Zum Hauptinhalt springen

SCIM-Integration in Sally AI einrichten

SCIM (System for Cross-domain Identity Management) verbindet Sally automatisch mit deinem Identity Provider (IdP). So bleiben Benutzer und Gruppen immer synchron, ganz ohne manuelle Aktualisierungen.


Schnellnavigation

  1. Was ist SCIM und warum mit Sally AI nutzen?
  2. Wie richte ich SCIM in Sally AI ein?
  3. Wo gebe ich die SCIM-Zugangsdaten in meinem IdP ein?
  4. Was ist der letzte Konfigurationsschritt in Sally?
  5. FAQ: SCIM in Sally

1. Was ist SCIM und warum mit Sally AI nutzen?

SCIM ist ein offener Standard für die Bereitstellung von Benutzern und Gruppen. Er ermöglicht es dir, Kontoinformationen automatisch von deinem Identity Provider nach Sally zu übertragen.

Anstatt Benutzer manuell anzulegen, zu aktualisieren oder zu entfernen, sorgt SCIM dafür, dass:

  • Neue Mitarbeiter sofort Zugriff auf Sally erhalten.
  • Bestehende Benutzerdaten aktuell bleiben.
  • Mitarbeiter, die das Unternehmen verlassen, automatisch entfernt werden.

Mit einer einmaligen Verbindung über SCIM wird dein IdP zur "Single Source of Truth". Gruppen und Lizenzen können weiterhin in deinem IdP verwaltet werden, während Sally immer den aktuellen Stand widerspiegelt. Das reduziert den Administrationsaufwand, verhindert Fehler und sorgt für sicheren, konsistenten Zugriff deines Teams.

2. Wie richte ich SCIM in Sally AI ein?

  1. Gehe in Sally zu Einstellungen.

    Navigiere zu den Einstellungen
    Schritt 1: Gehe zu den Einstellungen

  2. Öffne den Bereich Benutzer.

  3. Klicke im Bereich Verwaltung auf SCIM-Integration.

    SCIM-Integration öffnen
    Schritt 2: SCIM-Integration im Bereich Benutzerverwaltung öffnen

  4. Wähle deinen SCIM-Client aus und klicke auf SCIM einrichten.

    Verfügbare Integrationen
    • Microsoft Entra (Azure AD)
    • Google Workspace
    • Okta
    • OneLogin
    • PingOne

    SCIM-Provider auswählen
    Schritt 3: Wähle deinen Identity Provider und starte die Einrichtung

  5. Sally generiert deine Tenant-URL und dein Token. Kopiere diese Daten direkt, da du sie brauchst, um die Einrichtung in deinem Identity Provider abzuschließen.

    SCIM-Zugangsdaten
    Kopiere Tenant-URL & Token zur Verwendung in deinem IdP
    Weiter im IdP

    Nun trägst du die Zugangsdaten in deinem Identity Provider ein.
    Springe direkt zur Anleitung für dein Tool:

3. Wo gebe ich die SCIM-Zugangsdaten in meinem IdP ein?

Bis dieser Schritt erledigt ist, erscheinen keine Gruppen in Sally, da dein IdP die Synchronisierung noch nicht gestartet hat.

3.1 Microsoft Entra (Azure AD)

So verbindest du Sally per SCIM mit Microsoft Entra:

  1. Gehe im Azure-Portal zu "Enterprise Applications" und klicke auf "+ Neue Anwendung".

    Neue Anwendung erstellen
    Schritt 1: Neue Enterprise Application anlegen

  2. Wähle "Eigene Anwendung erstellen".

    Eigene Anwendung erstellen
    Schritt 2: Eigene Anwendung anlegen

  3. Gib der App einen Namen (z. B. Sally AI SCIM Integration) und wähle "Andere Anwendung integrieren (Nicht-Galerie)". Klicke anschließend auf Erstellen.

    Anwendung benennen
    Schritt 3: Anwendung benennen und Nicht-Galerie-Integration auswählen

  4. Öffne die erstellte Anwendung und gehe zu Provisioning.

    Microsoft Entra Enterprise Application mit geöffnetem Menüpunkt Provisioning
    Schritt 4: Zum Bereich Provisioning wechseln

  5. Klicke auf "+ Neue Konfiguration".

    Neue Konfiguration hinzufügen
    Schritt 5: Neue Provisioning-Konfiguration starten

  6. Trage im neuen Fenster die Tenant-URL und das Token aus Sally ein. Klicke auf "Verbindung testen" und danach auf Erstellen.

