SCIM-Integration
SCIM (System for Cross-domain Identity Management) verbindet Sally automatisch mit deinem Identity Provider (IdP). So bleiben Benutzer und Gruppen immer synchron, ganz ohne manuelle Aktualisierungen.
Schnellnavigation
- Was ist SCIM?
- SCIM in Sally einrichten
- Wo trage ich die SCIM-Zugangsdaten in meinem IdP ein?
- Letzter Schritt in Sally
- FAQ: SCIM in Sally
- 5.1. Was passiert, wenn mehr Benutzer in einer Gruppe sind als Lizenzen verfügbar?
- 5.2. Wie funktioniert die Lizenz-Priorität, wenn ein Benutzer in mehreren Gruppen ist?
- 5.3. Kann ich einzelne Benutzer statt Gruppen zuordnen?
- 5.4. Muss ich SCIM neu konfigurieren, wenn neue Gruppen in meinem IdP angelegt werden?
- 5.5. Wie oft läuft die Synchronisierung?
- 5.6. Kann ich SCIM wieder deaktivieren, wenn es einmal aktiv ist?
1. Was ist SCIM?
SCIM ist ein offener Standard für die Bereitstellung von Benutzern und Gruppen. Er ermöglicht es dir, Kontoinformationen automatisch von deinem Identity Provider nach Sally zu übertragen.
Anstatt Benutzer manuell anzulegen, zu aktualisieren oder zu entfernen, sorgt SCIM dafür, dass:
- Neue Mitarbeiter sofort Zugriff auf Sally erhalten.
- Bestehende Benutzerdaten aktuell bleiben.
- Mitarbeiter, die das Unternehmen verlassen, automatisch entfernt werden.
Mit einer einmaligen Verbindung über SCIM wird dein IdP zur "Single Source of Truth". Gruppen und Lizenzen können weiterhin in deinem IdP verwaltet werden, während Sally immer den aktuellen Stand widerspiegelt. Das reduziert den Administrationsaufwand, verhindert Fehler und sorgt für sicheren, konsistenten Zugriff deines Teams.
2. SCIM in Sally einrichten
-
Gehe in Sally zu Einstellungen.
Schritt 1: Gehe zu den Einstellungen
-
Öffne den Bereich Benutzer.
-
Klicke im Bereich Verwaltung auf SCIM-Integration.
Schritt 2: SCIM-Integration im Bereich Benutzerverwaltung öffnen
-
Wähle deinen SCIM-Client aus und klicke auf SCIM einrichten.
Verfügbare Integrationen- Microsoft Entra (Azure AD)
- Google Workspace
- Okta
- OneLogin
- PingOne
Schritt 3: Wähle deinen Identity Provider und starte die Einrichtung
-
Sally generiert deine Tenant-URL und dein Token. Kopiere diese Daten direkt, da du sie brauchst, um die Einrichtung in deinem Identity Provider abzuschließen.
Kopiere Tenant-URL & Token zur Verwendung in deinem IdP
Weiter im IdPNun trägst du die Zugangsdaten in deinem Identity Provider ein.
Springe direkt zur Anleitung für dein Tool:
3. Wo trage ich die SCIM-Zugangsdaten in meinem IdP ein?
Bis dieser Schritt erledigt ist, erscheinen keine Gruppen in Sally, da dein IdP die Synchronisierung noch nicht gestartet hat.
3.1 Microsoft Entra (Azure AD)
So verbindest du Sally per SCIM mit Microsoft Entra:
-
Gehe im Azure-Portal zu "Enterprise Applications" und klicke auf "+ Neue Anwendung".
Schritt 1: Neue Enterprise Application anlegen
-
Wähle "Eigene Anwendung erstellen".
Schritt 2: Eigene Anwendung anlegen
-
Gib der App einen Namen (z. B. Sally AI SCIM Integration) und wähle "Andere Anwendung integrieren (Nicht-Galerie)". Klicke anschließend auf Erstellen.
Schritt 3: Anwendung benennen und Nicht-Galerie-Integration auswählen
-
Öffne die erstellte Anwendung und gehe zu Provisioning.
Schritt 4: Zum Bereich Provisioning wechseln
-
Klicke auf "+ Neue Konfiguration".
Schritt 5: Neue Provisioning-Konfiguration starten
-
Trage im neuen Fenster die Tenant-URL und das Token aus Sally ein. Klicke auf "Verbindung testen" und danach auf Erstellen.
Schritt 6: Zugangsdaten aus Sally eintragen und Verbindung testen
-
Nach der Konfiguration kannst du Gruppen diesem Profil zuordnen.
HinweisEs werden nur Gruppen unterstützt, keine einzelnen Benutzer.
-
Starte die Provisionierung mit einem Klick auf "Provisioning starten".
Schritt 8: Provisioning aktivieren, um Gruppen-Sync nach Sally zu starten
-
Nach dem Start der Provisionierung kehre zu Sally zurück und schließe die Einrichtung ab, indem du Gruppen und Lizenzen zuweist. Details findest du im Abschnitt Letzter Schritt in Sally.
3.2 Google Workspace
- Öffne die Admin-Konsole → Apps → Web- und mobile Apps.
- Füge eine neue benutzerdefinierte SCIM-App hinzu.
