📖 Inhaltsverzeichnis
Überblick
System for Cross-domain Identity Management (SCIM) ermöglicht es Ihrem Identity Provider (IdP), Benutzer in Yousign automatisch bereitzustellen, zu aktualisieren und zu deaktivieren.
Sobald die Konfiguration abgeschlossen ist, werden Änderungen im Benutzerlebenszyklus in Ihrem IdP – beispielsweise das Onboarding neuer Mitarbeitender, die Deaktivierung von Benutzern oder Rollenänderungen – automatisch in Yousign übernommen.
Was SCIM in Yousign verwaltet
Automatische Benutzerbereitstellung, wenn Benutzer im IdP hinzugefügt werden
Automatische Benutzerdeaktivierung, wenn Benutzer aus dem IdP entfernt werden
Automatische Synchronisierung von Namen und Rollen, damit Yousign mit Ihrem IdP synchron bleibt
Eigentümer können nicht über die SCIM-Provisionierung erstellt, deaktiviert oder gelöscht werden.
Umfang
Unterstützte synchronisierte Attribute:
Rolle
Gruppenbasierte Provisionierung wird derzeit nicht unterstützt.
Unterstützte Identity Provider
SCIM wird mit Identity Providern unterstützt, die SCIM 2.0 unterstützen und mit Yousign SSO konfiguriert werden können.
Bevor Sie beginnen
Bevor Sie SCIM konfigurieren, stellen Sie sicher, dass Folgendes vorhanden ist:
Das SCIM- und SSO-Add-on ist für Ihr Konto aktiviert
Administratorzugriff auf Yousign
Administratorzugriff auf Ihren Identity Provider
Single Sign-On (SSO) ist bereits konfiguriert und in Ihrem Yousign-Konto aktiviert
SCIM kann erst aktiviert werden, nachdem SSO eingerichtet wurde.
Schritt 1: Ihre SCIM-Zugangsdaten in Yousign generieren
Bevor Sie Ihren Identity Provider konfigurieren, rufen Sie Ihren SCIM-Endpunkt ab und generieren Sie ein Token in Yousign.
Melden Sie sich als Administrator bei Yousign an.
Gehen Sie zu Einstellungen → Zugriffssicherheit → SCIM.
Klicken Sie auf Aktivieren.
Durch die Aktivierung von SCIM werden alle ausstehenden Einladungen gelöscht.
Sobald SCIM aktiviert ist, können Benutzerinformationen (E-Mail-Adresse, Vorname und Nachname) sowie Einladungen nur noch über Ihren Identity Provider verwaltet werden, bis SCIM deaktiviert wird.
Kopieren Sie die SCIM-Endpunkt-URL.
Klicken Sie auf Token generieren.
Kopieren Sie das Token sofort und speichern Sie es sicher. Es wird nicht erneut angezeigt.
Sie können das Token jederzeit auf dieser Seite löschen und neu generieren.
Durch das Löschen des Tokens wird es ungültig und die Provisionierung wird vorübergehend unterbrochen, bis das neue Token in Ihrem IdP konfiguriert wird.
Schritt 2: Yousign-Rollen verstehen
Der von Ihrem IdP gesendete Rollenwert muss einer der folgenden Werte sein (Groß- und Kleinschreibung wird nicht berücksichtigt).
Rollenname | IdP-Attributwert | Beschreibung |
Admin | admin | Vollständiger Zugriff auf Workspace-Einstellungen, Abrechnung und Benutzerverwaltung |
Mitglied | member | Standardbenutzer, der Dokumente senden und signieren kann |
Übermitteln Sie die Rolle im folgenden SCIM-Attributformat:
"roles": [ { "value": "admin", "type": "role" } ]Zusätzliche Parameter werden nicht unterstützt (zum Beispiel primary).
Wenn keine Rolle angegeben wird, wird der Benutzer standardmäßig mit der Rolle Mitglied provisioniert.
Schritt 3: Ihren Identity Provider konfigurieren
Werte aus Yousign abrufen
Rufen Sie die folgenden Werte ab, bevor Sie die Provisionierung konfigurieren.
