviert ist, können Gruppen und Benutzer-Gruppen-Mitgliedschaften nicht mehr manuell in Tomorro bearbeitet werden – sie werden vollständig über SCIM verwaltet.
Dies gewährleistet Konsistenz zwischen Ihrem Identity Provider und Tomorro, vermeidet manuelle Fehler und stärkt das zentralisierte Zugriffsmanagement. Besonders nützlich für Organisationen, die eine strikte Governance und Automatisierung der Benutzerrollen und Gruppenstrukturen durchsetzen möchten.
Einrichtung in OneLogin
Einrichtung in OneLogin
SCHRITT 1 – Eine benutzerdefinierte App in OneLogin erstellen
SCHRITT 1 – Eine benutzerdefinierte App in OneLogin erstellen
Wenn Sie bereits eine Tomorro-Anwendung für die SAML-Anmeldung verwenden, können Sie direkt zu Schritt 2 übergehen.
Gehen Sie in Ihrem Administratorbereich zum Abschnitt „Anwendungen" und klicken Sie oben rechts auf „App hinzufügen"
Wählen Sie den Anwendungstyp „SCIM provisioner with SAML (SCIM v2 Core w/SCIM2 Groups)" aus der Liste
Geben Sie den Anwendungsnamen ein, z. B. „Tomorro", fügen Sie ein Logo und ein Symbol hinzu und speichern Sie
SCHRITT 2 – SCIM-Bereitstellung für Ihre Anwendung aktivieren
SCHRITT 2 – SCIM-Bereitstellung für Ihre Anwendung aktivieren
Öffnen Sie die „Konfiguration"-Optionen und geben Sie die Informationen aus Ihrem Tomorro-SCIM-Integrationsmodul in die entsprechenden Felder ein:
{ "schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"userName": "{$parameters.scimusername}",
"userType": "{$user.title}",
"name": {
"givenName": "{$user.firstname}",
"familyName": "{$user.lastname}"
}
}Aktivieren Sie die API und speichern Sie über die Schaltfläche oben rechts
Ändern Sie in den Parametern den Wert des Feldes „scimusername" auf „email" und speichern Sie
Fügen Sie eine Regel basierend auf dem „aktiven" Status der Mitglieder hinzu und stellen Sie sicher, dass der scimusername die E-Mail-Adresse ist, dann speichern Sie
Aktivieren Sie in den „Bereitstellungs"-Einstellungen die Bereitstellung und deaktivieren Sie bei Bedarf die Administratorgenehmigungen vor „Benutzer erstellen", „Benutzer löschen" oder „Benutzer aktualisieren"
SCHRITT 3 – Einzelne Benutzer provisionieren
SCHRITT 3 – Einzelne Benutzer provisionieren
Gehen Sie im oberen Navigationsmenü zum Abschnitt „Benutzer"
Wählen Sie einen Ihrer Benutzer aus, gehen Sie zum Abschnitt „Anwendungen" und klicken Sie auf das „+"-Symbol rechts
Wählen Sie die Tomorro-Anwendung und klicken Sie auf „Weiter"
Klicken Sie auf dem nächsten Bildschirm auf „Speichern", ohne etwas zu ändern
Ihr Benutzer ist nun in Tomorro provisioniert!
SCHRITT 4 – Benutzer über OneLogin-Rollen provisionieren
SCHRITT 4 – Benutzer über OneLogin-Rollen provisionieren
Gehen Sie unter „Benutzer" zu „Rollen"
Klicken Sie oben rechts auf „Neue Rolle", geben Sie einen Namen ein, wählen Sie die Tomorro-Anwendung und speichern Sie
Sie können diese Rolle nun verwenden, um die Tomorro-Anwendung direkt zu provisionieren
SCHRITT 5 – Tomorro-Rolle der Benutzer in OneLogin festlegen
SCHRITT 5 – Tomorro-Rolle der Benutzer in OneLogin festlegen
Das OneLogin-Attribut „Title" wird verwendet, um die Tomorro-Rolle (Admin, Manager, Mitwirkender) gemäß folgender Zuordnung zu definieren:
OneLogin-Attribute | Tomorro Rolle | Tomorro Rolle |
admin | Admin | Admin |
manager | Manager | Creator - Manager |
user | Mitwirkender | Creator - Contributor |
viewer |
| Viewer |
Sie können dieses Feld ausfüllen, um die dem Benutzer in Tomorro zugewiesene Rolle anzuzeigen. Dieses Feld kann für jeden Benutzer individuell ausgefüllt werden oder automatisch entsprechend der zugeordneten Rolle
Über das Benutzerprofil
Gehen Sie zum Profil eines Ihrer Benutzer, wählen Sie den Wert für „Title" und speichern Sie.
