SCIM
Introduktion til SCIM
SCIM fokuserer på at automatisere processen med at oprette, opdatere og slette bruger identiteter på tværs af forskellige systemer. Dette er især nyttigt i scenarier, hvor brugere skal klargøres eller deprovisioneres fra flere applikationer eller tjenester samtidigt.
SCIM definerer et standardskema til at repræsentere bruger identiteter og deres attributter. Denne standardisering sikrer sammenhæng i, hvordan brugerdata struktureres og udveksles, hvilket fremmer interoperabilitet mellem forskellige identitetsstyringssystemer.
SCIM er bygget på principperne for Representational State Transfer (REST), ved hjælp af HTTP-metoder til kommunikation. Dette gør det nemt at integrere og implementere, da mange moderne web tjenester og applikationer allerede bruger RESTful API'er.
SCIM inkorporerer sikkerhedsfunktioner, herunder brugen af HTTPS til sikker kommunikation og muligheden for at integrere med godkendelsesprotokoller som OAuth og SAML, for at sikre fortroligheden og integriteten af identitetsoplysninger.
SCIM er designet til at være skalerbar, hvilket giver organisationer mulighed for effektivt at administrere et stort antal bruger identiteter på tværs af forskellige systemer.
Det primære mål med SCIM er at forenkle kompleksiteten forbundet med identitetshåndtering, især i cloud-baserede og hybride it-miljøer. Ved at levere et fælles sprog til identitetsstyring og synkronisering hjælper SCIM organisationer med at strømline deres operationer, forbedre sikkerheden og lettere tilpasse sig kravene fra et dynamisk digitalt økosystem.
SCIM-processen
SCIM opsættes som en Enterprise Applikation i MS Azure. I applikationen konfigureres hvilke objekt egenskaber som skal pushes til modtager applikation, hvilke objekter (brugere og grupper) som skal pushes samt modtager endpoints og nødvendige adgange.
SCIM-synkroniseringsprocessen fungerer som en ensrettet push-funktion, der overfører data fra Microsoft Entra til modtager-applikationer såsom IMS Case. Specifikt bruger den en kompatibel SCIM API på modtager-applikationen, der problemfrit flytter de pushede attributter til deres udpegede placeringer.
Denne systematiske SCIM-proces udføres med regelmæssige intervaller og kører hvert 20. til 40. minut og omfatter fire nøgle trin til effektiv og rettidig informationsoverførsel.
Netværks Transporten
Sikker dataoverførsel
SCIM applikationen transmitterer sikkert objektinformation til et udpeget SCIM-slutpunkt via HTTPS-protokollen. Forbindelse til SCIM-slutpunktet etableres af SCIM-applikationen ved hjælp af et hemmeligt token, genereret i modtager-applikationen. Især kan dette hemmelige token konfigureres med en udløbsdato, der kan forlænges op til 24 måneder ud i fremtiden.
Der anbefales at du opretter en dedikeret konto specifikt til SCIM-synkronisering i IMS Case løsningen. Denne konto vil spille en afgørende rolle i at generere og administrere de nødvendige tokens, hvilket sikrer problemfri kommunikation med SCIM-applikationen.
Datakryptering
Al SCIM-trafik er krypteret, hvilket sikrer en sikker datatransmission. Visma IMS har proaktivt aktiveret trafik fra Microsoft Azure gennem de nødvendige firewalls, hvilket faciliterer en problemfri opsætning og drift af SCIM synkroniseringen
Logning
SCIM-synkroniseringen tilbyder en omfattende log, der fanger alle hændelser. Administratorer bevarer fleksibiliteten til selektivt at abonnere på specifikke begivenheder inden for SCIM-synkroniseringen og skræddersy tilsyn af applikationen til at matche organisatoriske krav.
