SCIM / Nutzerprovisionierung: Setup und Konfigurations-Leitfaden

Lemontaps unterstützt SCIM 2.0 für automatisierte Benutzerbereitstellung und -entfernung. Damit kannst du mühsame manuelle Aufgaben wie das Hochladen neuer Nutzer, das Pflegen von Kontaktdaten oder das Entfernen ausgeschiedener Mitarbeitender automatisieren.

Mit unserer SCIM 2.0-Integration kannst du automatisch:

• neue Nutzer erstellen

• Benutzerattribute aktualisieren

• Nutzer entfernen

• neue Einheiten (Units) hinzufügen

• Einheitszugehörigkeiten verwalten

• Einheiten entfernen

• Benutzerrollen verwalten

So werden digitale Visitenkarten-Profile automatisch mit allen relevanten Informationen erstellt und stets aktuell gehalten.

Das reduziert den manuellen Aufwand erheblich – neue Nutzer sind direkt bei der Registrierung richtig eingerichtet. Mit aktivierter SCIM-Schnittstelle läuft das On- und Offboarding komplett automatisiert ab. Deshalb nutzen viele Unternehmen SCIM, wann immer es möglich ist.

Voraussetzungen

Nur Nutzer von verifizierten E-Mail-Domains können provisioniert werden. Bevor du SCIM einrichtest, musst du also die relevanten Domains verifizieren. Mehr dazu findest du im Artikel zur E-Mail-Domain-Verifizierung.

INHALTSVERZEICHNIS

• Allgemeine Einrichtung
• Entra ID Setup
• Okta Setup
• So testest du SCIM
• Checkliste nach der Einrichtung
• FAQ
• Glossar

Allgemeine Einrichtung

Lemontaps stellt standardisierte SCIM 2.0 API-Routen bereit, die durch einen Bearer-Token geschützt sind.

Für die Einrichtung in deinem Identity Provider brauchst du nur:

• die SCIM-Basis-URL

• den Bearer-Token

Beides findest du unter Team-Einstellungen → Integrationen → Identity Provider → SCIM Provisioning. Dort kannst du eine Konfiguration erstellen, in der dir beide Werte angezeigt werden.

Sobald SCIM auf Lemontaps aktiv ist, akzeptiert unsere API eingehende SCIM-Anfragen. Dann musst du nur noch deinen IdP für Provisioning konfigurieren.

In den folgenden Abschnitten bekommst du einen Überblick über:

a) SCIM-Benutzerattribute
b) SCIM-Gruppenattribute
c) Verwaltung von Benutzerattributen
d) Benutzerrollen

Wenn du Entra ID oder Okta nutzt, findest du weiter unten auch eigene Schritt-für-Schritt-Guides.

a) SCIM-Benutzerattribute

Empfohlene Attribut-Zuordnungen:

Standardmäßig werden meist zusätzliche Attribute wie Telefonnummer, Adresse oder Position mitgesendet. 

b) SCIM-Gruppenattribute

Gruppen entsprechen 1:1 den Units in Lemontaps.
Das wichtigste Attribut ist displayName, das den Namen der Unit in Lemontaps bestimmt.

c) Benutzerattribute verwalten

So funktioniert die Attributsynchronisierung:

1. Dein IdP ordnet Attribute einem SCIM-Nutzerobjekt (JSON) zu.

2. Dieses Objekt wird an Lemontaps gesendet.

3. Lemontaps ordnet die SCIM-Werte dem Nutzerprofil zu.

Wenn du ein Attribut entfernen willst, reicht es, es in einem der beiden Mappings zu löschen.
Wenn du ein neues Attribut hinzufügen willst, musst du es in beiden Mappings eintragen.

Mapping-Guide Lemontaps →

d) Benutzerrollen

Lemontaps kennt 3 Rollen: Employee, Unit Admin und Admin.

Wenn du Rollen per SCIM steuern möchtest, verwende das Attribut lemontapsPermissionLevel mit den Werten:

• "lemontaps.admin"

• "lemontaps.unit_admin"

Alle anderen Werte zählen als Employee.
Wenn du das Attribut gar nicht übergibst, musst du Rollen manuell in Lemontaps verwalten.

