Benutzerdefinierte Anwendungen in IAM integrieren

Angenommen, Sie möchten Ihre Anwendungen in eine Identitätsdomain integrieren. Ihre Anwendungen wurden intern erstellt oder sind im App-Katalog nicht aufgeführt. Es kann keine AD-Bridge oder Provisioning-Bridge als Verbindung zwischen Ihren Anwendungen und einer Identitätsdomain verwendet werden. Sie unterstützen jedoch den SCIM-Standard.

Durch die Integration Ihrer benutzerdefinierten Anwendungen, die den SCIM-Standard unterstützen, können Sie Provisioning-Funktionen für Ihre Anwendungen bereitstellen und Ihre Benutzer zwischen den Anwendungen und IAM synchronisieren.

In der Vergangenheit war es üblich, dass Anwendungen ihre eigenen Benutzermanagement-APIs hatten. Da sich die APIs für jede Anwendung auf eine bestimmte Weise verhalten, musste der Entwickler die spezifischen APIs für jede Anwendung verstehen, um Integrationen für die Anwendungen zu erstellen.

Um Ihre benutzerdefinierten Anwendungen in Identitätsdomains zu integrieren, empfiehlt Oracle, das System for Cross-Domain Identity Management (SCIM) zu verwenden. SCIM stellt Entwicklern einen Abstraktionslayer zur Verfügung. Wenn APIs für die Anwendungen über SCIM zugänglich sind, müssen Entwickler nicht die APIs für jede Anwendung erlernen, da alle Anwendungen das gleiche JSON-Format in den APIs verwenden.

SCIM ist nicht nur eine offene Spezifikation zur anwendungsübergreifenden Standardisierung des Benutzer- und Gruppenmanagements, es erlaubt auch die Automatisierung des Benutzer- und Gruppen-Provisionings. Sie können Daten für Benutzer und Gruppen über mehrere Anwendungen hinweg durch Provisioning bereitstellen und synchronisieren.

Mit SCIM können Sie HTTP-Endpunkte definieren, um Ressourcen für Entitys wie Benutzer und Gruppen zu erstellen, zu lesen, zu aktualisieren und zu löschen. Sie können SCIM auch verwenden, um die Schemas für die Benutzer und Gruppen Ihres Unternehmens zu erweitern. Die SCIM-Spezifikation definiert ein Mindestset an Attributen für das Benutzerschema. Dieses Schema kann jedoch erweitert werden.

Beispiel: Sie müssen das benutzerdefinierte Attribut Employee ID aus dem Benutzerschema der Identitätsdomain für Ihre benutzerdefinierte Anwendung bereitstellen. Sie können das Standardbenutzerschema erweitern, dieses Attribut hinzufügen und es zwischen der Identitätsdomain und Ihrer Anwendung zuordnen. Das Benutzerschema in der Identitätsdomain kann jetzt die Attribute beachten, die mit dem Identitätsspeicher Ihrer benutzerdefinierten Anwendung verknüpft sind.

Die SCIM-Spezifikation definiert auch die Sicherheit für alle Anforderungen, die Sie mit HTTP-Endpunkten erstellen. Die Sicherheit wird definiert, indem ein sicheres (HTTPS-)Protokoll für die Kommunikation zwischen den Endpunkten und den Anwendungen verwendet wird, die Sie integrieren. Außerdem wird ein Autorisierungstoken angefordert, das für den Zugriff auf die Anforderung und die Ausführung der damit verknüpften Vorgänge verwendet wird.

In der folgenden Tabelle finden Sie weitere Informationen zur SCIM-Spezifikation:

Ursprünglich mussten Entwickler zum Erstellen von Integrationen die APIs verstehen, die für jede Anwendung verfügbar waren. Es gab keine Konsistenz hinsichtlich der Darstellung einer Identität in diesen Anwendungen.

Mit SCIM gibt es jetzt einen allgemeinen Standard, wie Sie eine Identität in jeder Anwendung darstellen. Da alle Anwendungen dem SCIM-Format entsprechen, gibt es einen harmonischen Ablauf hinsichtlich der Darstellung dieser Identitäten. Dies erleichtert die Integration mit diesen Anwendungen durch einen Identity-Management-Cloud-Service wie IAM.

Durch einen gemeinsamen Standard zur Darstellung von Identitäten in Anwendungen werden die Arbeitseffizienz und Produktivität der Entwickler verbessert, da diese keine Zeit für das Erlernen der APIs für jede Anwendung aufwenden müssen. Für Unternehmen wird die Zeit, die für die Entwicklung einer Integration zwischen einem Identitätssystem und der Anwendung benötigt wird, erheblich verkürzt. Sie können jetzt Automatisierungen für die Integration ausführen, da es einen Standard hinsichtlich der Darstellung einer Identität und der Integration mit dieser Identität gibt.