Attributter
Visma IMS leverer et mapningsskema, der bygger bro mellem Microsoft Entra-attributter med tilsvarende IMS Case objekt attributter. Dette garanterer nøjagtig overførsel og opdatering af værdier fra Microsoft Entra til IMS Case.
Mapningsskemaer opsættes i SCIM applikationen under Provisionering. Visma IMS har allerede de nødvendige mapningsskemaer som indlæses og benyttes så der sikres at de korrekte værdier i Azure rammer de korrekte værdier i IMS Case.
Konfigurationen
Konfiguration af brug af SCIM med IMS Case kræver administrativ adgang til både Microsoft Azure, IMS Case frontend og backend. Hvis man har brugere i IMS Case i forvejen, skal der ud over opsætning af SCIM og SAML applikationer laves en udlæsning af objektID'er på alle brugere og grupper fra Azure. Disse indlæses efterfølgende i IMS Case af Visma IMS så løsningen er klargjort til bruger synkronisering.
For at booke Visma IMS teknisk personlig kontakt imsbooking@visma.com at lave en aftale.
Single Sign-On
Introduktion til single sign-on
Single Sign-On (SSO) er en godkendelsesproces, der giver en bruger mulighed for at få adgang til flere applikationer eller tjenester med et enkelt sæt login-legitimationsoplysninger. I en traditionel godkendelsesopsætning skal brugerne indtaste deres brugernavn og adgangskode for hver applikation separat. Men med SSO logger en bruger på én gang, og efterfølgende adgang til andre tilsluttede systemer eller applikationer gives uden behov for at indtaste legitimationsoplysninger igen.
Nøglefunktioner ved Single Sign-On inkluderer:
Brugerkomfort: SSO forbedrer brugeroplevelsen ved at reducere antallet af gange, en bruger skal logge ind. Det forenkler godkendelsesprocessen, hvilket gør det mere bekvemt og effektivt.
Håndtering af adgangskoder: SSO mindsker behovet for, at brugere skal huske og administrere flere brugernavne og adgangskoder til forskellige applikationer. Dette kan bidrage til stærkere sikkerhedspraksis, da brugere er mindre tilbøjelige til at ty til svage adgangskoder eller bruge de samme legitimationsoplysninger på tværs af forskellige platforme.
Sikkerhed: Mens SSO forenkler adgangen for brugere, er den designet med sikkerhed i tankerne. Brugere autentificerer sig selv én gang, og efterfølgende adgang administreres gennem sikre tokens eller andre autentificerings mekanismer. Denne centraliserede godkendelses tilgang kan forbedre sikkerheden ved at reducere risikoen forbundet med adgangskode relaterede sårbarheder.
Centraliseret adgangskontrol: SSO giver organisationer mulighed for centralt at administrere adgangskontrol. Brugertilladelser og godkendelses detaljer håndteres gennem et enkelt slutpunkt, hvilket giver administratorer bedre kontrol over, hvem der kan få adgang til hvilke ressourcer.
Produktivitet: SSO bidrager til øget produktivitet, da brugere bruger mindre tid på godkendelsesprocesser. Dette er især værdifuldt i virksomhedens miljøer, hvor medarbejdere bruger flere applikationer dagligt.
Almindelige protokoller, der bruges til implementering af Single Sign-On, inkluderer SAML (Security Assertion Markup Language), OAuth og OpenID Connect. IMS Case er kompatible med SAML og OAuth.
Single Sign-On-flowet mellem Azure og IMS Case
1. Brugeren forsøger at logge på IMS Case.
2. IMS Case genkender Single Sign-On-anmodningen og omdirigerer brugeren til “Identity provider” (IdP) for godkendelse. Brugeren omdirigeres til den konfigurerede identitetsudbyder (f.eks. Azure AD).
3. Brugeren giver deres legitimationsoplysninger (brugernavn og adgangskode) til identitetsudbyderen til godkendelse.
4. Efter vellykket godkendelse genererer identitetsudbyderen et sikkerhedstoken (SAML-token), der inkluderer brugerens identitetsoplysninger, såsom ObjectId.
