问题标签 [scim2]

我正在使用 WSO2 Identity Server 5.7 版，我想通过 SCIM2 API 更改用户密码。

这是我的输入，我很确定一切都是正确的：

• 网址：PATCH <IDP_URL>/scim2/Me
• HTTP 请求标头，例如 Basic authentication info 和 Content-Type: "application/scim+json" 等。
• 身体：{"schemas":["urn:ietf:params:scim:api:messages:2.0:PatchOp"],"Operations":[{"op":"replace","value":{"password":"shaggy"}}]}

我总是收到错误：

但 WSO2 日志仅显示以下行：

只是为了尝试输入错误的凭据，我得到401 Unauthorized.

有人可以帮忙吗？谢谢。

tl;dr：我怎么知道 SCIM 请求来自 Azure Active Directory 而不是冒名顶替者？

我想防御以下攻击：

1. Alice 为与 Azure Active Directory 和我的应用程序的 SCIM 集成生成不记名令牌
2. Alice 使用不记名令牌制作 SCIM 请求并要求更新 Bob 的用户，即使 Bob 的用户不属于她的 Azure Active Directory 租户。

由于来自 Azure AD 的 SCIM 请求仅通过 Alice 生成的不记名令牌到达，所以我只知道 Alice（我不想信任他）发送了消息。我无法确定我信任的 IDP Azure AD 是否代表她发送了消息。为什么来自 AD 的消息没有签名？

其他人是如何解决这个问题的？

SCIM RFC 7643 第 7 节描述了模式定义，“返回”期望以下值之一：-

1. 总是
2. 绝不
3. default - 在所有返回属性值的 SCIM 操作响应中默认返回该属性。如果指定了 GET 请求“attributes”参数，则仅当属性在“attributes”参数中命名时才返回属性值。
4. request - 如果属性由客户端指定（例如，属性已修改），则返回该属性以响应任何 PUT、POST 或 PATCH 操作。只有在“attributes”参数中指定时，该属性才会在 SCIM 查询操作中返回。

我的问题是围绕“默认”和“请求”值。我有一个用例，只有在使用“属性”的查询参数中明确请求时，才应在 GET 请求中返回属性。我在“请求”属性描述中看到，我期望的行为仅适用于“POST”、“PATCH”和“PUT”。我甚至可以将它用于 GET 吗？

参考 -在此处输入链接描述

我想知道是否有人知道 OneLogin 平台上的这个应用程序多久调用一次以检索新的访问令牌。

我正在尝试将此应用程序与过期时间为 30 天的 SCIM API 一起使用。在这 30 天之后，我必须手动导航到应用程序配置页面并按下获取令牌按钮。

OneLogin 是否使用授权码来检索新的刷新令牌？多常？每次我尝试配置新用户时都会使用它吗？

谢谢大家的帮助。

我需要将 Azure AD 用户同步到我的应用程序中，因此我一直在研究如何实现 SCIM 并配置 Azure AD 以使用它。我的最终目标是将我的应用程序列为此处的应用程序：https ://docs.microsoft.com/en-gb/azure/active-directory/saas-apps/tutorial-list ，为此，它应该支持SSO + 用户配置。

实现有点简单，因为 SCIM 是一个标准，我只需要实现一堆符合特定合同的 API，所以这应该可以工作。

但是，我遇到的问题是我找不到如何为我的应用程序启用“配置”功能。我一直在阅读文章并观看 Microsoft 提供的视频（例如https://docs.microsoft.com/en-gb/azure/active-directory/app-provisioning/configure-automatic-user-provisioning-portal ）似乎当我单击应用程序中的 Provisioning 部分时，我应该能够对其进行配置。不幸的是，我没有看到教程中显示的 UI，所以我想我错过了一些文档中没有解释的步骤。此外，我希望在某个地方配置基本 URL，该 URL 应包含 SCIM 标准所需的所有端点。我也没有看到这一点，这证实了我的感觉，我错过了一些重要的东西。

以下是我一直在采取的步骤：

1. 打开 Azure 门户
2. 创建企业应用程序 - 单击企业应用程序，创建您自己的应用程序，并集成您在图库中找不到的任何其他应用程序（非图库）
3. 创建应用程序后，我在“配置”设置中看不到任何内容

我正在尝试使用 scim2 端点在 docker 上安装 wso2 v3.2.0 创建一个新的 carbon 用户。当我尝试在端点上发出POST请求时，即使使用范围进行了正确的身份验证，我也总是会收到响应。/scim2/Users401 Unauthorized

1. 首先，我创建一个令牌来授权管理员用户

我收到了我的令牌

2. 然后我发出创建新用户的请求

但我总是得到这个回应

我该如何解决这个问题？

在用户在这里给我的一些帮助之后，我无法理解如何将 SCIM2 与 WSO2 API Manager 3.2.0 一起实际使用

我已经通过 docker 安装了 wso2am，在它的文件夹中查看了很多关于 scim2 的配置文件，这些文件都已启用。但我似乎找不到实际的 scim2 servlet。

所以我还在另一个容器 wso2 Identity Server (5.10) 中安装了，它包含 scim2 服务器并且 API 似乎可以工作，所以我决定在 Identity Server 和 API Manager 之间创建一个共享存储，以通过 IS 的 scim2 API 创建用户和将这些用户与 API 管理器一起使用。

所以 wso2am 安装在<ip>:9443wso2is 上<ip>:9444

我已经从 IS carbon 管理面板成功配置了一个共享用户存储，并且我可以看到 API Manager 数据库中的所有用户。

但是当我尝试调用身份服务器上的 scim2 api 为远程（Api Manager）数据库创建一个新用户时，它说：

即使在 wso2 Api 管理器配置文件中启用了 SCIM。

我怎样才能使这项工作？我是否需要在 wso2 api manager 容器中实际安装 scim？（有没有关于这个的参考？）

还是我需要将身份服务器配置为外部密钥管理器？

我唯一的目标是使用 wso2 api 管理器的 scim2 apis 创建新用户。

提前致谢

我在 nestjs/prima/postegre 项目中工作，我找不到任何类似的代码源资源，我如何更新我的 prisma 模式以适应 SCIM 模型，或者是否有任何类似的项目可以激发灵感？

我们使用 SCIM 2.0 将帐户从源（如 AD）配置到我们的应用程序。但是，越来越多的客户转向 AzureAD。支持从 Azure AD 预配“正常”帐户，并且非常简单。但是，我们找不到有关如何在 AzureAD 中创建具有分配用户的组/功能/委派帐户的信息，因此也找不到有关如何配置这些帐户的信息。目前，我们的客户似乎直接在 ExchangeOnline 中管理这些帐户，这使得有两个不同的来源，并且这些帐户无法使用 SCIM 从 Exchange 配置。

就这些帐户和配置而言，任何人都可以帮助了解 AzureAD 中哪些是可能的，哪些是不可能的？

谢谢！

问候，瑞克

我正在使用WSO2 IS v5.11.0。

我正在尝试执行一个PATCH请求，我试图从组中删除一个用户。

API：/Groups/{id}
方法：PATCH

有效载荷：

我收到以下错误响应

对于相同的 API 请求负载，我可以使用"op": "add" 将用户添加到组，但单独删除不起作用！

有人可以让我知道这个问题以及如何从组中删除用户吗？

参考：https ://is.docs.wso2.com/en/5.11.0/develop/scim2-rest-apis/#/Groups%20Endpoint/patchGroup