Wenn Sie den Identitätsspeicher Ihrer benutzerdefinierten Anwendung mit einer SCIM-basierten Schnittstelle verfügbar machen, müssen Sie keinen benutzerdefinierten Connector zwischen Ihrer Anwendung und IAM entwickeln. Letzteres kann zeitaufwendig und kostspielig sein und bei einem zukünftigen Upgrade zu einem hohen Wartungsaufwand führen.

SCIM automatisiert den Lebenszyklusmanagementprozess für Benutzeridentitäten und erhöht die Sicherheit der Daten, die mit den Benutzern und Gruppen Ihres Unternehmens verknüpft sind.

Wenn Ihr Unternehmen wächst, nimmt die Anzahl der Benutzer und Gruppen zu. Während des alltäglichen Betriebs Ihres Unternehmens kann es zu Situationen wie Personalfluktuation oder Änderungen von Mitgliedschaften Ihrer Benutzer bei den Gruppen Ihres Unternehmens kommen. Die Benutzeraccounts, Gruppen und Gruppenmitgliedschaften Ihres Unternehmens nehmen erheblich zu.

Da SCIM ein Standard ist, werden die Benutzer- und Gruppendaten Ihres Unternehmens auf konsistente Art gespeichert und können so über verschiedene Anwendungen (einschließlich Ihrer benutzerdefinierten Anwendungen) hinweg kommuniziert werden. Sie können den Provisioning- und Deprovisioning-Prozess automatisieren und mit IAM Berechtigungen und Gruppenmitgliedschaften zentral verwalten. Indem Sie die Benutzer- und Gruppendaten Ihres Unternehmens automatisch übertragen, mindern Sie das Risiko versehentlicher Fehler.

Durch die Implementierung von SCIM verbessern Sie die Sicherheit in Ihrem Unternehmen. Mit SSO müssen sich die Mitarbeiter Ihres Unternehmens nicht mehr einzeln bei jedem ihrer Accounts anmelden. Sie können die Compliance mit der Sicherheits-Policy für Ihre Benutzer und deren Zugriff auf die Anwendungen Ihres Unternehmens sicherstellen.

Der App-Katalog enthält Tausende von Anwendungen, die in IAM integriert werden können. Möglicherweise werden Ihre Anwendungen On Premise oder in der Cloud ausgeführt, oder Sie erstellen Ihre Anwendungen in verschiedenen Infrastruktursystemen, wie Amazon Web Services oder Oracle Cloud Infrastructure.

IAM muss nicht nur Integrationen mit den im App-Katalog aufgeführten Anwendungen bereitstellen, sondern auch Tools, mit denen Sie Integrationen für Ihre benutzerdefinierten Anwendungen erstellen können, ohne Code zu entwickeln.

Mit der generischen SCIM-App-Vorlage können Sie Ihre benutzerdefinierten Anwendungen so konfigurieren, dass die SCIM-APIs verfügbar sind und Sie keine einzige Codezeile schreiben müssen. Sie müssen lediglich zum App-Katalog gehen und nach einer SCIM-verwalteten App-Vorlage suchen. Um diese Vorlage zu verwenden, müssen Sie nur die Endpunkt-URL und die Details angeben, die IAM für die Verbindung mit der Anwendung benötigt. Ordnen Sie dann die Attribute zwischen Ihrer Anwendung und einer Identitätsdomain zu.

Mit der generischen SCIM-App-Vorlage können Sie Benutzer bereitstellen oder sie zwischen Ihren benutzerdefinierten Anwendungen und Identitätsdomains synchronisieren.

In diesem Diagramm wurde die generische SCIM-App-Vorlage so konfiguriert, dass IAM mit einer benutzerdefinierten Anwendung kommunizieren kann, die über eine SCIM-basierte Schnittstelle verfügt. Diese Schnittstelle verwendet REST-API-Endpunkte für das Provisioning und die Synchronisierung von Benutzern zwischen Identitätsdomains und der benutzerdefinierten Anwendung.

Hier erfahren Sie, was Sie tun müssen, je nachdem, ob Ihre benutzerdefinierte Anwendung über eine SCIM-basierte Schnittstelle verfügt oder nicht.

Wenn Ihre benutzerdefinierte Anwendung über diese Schnittstelle verfügt, können Sie die generische SCIM-App-Vorlage konfigurieren, um Ihre Anwendung für Benutzer bereitzustellen. Siehe Generische SCIM-App-Vorlage konfigurieren.

Wenn Ihre benutzerdefinierte Anwendung diese Schnittstelle nicht aufweist, können Sie ein benutzerdefiniertes SCIM-Gateway entwickeln, das als Schnittstelle zwischen IAM und Ihrer benutzerdefinierten Anwendung fungiert. Siehe Benutzerdefiniertes SCIM-Gateway entwickeln