    Tenant-URL und Token eingeben
    Schritt 6: Zugangsdaten aus Sally eintragen und Verbindung testen

  7. Nach der Konfiguration kannst du Gruppen diesem Profil zuordnen.

    Hinweis

    Es werden nur Gruppen unterstützt, keine einzelnen Benutzer.


  1. Starte die Provisionierung mit einem Klick auf "Provisioning starten".

    Microsoft Entra Provisioning-Seite mit hervorgehobenem Button 'Provisioning starten'
    Schritt 8: Provisioning aktivieren, um Gruppen-Sync nach Sally zu starten

  2. Nach dem Start der Provisionierung kehre zu Sally zurück und schließe die Einrichtung ab, indem du Gruppen und Lizenzen zuweist. Details findest du im Abschnitt Letzter Schritt in Sally.

3.2 Google Workspace

  1. Öffne die Admin-Konsole → Apps → Web- und mobile Apps.
  2. Füge eine neue benutzerdefinierte SCIM-App hinzu.
  3. Trage Tenant-URL und Token ein.
  4. Weise Gruppen zur Provisionierung zu.
  5. Kehre anschließend zu Sally zurück und schließe die Einrichtung im Abschnitt Letzter Schritt in Sally ab.

3.3 Okta

  1. Gehe zu Applications → wähle deine Sally-App.
  2. Öffne den Tab Provisioning.
  3. Trage Tenant-URL und Token ein.
  4. Aktiviere die Provisioning-Funktionen (Benutzer erstellen, aktualisieren, deaktivieren).
  5. Kehre anschließend zu Sally zurück und schließe die Einrichtung im Abschnitt Letzter Schritt in Sally ab.

3.4 OneLogin

  1. Gehe zu Apps → SCIM Provisioning.
  2. Füge Sallys Tenant-URL und Token ein.
  3. Ordne Gruppen zu und speichere.
  4. Kehre anschließend zu Sally zurück und schließe die Einrichtung im Abschnitt Letzter Schritt in Sally ab.

3.5 PingOne

  1. Gehe zu Connections → Provisioning.
  2. Füge eine neue SCIM-Verbindung hinzu.
  3. Trage Tenant-URL und Token ein.
  4. Teste und aktiviere die Verbindung.
  5. Kehre anschließend zu Sally zurück und schließe die Einrichtung im Abschnitt Letzter Schritt in Sally ab.

4. Was ist der letzte Konfigurationsschritt in Sally?

Nachdem du die Tenant-URL und das Token in deinem Identity Provider eingetragen und die Provisionierung gestartet hast, ist die Verbindung aktiv.

Nun musst du die Einrichtung in Sally abschließen, indem du festlegst, welche Gruppen und Lizenzen verwendet werden sollen. So stellst du sicher, dass Benutzer aus deinem IdP automatisch die richtigen Rollen und Lizenzen in Sally erhalten.

In Sally kannst du mehrere IdP-Gruppen pro Rolle und pro Lizenzstufe zuweisen. Du musst also nicht alles in eine einzige große Sammelgruppe stecken, sondern kannst mehrere Gruppen aus deinem IdP derselben Kategorie zuordnen und die Kategorien auch kombinieren. Eine Gruppe kann zum Beispiel gleichzeitig Mitglieder als Standardnutzer aktivieren und ihnen eine Pro-Lizenz vergeben.

So gehst du vor:

  1. Öffne erneut die SCIM-Integration.

  2. Unter Gruppenzuordnung ordnest du deine IdP-Gruppen den Sally-Rollen zu:

    info
    • Aktive Sally-Benutzergruppen → Wähle eine oder mehrere Gruppen aus, deren Mitglieder als Standardnutzer Zugriff bekommen sollen.
    • Admin-Benutzergruppen → Wähle eine oder mehrere Gruppen aus, deren Mitglieder Administratorrechte in Sally haben sollen.

  1. Unter Lizenzzuordnung verknüpfst du IdP-Gruppen mit einem bestimmten Lizenztyp (Starter, Pro, Enterprise). Auch hier kannst du mehrere Gruppen je Lizenzstufe auswählen. So wird die Lizenz automatisch anhand der Gruppenzugehörigkeit vergeben.

    Wichtig

    Wenn die zugewiesenen Gruppen zusammen mehr Benutzer enthalten, als Lizenzen verfügbar sind, kauft Sally automatisch zusätzliche Lizenzen. Diese werden sofort abgerechnet. Achte daher darauf, dass deine Gruppengrößen zu deinem Abo passen.