Entra ID Setup

Grundlegender Ablauf:

1. SCIM-URL & Token konfigurieren

2. Attributzuordnung anpassen

3. Entscheiden, ob Gruppen mit provisioniert werden

4. Entscheiden, ob Rollen per SCIM gesteuert werden

5. Nutzer zur Enterprise App zuweisen

6. Provisioning starten

Entra ID Setup-Leitfaden:

SCIM-Setup Entra ID →

Benutzerattribute verwalten

Gehe in der Entra-App zu Provisioning > Attribut-Mapping > Provision Microsoft Entra ID Users.
Unter „Erweiterte Optionen anzeigen“ kannst du neue Attribute vom Typ String hinzufügen.

Benutzerrollen zuweisen

Rollenzuweisungs-Guide →

Gruppen provisionieren

Gehe zu Provisioning > Provision Microsoft Entra ID Groups. Hier kannst du entscheiden, ob Gruppen provisioniert werden sollen.

Fehleranalyse

Gehe zu Provisioning > Monitor > Provisioning Logs, um Logs einzusehen.

Okta Setup

Grundlegender Ablauf:

1. SCIM-URL & Token einrichten

2. Provisioning aktivieren

3. Attribut-Mapping anpassen

4. Entscheiden, ob Gruppen provisioniert werden

5. Entscheiden, ob Rollen per SCIM gesteuert werden

6. Nutzer/Gruppen zuweisen → Provisioning startet

Leitfaden für das SCIM-Setup in Okta:

SCIM-Setup Okta →

Benutzerattribute verwalten

In der Okta-App unter Provisioning kannst du die Attribut-Mappings anpassen.

Gruppen provisionieren

Unter Push Groups kannst du Gruppen manuell oder per Regel zuweisen.

Fehleranalyse

Gehe zu Reports > System Logs in Okta Admin.

So testest du SCIM

Teste die Provisionierung zunächst mit ein paar Nutzern.
So kannst du prüfen, ob die Attribute wie gewünscht synchronisiert werden.

Checkliste nach der Einrichtung

→ SCIM-URL & Authentifizierung korrekt konfiguriert
→ Test mit Beispielnutzern durchgeführt
→ Attribut-Mappings in IdP & Lemontaps angepasst
→ Entscheidung zu Units & Rollen getroffen

FAQ

Werden Profilbilder unterstützt?
Aktuell leider nicht.

Findet die Synchronisierung in Echtzeit statt?
Je nach IdP unterschiedlich. Entra ID wird alle 40 Minuten aktualisiert, Okta in Echtzeit.

Was passiert mit bestehenden Nutzern?
In Lemontaps hat ein Nutzer immer einen von zwei Steuerungszuständen: „manual“ oder „scim“.

Befindet sich der Nutzer im Zustand „manual“, kann er direkt in Lemontaps bearbeitet und gelöscht werden.

Wird ein Nutzer hingegen über SCIM provisioniert (also zuvor nicht manuell angelegt), erhält er den Zustand „scim“. Wenn dieser Nutzer dann aus dem Provisioning-Bereich im Identity Provider entfernt wird, wird er automatisch auch in Lemontaps gelöscht.

Falls ein Nutzer bereits in Lemontaps existiert, aber dann über SCIM provisioniert wird, erfolgt ein Matching über die E-Mail-Adresse. Der Steuerungszustand des Nutzers ändert sich daraufhin zu „scim“, und auch in diesem Fall wird er künftig automatisch gelöscht, wenn er aus dem Synchronisierungsbereich im IdP fällt.

Wie deaktiviere ich die Provisionierung?
Einfach im IdP stoppen. Konfiguration in Lemontaps am besten behalten, da das SCIM sonst im IdP erneut konfiguriert werden muss, falls die Provisionierung erneut gestartet werden soll.

