Überblick
SCIM (System for Cross-domain Identity Management) ermöglicht es Ihrem Identity Provider (IdP), Benutzer:innen in Yousign automatisch zu provisionieren, zu aktualisieren und zu deprovisionieren. Nach der Konfiguration wird jede Änderung im Benutzerlebenszyklus Ihres IdP — neue Mitarbeiter:innen, Abgänge, Rollenänderungen — ohne manuellen Eingriff in Yousign übernommen.
Was SCIM in Yousign verwaltet
Automatische Provisionierung von Benutzer:innen, die in Ihrem IdP hinzugefügt werden
Automatische Deaktivierung von Benutzer:innen, die aus Ihrem IdP entfernt werden
Synchronisierung von Namen und Rollen — halten Sie die Yousign-Rollen mit Ihrem IdP synchron
Es ist nicht möglich, den Owner der Yousign-Organisation zu erstellen/deaktivieren/löschen.
Umfang
Rolle Unterstütztes Attribut
Gruppenbasiertes Provisioning ist in dieser Version noch nicht verfügbar.
Unterstützte Identity Provider
Alle IdPs, für die eine SSO-Konfiguration verfügbar ist und die SCIM unterstützen.
Voraussetzungen
Stellen Sie vor der Konfiguration von SCIM sicher, dass Sie Folgendes haben:
SCIM- und SSO-Add-on für Ihr Konto aktiviert
Administratorzugriff auf Yousign
Administratorzugriff auf Ihren IdP
Single Sign-On (SSO) bereits konfiguriert und auf Ihrem Yousign-Konto aktiv — SCIM erfordert, dass SSO zuerst aktiviert wird. Weitere Informationen finden Sie in der SSO-Einrichtungsanleitung.
Schritt 1 — SCIM-Zugangsdaten in Yousign generieren
Bevor Sie Ihren IdP konfigurieren, müssen Sie den SCIM-Endpunkt abrufen und ein API-Token in Ihrem Yousign-Workspace generieren.
Melden Sie sich als Administrator:in bei Yousign an.
Gehen Sie zu Einstellungen → Zugriffssicherheit → SCIM.
Klicken Sie auf Aktivieren.
Bitte beachten Sie, dass alle ausstehenden Einladungen gelöscht werden. Außerdem können Sie bis zur Deaktivierung von SCIM nur Einladungen und Benutzerinformationen (E-Mail, Name, Vorname) über Ihren IdP verwalten.
Kopieren Sie die SCIM-Endpunkt-URL — Sie benötigen diese für die IdP-Konfiguration.
Klicken Sie auf Token generieren, um ein Bearer-Token zu erstellen.
Kopieren Sie das Token sofort — es wird nicht erneut angezeigt. Bewahren Sie es sicher auf.
Sie können das Token jederzeit von dieser Seite aus löschen und neu generieren. Das Löschen des Tokens macht es ungültig und unterbricht das Provisioning vorübergehend, bis Sie das Token in Ihrem IdP aktualisieren.
Schritt 2 — Yousign-Rollen verstehen
Yousign verwendet die folgenden Rollen. Die Rolle, die Sie in Ihrem IdP zuweisen, muss genau mit einem dieser Werte übereinstimmen (Groß-/Kleinschreibung wird nicht berücksichtigt) :
Rollenname | IdP-Attributwert | Beschreibung |
Admin | admin | Vollständiger Zugriff auf Workspace-Einstellungen, Abrechnung und Benutzerverwaltung. |
Nutzer:in | member | Standardbenutzer:in, der/die Dokumente senden und unterzeichnen kann. |
Erwartete API-Syntax. Hinweis: Zusätzliche Parameter werden nicht unterstützt (z. B. ist primary nicht unterstützt).
Wenn keine Rolle angegeben wird, wird der Benutzer/die Benutzerin standardmäßig als Nutzer:in provisioniert.