  2. Entscheide, ob neue Benutzer automatisch eine Einladung per E-Mail erhalten sollen.

  3. Klicke auf Speichern, um die Konfiguration zu übernehmen.

Sally SCIM-Einstellungen mit Mehrfachauswahl-Feldern für Benutzergruppen, Admin-Gruppen und Lizenzstufen
Wähle pro Rolle und Lizenzstufe eine oder mehrere Gruppen aus und speichere die Konfiguration
  1. Nach dem Speichern erscheinen alle per SCIM bereitgestellten Mitglieder in deiner Benutzerliste in Sally.
Empfehlung: So strukturierst du deine Gruppen

Da Sally mehrere Gruppen pro Kategorie unterstützt, brauchst du keine überdimensionierte Sammelgruppe für das ganze Unternehmen. Einige Muster, die sich in der Praxis bewährt haben:

  • Nach Abteilung oder Team gruppieren. Halte getrennte IdP-Gruppen für Sales, Marketing, Support usw. vor. Weise sie alle als Aktive Sally-Benutzergruppen zu und, falls sie dieselbe Lizenz nutzen, auch als passende Lizenzgruppe. Ein neues Team später hinzuzufügen, ist dann nur eine neue Gruppe, keine neue Konfiguration.
  • Eine eigene Admin-Gruppe nutzen. Halte deine Sally-Administratoren in einer kleinen, fokussierten Gruppe (z. B. Sally Admins oder IT Leads). Mitglieder dieser Gruppe erhalten zusätzlich zur regulären Nutzerrolle Admin-Rechte.
  • Lizenzstufen als explizite Gruppen abbilden. Lege IdP-Gruppen wie Sally Starter, Sally Pro oder Sally Enterprise an. Ein Upgrade eines Nutzers ist dann nur eine Mitgliedschafts-Änderung in deinem IdP, ohne Anpassung in Sally.
  • Beide Ansätze kombinieren. Nutze Abteilungsgruppen, um den Zugriff zu steuern, und eine kleinere Lizenzgruppe (z. B. Sally Pro) obendrauf, um ausgewählte Power-User auf eine höhere Lizenzstufe zu bringen.

Je granularer deine Gruppen sind, desto einfacher lassen sich Zugriffe oder Lizenzen später ändern, komplett aus deinem IdP heraus.

SCIM Benutzerliste in Sally
Liste der synchronisierten Benutzer

5. FAQ: SCIM in Sally

5.1 Was passiert, wenn mehr Benutzer in einer Gruppe sind als Lizenzen verfügbar?

Wenn die einer Lizenzstufe zugeordneten Gruppen zusammen mehr Benutzer enthalten, als Lizenzen verfügbar sind, kauft Sally automatisch zusätzliche Lizenzen.
Diese werden sofort abgerechnet, damit alle Benutzer Zugriff erhalten.

5.2 Wie funktioniert die Lizenz-Priorität, wenn ein Benutzer in mehreren Gruppen ist?

Wenn ein Benutzer mehreren SCIM-Lizenzgruppen zugeordnet ist, weist Sally immer die niedrigste Lizenzstufe zu.
Beispiel: Befindet sich ein Nutzer sowohl in der Starter- als auch in der Pro-Gruppe, erhält er automatisch die Starter-Lizenz.

5.3 Kann ich einzelne Benutzer statt Gruppen zuordnen?

Nein. SCIM-Provisioning in Sally funktioniert ausschließlich mit Gruppen aus deinem Identity Provider.
Das sorgt für Konsistenz und verhindert manuelle Ausnahmen.

5.4 Muss ich SCIM neu konfigurieren, wenn neue Gruppen in meinem IdP angelegt werden?

Nein. Solange SCIM aktiv ist, kannst du neue Gruppen direkt in Sally unter Gruppenzuordnung oder Lizenzzuordnung ergänzen, ganz ohne erneute Einrichtung. Pro Kategorie kannst du beliebig viele Gruppen hinterlegen, neue Teams oder Lizenzstufen musst du also nur noch in der Mehrfachauswahl ergänzen.

5.5 Wie oft läuft die Synchronisierung?

Die Provisionierung läuft automatisch in Intervallen (abhängig von deinem IdP). In Microsoft Entra zum Beispiel erfolgt die Synchronisierung in der Regel alle 40 Minuten.
Änderungen im IdP (z. B. neue Benutzer oder entfernte Accounts) werden nach dem nächsten Zyklus in Sally übernommen.

5.6 Kann ich SCIM wieder deaktivieren, wenn es einmal aktiv ist?

Ja. Du kannst SCIM jederzeit in den Sally-Einstellungen unter SCIM-Integration trennen.
Bereits bereitgestellte Benutzer bleiben jedoch bestehen, bis du sie manuell entfernst.