问题标签 [scim2]

我正在使用以下 curl 命令通过 SCIM Rest API 测试 WSO2 5.10 用户创建

它按预期创建用户，但不发送电子邮件来设置密码。但是，当管理员尝试通过管理控制台为同一场景创建用户时，用户会收到一封电子邮件以设置密码。但不是通过这个 API 请求。

我究竟做错了什么？

在我们的产品中，我们决定提供一个自定义模式扩展，该扩展将具有既不是核心模式也不是 SCIM2.0 提供的企业模式的一部分的属性。我们是否需要向 IANA 注册此架构扩展？如果是，程序是什么，如果不是，扩展 URI 是否只是一个唯一标识符并且是服务提供商本地的？

在https://www.rfc-editor.org/rfc/rfc7643#section-10.3中，给出了

在命名空间“urn:ietf:params:scim:schemas:core”和“urn:ietf:params:scim:api”下注册新模式或修改应由指定专家审查，而上述命名空间之外的模式可能由指定专家按照先到先得的原则进行简单审核（例如检查垃圾邮件）进行注册。

在 IANA SCIM 注册表：https ://www.iana.org/assignments/scim/scim.xhtml中，没有任何身份提供者注册的架构扩展。这是否意味着自定义模式扩展不需要注册，只需要由服务提供商自己维护？

我已经在 Azure AD 企业应用程序中使用 SSO 和自动预配设置了 Zoom 和 DocuSign。确保正确映射角色后，即时供应按预期工作。然而，自动配置似乎只会在第一次运行时添加用户。如果我添加应用程序用户、更改用户的应用程序角色或从应用程序中删除用户，在下一次供应运行时不会发生任何事情。我希望添加用户，在 Zoom 或 DocuSign 更新用户的权限，或者禁用用户。

文档似乎表明更新和删除应该通过配置来处理。我错过了什么？

第二个问题是配置作业运行频率的时间是否可以更改。当我必须在两次测试之间等待 40 分钟时，测试非常耗时。

我在 Azure AD 企业应用程序中预配 Java 应用程序时遇到问题。我已经根据 azure 文档创建了 SCIM api，但我仍然遇到错误。

错误代码：SystemForCrossDomainIdentityManagementCredentialValidationUnavailable

详细信息：我们从您的应用程序收到了此意外响应：返回了 HTTP/404 Not Found 响应，而不是预期的 HTTP/200 OK 响应。要解决此问题，请确保租户 URL 正确。租户 URL 通常采用如下格式：https://<>/scim。如果这不能解决问题，请联系应用程序开发人员以确保他们的 SCIM 端点符合协议https://www.rfc-editor.org/rfc/rfc7644#section-3.4.2请检查服务并重试。

我们正在尝试将我们的 scim2 api 与 Azure AD 集成，并试图弄清楚如何映射主电子邮件值。我们看到您可以像本文档中那样映射多值属性： https ://docs.microsoft.com/en-us/azure/active-directory/app-provisioning/customize-application-attributes

但是，如何将多值属性的其中一个值映射为主要值呢？

问候， LT

当用户模型不支持时，我不确定我的 API 在收到 PATCH 请求以添加/更新 SCIM 用户属性时应该如何响应。

假设我的 User 模型没有“title”属性，但身份提供者 (Azure AD) 有一个映射。在预配期间，Azure 发送 PATCH 请求以执行 SCIM 添加操作以设置“title”属性。在这种情况下，我的 API 应该如何响应？

我查看了SCIM 协议规范 (RFC-7644)和SCIM 核心架构 (RFC-7643)，但我并不清楚答案。我认为三个选项可能有效：

1. 忽略该操作并返回 200 响应（假设没有其他问题）
2. 返回 400 响应scimType = "invalidPath"
3. 返回 400 响应scimType = "noTarget"

协议规范的第 3.12 节包含有关错误处理的信息，包括scimType400 响应的定义。

描述invalidPath如下：

“路径”属性无效或格式错误（参见图 7）。

描述noTarget如下：

指定的“路径”没有产生可以操作的属性或属性值。当指定的“路径”值包含不匹配的过滤器时，就会发生这种情况。

noTarget似乎非常接近正确的响应，但第二句话（以及规范中的其他描述）让我认为它仅适用于复杂的属性类型。invalidPath似乎不是最好的选择，因为根据 SCIM 规范，“title”是 User 的有效属性。我的应用程序不支持它。

更新（08/28/2020）： 如果操作没有其他问题，我决定忽略该属性并返回 200。Azure AD 预配将发送请求，查看成功，然后忽略它，直到发生更改。我最初担心 Azure 会不断地重新发送更新操作，直到值出现在 User 上，但事实并非如此。

对于规范中的内容，我仍然没有答案，但它有效。还有其他操作，我觉得我根据规范返回了正确的错误，但 Azure 会反复重新发送错误请求。

我们使用 Azure AD 作为身份提供者，以便将用户预配到我们的系统中。我们最近开始遇到这个错误。

我们的 scim 服务器代码没有变化。错误消息显然表明它应该返回 1 时获取超过 1 个条目，但实际上，没有具有上述用户名的用户，并且 Azure AD 应该发送创建新条目的请求。这是在“其他”操作下发生的，我猜这是一个 GET。知道这里出了什么问题吗？

我想了解为什么大多数 IdP 只提供 SCIM 服务和 SSO（尤其是 SAML）。

对我来说，这是两个不同的概念

• SSO：登录
• SCIM：用户配置

我指的是通过 API 通过 SCIM 提供用户，而不是作为 SAML 有效负载的一部分。

我在我们的 Azure AD 上创建了一个应用程序注册。

然后，我使用应用程序注册 ID 在客户的 AD 中创建“企业应用程序”。它是这样的

1. 他们的管理员登录我们的系统并点击连接 AD
2. 我们发送一个质询 (OpenId Connect)，允许他们登录到他们的 microsoft 帐户。
3. 这会在他们的 AD 中的“企业应用程序”下创建我们的应用程序，然后它可以与 SSO 一起正常工作

到现在为止还挺好。但是现在我们想添加下一个逻辑步骤，使用 Scim v2 进行配置但是如果我在客户/测试 AD 上浏览到企业应用程序下的应用程序，然后单击配置，我会看到以下内容

无论我是否根据需要支持Scim2，都无法连接配置。为什么是这样？我们的应用程序是否需要在图库中才能正常工作？

我注意到我可以转到企业应用程序 > 新应用程序 > 非图库应用程序并创建一个新应用程序。然后，这将与配置一起使用。但是我们的客户将需要两个应用程序，一个来自我们的应用程序注册，它执行 SSO，另一个用于配置。我想要一个应用程序来做这两件事。

对于最初添加时没有任何地址（甚至没有空地址数组）的用户，我应该如何处理以下 PATCH 请求？

我是否应该“主动”创建一个地址数组，其单个值如下（这似乎是一个非常糟糕的解决方案）？

我希望补丁请求看起来像：