SCIM-Identity-Provisioning
Accounts von Hand anzulegen, sie bei einem Austritt zu deaktivieren und Gruppenmitgliedschaften manuell nachzuziehen, funktioniert nicht mehr, sobald Identitäten zentral verwaltet werden. Dieses Add-on macht Znuny zu einem standardkonformen SCIM-2.0-Server, sodass jeder SCIM-fähige Identity-Provider Agenten, Agentengruppen, Kundenbenutzer und Kundengruppen automatisch anlegt, aktualisiert und deaktiviert — genau in dem Moment, in dem sich die Daten im vorgelagerten System ändern.
Kompatibel mit jedem SCIM-2.0-Identity-Provider
Die gesamte SCIM-Logik läuft vollständig über das Generic Interface von Znuny und wird als zwei einsatzbereite Webservices bereitgestellt — einer für die Agenten- und Agentengruppenbereitstellung, einer für Kundenbenutzer und Kundengruppen. Beide implementieren die Discovery-Endpunkte ServiceProviderConfig, Schemas und ResourceTypes, sodass sich Identity-Provider mit fest vorgegebenen SCIM-Connectoren, wie Microsoft Entra ID, automatisch konfigurieren. Okta, Keycloak und jeder andere RFC-7644-konforme Provider werden ebenso unterstützt.
Agenten, Gruppen, Kundenbenutzer und Kundengruppen
Der vollständige SCIM-Funktionsumfang — Auflisten, Abrufen, Erstellen, Ersetzen, Patchen und Löschen — steht sowohl für Znuny-Agenten als auch für Kundenbenutzer zur Verfügung. SCIM-Gruppen werden bei Agenten auf Znuny-Rollen und bei Kundenbenutzern auf Znuny-Gruppen abgebildet, sodass Berechtigungsstrukturen automatisch mit den Accounts synchron bleiben. Welche SCIM-Attribute auf welche Znuny-Felder abgebildet werden, ist konfigurierbar — die Zuordnung lässt sich so an bereits genutzte Felder anpassen, statt ein starres Schema vorzugeben.
Standardkonforme Filter und Bulk-Operationen
Jeder Listen-Endpunkt unterstützt SCIM-Filter nach RFC 7644, einschließlich eq, ne, co, sw, ew, pr, Vergleichsoperatoren sowie der logischen Verknüpfungen and, or und not mit Klammerung. Häufige Abfragen wie die Filterung nach Benutzername oder E-Mail-Adresse werden über schnelle Datenbankabfragen aufgelöst. Für umfangreiche Synchronisationsläufe unterstützen beide Webservices zusätzlich die SCIM-Operation Bulk, mit der ein Identity-Provider viele Erstellungen, Aktualisierungen und Löschungen in einer einzigen Anfrage überträgt, statt für jeden Benutzer einen eigenen Aufruf abzusetzen.
Sicher durch Design: Eingeschränkte Tokens und lückenlose Protokollierung
Jede Anfrage authentifiziert sich über einen Bearer-Token, der unter Admin → SCIM-Tokens verwaltet wird — für jeden Identity-Provider oder jede Integration wird ein eigener Token empfohlen. Tokens lassen sich optional auf eine einzelne Kundenfirma einschränken, sodass der Identity-Provider eines Partners oder einer Tochtergesellschaft ausschließlich seine eigenen Kundenbenutzer sehen und verwalten kann — firmenübergreifender Zugriff wird konsequent abgelehnt. Jede erfolgreiche Erstellung, Aktualisierung, Patch- oder Löschoperation wird mit dem Präfix SCIM::Audit im Znuny-Systemprotokoll erfasst und liefert Administratoren so einen vollständigen, durchsuchbaren Nachweis aller über die Schnittstelle vorgenommenen Änderungen.