5. Identitetsudbyderen sender tokenet tilbage til IMS Case
6. IMS Case verificerer tokens ægthed
7. IMS Case modtager tokenet og udtrækker brugerens ObjectId fra token payload.
8. ObjectId'et bruges som en unik identifikator til at matche og lokalisere det tilsvarende bruger objekt i IMS Case (matches mod externalId)
9. IMS Case kontrollerer brugerens ObjectId mod dets interne optegnelser eller database for at verificere brugerens eksistens og bestemme deres adgangsrettigheder.
10. Hvis brugeren er autentificeret og autoriseret, giver IMS Case adgang til brugeren.
IMS Case etablerer en brugersession, der giver brugeren mulighed for at interagere med applikationen uden behov for yderligere godkendelse under den session.
Sikkerhed
Single Sign-On (SSO)-implementeringen til IMS Case i Azure anvender strenge sikkerhedsforanstaltninger for at sikre brugergodkendelse. Al single sign-on-trafik er krypteret. Single Sign-On leveres som en Azure-applikation med følgende nøgle elementer
ApplicationId (ClientId):
“ApplicationId”, også kendt som “ClientId”, identificerer entydigt IMS Case-applikationen i Azure Active Directory (Azure AD). Denne identifikator er afgørende for at etablere et sikkert og pålideligt forhold mellem IMS Case og Azure AD. ApplicationId fungerer som et sikkert referencepunkt, der sikrer, at alle godkendelsestransaktioner mellem Azure AD og IMS Case er knyttet til den korrekte applikationsinstans. Dette hjælper med at opretholde integriteten og sikkerheden af godkendelsesprocessen.
Redirect URIs:
Redirect URIs i Azure AD-applikationsindstillingerne til IMS Case er omhyggeligt konfigureret for at sikre sikkerheden. Kun foruddefinerede URI'er, der er eksplicit godkendt, er tilladt. Denne begrænsning forhindrer uautoriserede omdirigeringsforsøg, hvilket forbedrer beskyttelsen mod potentielle phishing-angreb og uautoriseret adgang. Dette skal matche den konfigurerede Redirect URI, som er konfigureret af teknikere i IMS-tilfælde. Ved at begrænse gyldige Redirect URI’er styrker Azure AD IMS Case mod potentielle sikkerhedstrusler, og sikrer, at brugere kun omdirigeres til autoriserede slutpunkter og beskytter mod ondsindede aktiviteter.
Endpoints to Federation Metadata:
Azure AD leverer slutpunkter til adgang til federation metadata relateret til IMS Case. Disse metadata indeholder væsentlig information, herunder offentlige nøgler og understøttede protokoller. Fortroende parter, såsom IMS Case, bruger disse slutpunkter til dynamisk at opdage og validere konfigurations detaljer, hvilket sikrer en sikker og standardiseret forbindelse til godkendelse. IMS Case drager fordel af dynamisk adgang til slutpunkter for federation metadata, så den kan holde sig opdateret med de nyeste sikkerhedskonfigurationer. Denne dynamiske konfiguration forbedrer sikkerheden ii IMS Case og tilpasser den til industristandarder.
Sikkerhedsframework’et for SSO implementeringen i IMS Case er afhængig af ApplicationId, konfigurerede RedirectURI’er og dynamisk adgang til Federation Metadata
Disse sikkerhedsforanstaltninger bidrager tilsammen til et robust og pålideligt SSO-miljø, der forbedrer den overordnede sikkerhed for brugergodkendelse i Azure-økosystemet.
Konfigurationen
Konfiguration af SSO til IMS Case kræver administrativ adgang til både Microsoft Azure, IMS Case frontend og backend. For at booke Visma IMS teknisk personlig kontakt imsbooking@visma.com at lave en aftale
Kommentarer
0 kommentarer
Log ind for at kommentere.