- Trage Tenant-URL und Token ein.
- Weise Gruppen zur Provisionierung zu.
- Kehre anschließend zu Sally zurück und schließe die Einrichtung im Abschnitt Letzter Schritt in Sally ab.
3.3 Okta
- Gehe zu Applications → wähle deine Sally-App.
- Öffne den Tab Provisioning.
- Trage Tenant-URL und Token ein.
- Aktiviere die Provisioning-Funktionen (Benutzer erstellen, aktualisieren, deaktivieren).
- Kehre anschließend zu Sally zurück und schließe die Einrichtung im Abschnitt Letzter Schritt in Sally ab.
3.4 OneLogin
- Gehe zu Apps → SCIM Provisioning.
- Füge Sallys Tenant-URL und Token ein.
- Ordne Gruppen zu und speichere.
- Kehre anschließend zu Sally zurück und schließe die Einrichtung im Abschnitt Letzter Schritt in Sally ab.
3.5 PingOne
- Gehe zu Connections → Provisioning.
- Füge eine neue SCIM-Verbindung hinzu.
- Trage Tenant-URL und Token ein.
- Teste und aktiviere die Verbindung.
- Kehre anschließend zu Sally zurück und schließe die Einrichtung im Abschnitt Letzter Schritt in Sally ab.
4. Letzter Schritt in Sally
Nachdem du die Tenant-URL und das Token in deinem Identity Provider eingetragen und die Provisionierung gestartet hast, ist die Verbindung aktiv.
Nun musst du die Einrichtung in Sally abschließen, indem du festlegst, welche Gruppen und Lizenzen verwendet werden sollen. So stellst du sicher, dass Benutzer aus deinem IdP automatisch die richtigen Rollen und Lizenzen in Sally erhalten.
So gehst du vor:
-
Öffne erneut die SCIM-Integration.
-
Unter Gruppenzuordnung ordnest du deine IdP-Gruppen den Sally-Rollen zu:
info- Aktive Sally-Benutzergruppe → Gruppe für Standardnutzer.
- Admin-Benutzergruppe → Gruppe für Administratoren.
-
Unter Lizenzzuordnung verknüpfst du jede IdP-Gruppe mit einem bestimmten Lizenztyp (Starter, Team, Enterprise). So wird die Lizenz automatisch anhand der Gruppenzugehörigkeit vergeben.
WichtigWenn eine Gruppe mehr Benutzer enthält, als Lizenzen verfügbar sind, kauft Sally automatisch zusätzliche Lizenzen.
Diese werden sofort abgerechnet – achte daher darauf, dass deine Gruppengrößen zu deinem Abo passen. -
Entscheide, ob neue Benutzer automatisch eine Einladung per E-Mail erhalten sollen.
-
Klicke auf Speichern, um die Konfiguration zu übernehmen.
Weise Gruppen und Lizenzen zu und speichere die Konfiguration
- Nach dem Speichern erscheinen alle per SCIM bereitgestellten Mitglieder in deiner Benutzerliste in Sally.
Liste der synchronisierten Benutzer
5. FAQ: SCIM in Sally
5.1 Was passiert, wenn mehr Benutzer in einer Gruppe sind als Lizenzen verfügbar?
Wenn eine SCIM-Gruppe mehr Benutzer enthält, als Lizenzen verfügbar sind, kauft Sally automatisch zusätzliche Lizenzen.
Diese werden sofort abgerechnet, damit alle Benutzer Zugriff erhalten.
5.2 Wie funktioniert die Lizenz-Priorität, wenn ein Benutzer in mehreren Gruppen ist?
Wenn ein Benutzer mehreren SCIM-Lizenzgruppen zugeordnet ist, weist Sally immer die niedrigste Lizenzstufe zu.
Beispiel: Befindet sich ein Nutzer sowohl in der Starter- als auch in der Team-Gruppe, erhält er automatisch die Starter-Lizenz.
5.3 Kann ich einzelne Benutzer statt Gruppen zuordnen?
Nein. SCIM-Provisioning in Sally funktioniert ausschließlich mit Gruppen aus deinem Identity Provider.
Das sorgt für Konsistenz und verhindert manuelle Ausnahmen.
5.4 Muss ich SCIM neu konfigurieren, wenn neue Gruppen in meinem IdP angelegt werden?
Nein. Solange SCIM aktiv ist, kannst du neue Gruppen direkt in Sally unter Gruppenzuordnung oder Lizenzzuordnung zuweisen – ganz ohne erneute Einrichtung.
5.5 Wie oft läuft die Synchronisierung?
Die Provisionierung läuft automatisch in Intervallen (abhängig von deinem IdP). In Microsoft Entra zum Beispiel erfolgt die Synchronisierung in der Regel alle 40 Minuten.
Änderungen im IdP (z. B. neue Benutzer oder entfernte Accounts) werden nach dem nächsten Zyklus in Sally übernommen.
5.6 Kann ich SCIM wieder deaktivieren, wenn es einmal aktiv ist?
Ja. Du kannst SCIM jederzeit in den Sally-Einstellungen unter SCIM-Integration trennen.
Bereits bereitgestellte Benutzer bleiben jedoch bestehen, bis du sie manuell entfernst.