Über Rollen
Gehen Sie unter „Benutzer" zum Abschnitt „Zuordnungen" und erstellen Sie eine neue Zuordnung über die Schaltfläche oben rechts.
Beispiel: Eine Zuordnung, die das Feld „Title" für alle Benutzer mit der Rolle „Legal" auf „admin" setzt.
SCHRITT 6 – Gruppenzuweisung über OneLogin konfigurieren
SCHRITT 6 – Gruppenzuweisung über OneLogin konfigurieren
Sie müssen Tomorro-Gruppen in Tomorro erstellen und Zuordnungen erstellen, um sie mit OneLogin-Feldern zu synchronisieren. Sie können Gruppen nicht über OneLogin zu Tomorro hinzufügen.
Gruppensynchronisierung überprüfen
Gehen Sie zur Registerkarte „Bereitstellung"
Klicken Sie auf „Aktualisieren"
Gehen Sie zur Registerkarte „Parameter"
Überprüfen Sie, ob alle Gruppennamen erfolgreich aus Tomorro importiert wurden
Manuelle Gruppenzuweisung
Gehen Sie zur Registerkarte „Benutzer" in der OneLogin-SCIM-App
Wählen Sie den zu bearbeitenden Benutzer aus und legen Sie die Gruppenwerte manuell fest
Automatisierte Gruppenzuweisung über Regeln:
Verwenden Sie OneLogin-Regeln (Zuordnungen), um Benutzer basierend auf einem OneLogin-Attribut automatisch Tomorro-Gruppen zuzuweisen.
Beispiel:
Alle Benutzer mit der OneLogin-Rolle „Legal" der Tomorro-Gruppe „legal" zuweisen.
Gehen Sie zur Registerkarte „Regeln", erstellen Sie eine neue Regel mit:
Bedingung: Rollen – enthält – Legal
Aktion: Gruppen in Tomorro auf – legal setzen
Gruppenzuweisungen von Tomorro zu OneLogin migrieren
Wenn Sie bereits Gruppenzuweisungen in Tomorro konfiguriert haben und zu OneLogin migrieren möchten:
Replizieren Sie die aktuellen Tomorro-Gruppenzuweisungen manuell in OneLogin und nehmen Sie die erforderlichen Anpassungen vor
Entfernen Sie alle bestehenden Gruppenzuweisungen in Tomorro
Synchronisieren Sie die Zuweisungen aus OneLogin neu
Gruppenzuweisung ausschließlich über OneLogin verwalten
Um die Benutzergruppenzuweisungen zu vereinfachen, können Sie in Tomorro die direkte Gruppenzuweisung deaktivieren und OneLogin die ausschließliche Verwaltung überlassen.
Gehen Sie in Tomorro zu den SCIM-Einstellungen und aktivieren Sie „Gruppenzuweisung auf Ihren Identity Provider beschränken":
Das SCIM-Protokoll ist nun für Tomorro aktiviert!
Zusätzliche Informationen & Empfehlungen
In Tomorro erstellte Gruppen können nicht mit OneLogin synchronisiert werden. Wir empfehlen, diese Gruppen direkt in OneLogin neu zu erstellen und sie dann über SCIM nach Tomorro zu provisionieren, um Zugriff auf die verschiedenen Ordner und Vorlagen zuzuweisen. Obwohl dies eine anfängliche Zeitinvestition erfordert, spart es Ihnen langfristig wertvolle Zeit.
Es kann übersichtlicher und effizienter sein, „Zugriffs"-Gruppen von „Berechtigungs"-Gruppen zu trennen. Sie könnten beispielsweise verschiedene Gruppen basierend auf Ihren Abteilungen oder geografischen Regionen haben, die Zugriff auf bestimmte Vorlagen oder Teile Ihrer Vertragsbibliothek gewähren, und dann eine „Admins"-Gruppe und eine „Manager"-Gruppe für die Steuerung des userType-Attributs haben.