Schritt 3 — Ihren IdP konfigurieren
Was Sie von Yousign benötigen
Parameter | Wert / Wo Sie ihn finden |
SCIM-Basis-URL | Einstellungen → Zugriffssicherheit → SCIM → Endpoint-URL |
Bearer-Token | Einstellungen → Zugriffssicherheit → SCIM → Bearer-Token |
SCIM-Endpunkt und Authentifizierung
Einstellung | Wert |
SCIM-Version | SCIM 2.0 |
Basis-URL | Ihre Yousign SCIM-Basis-URL (ohne abschließenden Schrägstrich) |
Authentifizierungsmethode | HTTP-Header — Bearer-Token |
Token | Ihr Yousign Bearer-Token |
Unterstützte Provisioning-Aktionen | Push New Users; Push Profile Updates |
Eindeutiges Identifikatorfeld für Benutzer:innen | Sollte einer unveränderlichen E-Mail in Ihren IdP-Attributen zugeordnet sein, typischerweise |
Erforderliche Attributzuordnungen
SCIM-Attribut | Erwarteter Wert | Erforderlich |
userName | E-Mail-Adresse des Benutzers/der Benutzerin (eindeutige unveränderliche Kennung) | Ja |
emails[primary eq true].value | E-Mail-Adresse des Benutzers/der Benutzerin | Ja |
name.givenName | Vorname des Benutzers/der Benutzerin | Ja |
name.familyName | Nachname des Benutzers/der Benutzerin | Ja |
active | true / false — steuert Aktivierung und Deprovisioning | Ja |
roles[type eq "role"].value | Einer der folgenden Werte: admin, member | Empfohlen |
name.givenName und name.familyName müssen folgende Einschränkungen einhalten: max. 150 Zeichen. Zulässige Zeichen sind: Buchstaben, Ziffern, Leerzeichen, Apostrophe, Bindestriche, Klammern und Buchstaben mit Akzent. Darf nicht mit einem Leerzeichen beginnen oder enden und darf keine 10 aufeinanderfolgenden Ziffern enthalten.
Wenn name.givenName oder name.familyName nicht dem von Yousign akzeptierten Format entspricht, werden diese Felder beim Provisioning ignoriert. Das Benutzerkonto wird dennoch erfolgreich erstellt, aber die Namensfelder bleiben leer und der Benutzer/die Benutzerin wird aufgefordert, diese bei der ersten Anmeldung zu vervollständigen.
Unterstützte SCIM-Operationen
Operation | Unterstützt | Auswirkung in Yousign |
Benutzer:in erstellen (POST /Users) | Ja | Provisioniert ein neues Benutzerkonto |
Benutzer:in aktualisieren (PATCH /Users/{id}) | Ja | Aktualisiert Name, E-Mail oder Rolle |
Benutzer:in deaktivieren (PATCH active=false) | Ja | Suspendiert den Benutzer/die Benutzerin |
Benutzer:in löschen (DELETE /Users/{id}) | Ja | Löscht den Benutzer/die Benutzerin (Daten werden aufbewahrt) |
Benutzer:in abrufen (GET /Users/{id}) | Ja | Wird vom IdP zur Existenzprüfung verwendet |
Benutzer:innen auflisten (GET /Users) | Ja | Wird vom IdP für den Abgleich verwendet |
Verhalten bei erreichtem Sitzplatzkontingent
Yousign setzt ein Lizenzkontingent basierend auf Ihrem Abonnementplan durch. Wenn SCIM versucht, einen neuen Benutzer/eine neue Benutzerin zu provisionieren, und das Kontingent bereits ausgeschöpft ist:
Der Benutzer/die Benutzerin wird nicht erstellt — das Provisioning wird für diesen Benutzer/diese Benutzerin blockiert.
Eine E-Mail-Benachrichtigung wird automatisch an Admins und Owner gesendet, um sie darüber zu informieren, dass das Lizenzkontingent erreicht wurde und das Provisioning nicht abgeschlossen werden konnte.
Das Provisioning wird nach dem Kauf zusätzlicher Lizenzplätze oder dem Deprovisioning bestehender Benutzer:innen normal fortgesetzt.
Konfiguration überprüfen
Nach dem ersten Provisioning-Zyklus:
Gehen Sie zu Einstellungen → Benutzer:innen.
Bestätigen Sie, dass die provisionierten Benutzer:innen mit der richtigen Rolle angezeigt werden.
Prüfen Sie die Provisioning-Protokolle Ihres IdPs auf Fehler oder übersprungene Benutzer:innen.