Kann ich einen neuen Access Key generieren?
Ja. In den SCIM-Einstellungen auf das Drei-Punkte-Menü klicken → „Neuen Key generieren“

Hinweis: Wenn ein neuer Key generiert wird, verliert der alte Key seine Funktion.

Etwas funktioniert nicht – wie kann ich debuggen?
Du findest alle Provisioning-Logs in deinem IdP.

Kann ich automatische Einladungen aktivieren?
Ja. In den SCIM-Einstellungen auf der Seite IdP-Einstellungen in Lemontaps findest du einen Schalter, mit dem du automatische Einladungen aktivieren kannst.

Wir empfehlen, beim ersten Provisioning die automatische Einladung noch nicht zu aktivieren. So kannst du erst die erstellten Accounts überprüfen und anschließend die Einladungs-E-Mails manuell über die Nutzerliste versenden. Danach kannst du die automatische Einladung für zukünftige Provisionierungen aktivieren.

Wie entferne ich ein Attribut aus dem Sync?
Es gibt zwei Möglichkeiten:

• Du entfernst das Attribut aus dem Mapping in deinem Identity Provider (IdP)
• Oder du entfernst es aus dem Mapping in Lemontaps

Beide Wege haben denselben Effekt: Das Attribut wird nicht mehr synchronisiert.

Mehr zur Konfiguration findest du im → Mapping Guide.

Wie füge ich ein neues Attribut hinzu?
Du musst das neue Attribut sowohl im Mapping deines IdPs als auch im Mapping in Lemontaps hinzufügen.

Nur wenn es in beiden Mappings enthalten ist, wird es korrekt synchronisiert.

Mehr zur Konfiguration findest du im → Mapping Guide.

Attribut gelöscht, aber nicht bearbeitbar?
Entferne das Attribut zusätzlich auch im Mapping in Lemontaps. Danach können betroffene Nutzer das Feld wieder selbst bearbeiten.

Mehr zur Konfiguration findest du im → Mapping Guide.

Welche SCIM-Version wird unterstützt?
Lemontaps unterstützt SCIM 2.0.

Welche IdPs sind kompatibel?
Da SCIM open-standard ist, sollten alle IdPs funktionieren, welche SCIM unterstützen – z. B. Entra ID, Okta.

Wie lösche ich einen via SCIM provisionierten Nutzer?
Nutzer, die über SCIM angelegt wurden, können nicht direkt in Lemontaps gelöscht werden.
Sie müssen stattdessen aus dem Provisioning-Bereich in deinem IdP entfernt werden. 

Ich will nur Nutzer, keine Gruppen provisionieren. Geht das (Entra ID)?
Ja. Geh zur entsprechenden Enterprise-Anwendung, in der SCIM eingerichtet ist, und öffne die Provisioning-Einstellungen im linken Menü.
Wähle dort unter Attribute Mapping → Provision Microsoft Entra ID Groups die Option „Enabled - No“.

Wenn du trotzdem eine Gruppe der Anwendung zuweist, werden deren Mitglieder weiterhin provisioniert – aber die Gruppe selbst wird nicht als Unit angelegt.

Nur Nutzer erstellen/aktualisieren, aber nicht löschen?
In der Regel kannst du das in den SCIM-Einstellungen deines IdPs konfigurieren.
Wichtig: Die "Create"-Operation darf nicht deaktiviert werden, wenn nur „Update“ oder „Delete“ aktiv bleiben.

Für Entra ID:
Geh zur entsprechenden Enterprise-App, öffne die Provisioning-Einstellungen, und navigiere zu
Attribute Mapping → Provision Microsoft Entra ID Users. Dort kannst du festlegen, welche Target Object Actions (z. B. Create, Update, Delete) unterstützt werden sollen.

Für Okta:
Geh in der Okta-App zum Tab „Provisioning“. Dort kannst du auswählen, ob die Aktionen „Update“ oder „Delete“ aktiviert sein sollen.

Glossar

• IdP – Identity Provider (z. B. Okta oder Entra ID)

• SCIM – System for Cross-domain Identity Management

• Provisioning / Sync – Automatische Benutzerverwaltung