问题标签 [scim2]

是否有任何可用的 SCIM2 一致性测试实用程序？

基本上我想测试 SCIM2 服务器功能是否满足定义的 SCIM2 协议和模式标准

• https://www.rfc-editor.org/rfc/rfc7643
• https://www.rfc-editor.org/rfc/rfc7644

我正在尝试为我们的 Saas 产品创建 Azure AD 配置（使用 scim2）。我希望多个客户能够连接到他们的 Azure AD 租户。

微软在这里有参考代码：https ://github.com/AzureAD/SCIMReferenceCode

但是，这设置为只允许一个租户，并且不使用您在 azure ad 中设置的“秘密令牌”。即使评论明确指出秘密令牌不应留空以进行生产。

这是参考项目中的重要代码

使用该代码，假设 Token:TokenIssuer 设置为https://sts.windows.net/ <tenant_id>/ 其中tenant_id 是实际租户 ID，TokenAudience 是 8adf8e6e-67b2-4cf2-a259-e3dc5476c621 （非画廊应用程序）。但只有当我在天蓝色广告（企业应用程序下的非画廊应用程序）中设置“秘密令牌”时，它才有效。

我已经尝试了各种各样的事情，添加 OnChallenge 告诉我如果我设置了“秘密令牌”就会发送一个挑战，但除此之外我并没有走得更远。

在这里处理多个租户和秘密令牌的任何示例代码都会很棒

更新： 使用 options.TokenValidationParameters.IssuerValidator 我可以验证颁发者，从而使其与多个租户一起工作。我现在真正无法通过的是当我在这里输入“秘密令牌”时拨打电话：（见图）

我正在尝试实现 SCIM REST API，但对PUT操作有一点困惑。

根据 SCIM RFC RFC 7644 PUT 用于替换/更新资源和 PUT 不应创建资源。

如果资源不存在，需要做什么 API？

返回 404（未找到）或任何其他要返回的状态码？

我们需要尝试创建资源吗？如果是这样，这是否违反 SCIM 标准？

我想测试我与 Azure Active Directory 的 scim 集成。我在 DataBricks 中创建了配置，但属性列表缺少电子邮件。我该如何添加它？

接受答案后更新：我试图使用 DataBricks 来测试我在 Azure 上的 SCIM 实现。正确的方法是创建一个应用程序，根据需要编辑映射并将应用程序提交到 Azure AD。

我已经用 OAuth 2.0 实现了一个测试 SCIM 2.0 服务器，并设法将它与 Okta 集成，主要是通过从这里修改代码https://github.com/andreihava-okta/sample-node-scim-server。据我了解，集成需要访问令牌来访问 IdP 的 API，以便在访问服务提供商的 API 时可以创建和发送 OAuth 2.0 不记名令牌。我目前担心的是我需要在我的实际应用程序中支持多租户，并且我的租户可能有不同的 IdP。以下是我计划支持多租户的方式：

租户 A 可能使用 Okta，租户 B 可能使用 Azure AD。当我收到一个 REST 请求时，例如在 /Users，我如何知道承载令牌是来自 Okta 还是来自 Azure AD？我是否需要在我的应用程序中额外添加配置 UI 以将 a 绑定到其 IdP？

我正在向已经具有用户目录的应用程序添加SCIM支持（支持组，包括嵌套的此类等）。

RFC 6743定义了资源的一个属性，称为lastModified. 当资源的可变属性（如 ）发生更改时，此属性应该displayName更改是非常明显的，但我正在努力确定当groups资源的属性更改时它是否应该更改。此类更改不是来自修改资源本身，甚至可能不是来自修改资源是直接成员的组（它可能是间接成员）。

所以你怎么看？lastModified当属性的值发生变化时，资源（在我的例子中是用户或组）的属性是否应该groups发生变化？lastModified如果属性值发生更改，组的属性是否应该members更改（如果是，即使更改不是通过组本身的实际修改而是通过成员资源被删除的结果）？

我正在测试我的 SCIM 与 Azure AD 的集成。我在 Azure 活动目录中创建了一个应用程序，预配凭据正常，但添加用户选项未激活（淡出）。当我创建 Databricks scim 集成时，没关系，它可以工作。有任何想法吗？

我们有一个在生产中运行的 SCIM api，我们遇到了 Group PUT 的问题。我已经扫描了官方 SCIM 规范，但我无法找到答案——当使用具有 的有效负载调用 Group PUT 时会发生什么members: [...]？

确切地说，如果我们收到一个带有如下正文的 PUT：

由于这是一个 PUT，我们从该组中删除所有成员，然后322257在单个数据库事务中将用户添加到该组。这个对吗？PUT 应该替换所有 SCIM 属性，所以我希望是这样，但是从 Azure 云 SCIM 对我们这边的调用来看，我们似乎不应该在这里删除成员？也许我们应该保留当前成员并添加用户322257？

使用 Azure AD Premium、企业应用程序和 SCIM 2.0 预配范围 - 仅分配的用户和组

我正在尝试解决以下用例：

分配给给定 AD 组的用户的 SCIM 配置

• 当用户被添加（配置）到组时，它会正确触发 PATCH /Groups/{Id} 以添加组成员
• 从组中删除（取消配置）用户时，它不会正确触发 PATCH /Groups/{Id} 以删除组的成员

我做错了什么？

此外，我想知道执行哪个调用 azure Active Directory 以了解当前谁是给定组的成员。（我注意到 AAD 对我的 SCIM/组服务实现的每次调用都将 excludeAttributes =members作为查询参数）

任何建议表示赞赏。

我想使用 SCIM 配置我的 SaaS 应用程序和 Google Workspace（前 GSuite）。我没有找到任何文档。只是预配置应用程序的列表。

它似乎在Microsoft Azure AD和 Okta 或 OneLogin 等其他身份提供程序上得到了很好的支持。

PS：我对 SAML 配置（用于身份验证）不感兴趣。仅通过用户配置。