Parameter | Wo zu finden |
SCIM-Basis-URL | Einstellungen → Zugriffssicherheit → SCIM → Endpunkt-URL |
Bearer-Token | Einstellungen → Zugriffssicherheit → SCIM → Bearer-Token |
SCIM-Endpunkt und Authentifizierung konfigurieren
Geben Sie die folgenden Werte in Ihrem IdP ein.
Einstellung | Wert |
SCIM-Version | SCIM 2.0 |
Basis-URL | Ihre Yousign-SCIM-Basis-URL (ohne abschließenden Schrägstrich) |
Authentifizierungsmethode | HTTP-Header — Bearer-Token |
Token | Ihr Yousign-Bearer-Token |
Unterstützte Provisionierungsaktionen | Push New Users; Push Profile Updates |
Feld für eindeutige Benutzerkennung | Auf ein unveränderliches E-Mail-Attribut in Ihrem IdP abbilden (normalerweise |
Erforderliche Attributzuordnungen konfigurieren
Ordnen Sie Ihre IdP-Attribute den folgenden SCIM-Attributen zu.
SCIM-Attribut | Erwarteter Wert | Erforderlich |
userName | E-Mail-Adresse des Benutzers (eindeutiger unveränderlicher Identifikator) | Ja |
emails[primary eq true].value | E-Mail-Adresse des Benutzers (die E-Mail-Domain muss in den zulässigen SSO-Domains der Organisation enthalten sein) | Ja |
name.givenName | Vorname des Benutzers | Ja |
name.familyName | Nachname des Benutzers | Ja |
active | true / false — steuert Aktivierung und Deprovisionierung | Ja |
roles[type eq "role"].value | Einer der folgenden Werte: admin, member | Empfohlen |
⚠️ name.givenName und name.familyName müssen die folgenden Einschränkungen erfüllen:
Maximal 150 Zeichen
Zulässige Zeichen: Buchstaben, Zahlen, Leerzeichen, Apostrophe, Bindestriche, Klammern und Akzentzeichen
Darf nicht mit einem Leerzeichen beginnen oder enden
Darf keine Folge von 10 aufeinanderfolgenden Ziffern enthalten
Wenn name.givenName oder name.familyName nicht dem von Yousign akzeptierten Format entspricht, werden diese Werte während der Provisionierung ignoriert.
Das Benutzerkonto wird trotzdem erstellt und der Benutzer wird aufgefordert, seine Informationen bei der ersten Anmeldung zu vervollständigen.
Unterstützte SCIM-Operationen
Aktivieren Sie diese Operationen in Ihrem IdP, sofern verfügbar.
Operation | Unterstützt | Effekt in Yousign |
Benutzer erstellen (POST /Users) | Ja | Erstellt ein neues Benutzerkonto |
Benutzer aktualisieren (PATCH /Users/{id}) | Ja | Aktualisiert Benutzerinformationen und Rolle |
Benutzer deaktivieren (PATCH active=false) | Ja | Deaktiviert den Benutzer |
Benutzer löschen (DELETE /Users/{id}) | Ja | Deaktiviert das Benutzerkonto (Daten bleiben erhalten) |
Benutzer abrufen (GET /Users/{id}) | Ja | Ermöglicht dem IdP, die Existenz des Benutzers zu prüfen |
Benutzer auflisten (GET /Users) | Ja | Wird zur Synchronisierung verwendet |
Verhalten bei Erreichen des Lizenzlimits
Yousign wendet Benutzerlimits entsprechend Ihrem Abonnement an.
Wenn SCIM versucht, einen Benutzer bereitzustellen und keine freien Lizenzen mehr verfügbar sind:
Der Benutzer wird nicht erstellt
Admins und Eigentümer erhalten eine E-Mail-Benachrichtigung
Die Provisionierung kann fortgesetzt werden, nachdem zusätzliche Lizenzen gekauft oder Benutzer deprovisioniert wurden und die Provisionierung erneut ausgelöst wurde
Einrichtung überprüfen
Nach dem ersten Provisionierungszyklus:
Gehen Sie in Yousign zu Einstellungen → Benutzer.
Überprüfen Sie, ob die Benutzer mit der erwarteten Rolle angezeigt werden.
Prüfen Sie die Provisionierungsprotokolle in Ihrem IdP.
Stellen Sie sicher, dass sich Benutzer erfolgreich per SSO anmelden können.