Mit der Benutzerprovisionierung über Okta automatisieren Sie das Lifecycle-Management Ihrer Benutzer in DocuWare über das SCIM-Protokoll. Wenn Sie in Okta Benutzer oder Gruppen zuweisen oder entfernen, werden diese Änderungen automatisch in DocuWare übernommen – ein manuelles Anlegen oder Deaktivieren von Benutzern ist nicht erforderlich.
Diese Integration konfigurieren Sie an zwei Stellen: in der Okta Admin Console (wo Sie die SAML-/SCIM-App-Integration anlegen) und unter DocuWare Konfigurationen > Allgemein > Benutzerprovisionierung (wo Sie SCIM aktivieren und die Okta-Anwendung registrieren).
Die aktuelle Version von UserSync (v3) unterstützt die folgenden Provisionierungsfunktionen:
Automatisches Anlegen von Benutzern: Benutzer, die in Okta der DocuWare-Anwendung zugewiesen werden, werden automatisch in DocuWare angelegt.
Attributsynchronisierung: Änderungen an Benutzerattributen (userName, E-Mail, Aktiv-Status) in Okta werden in DocuWare übernommen.
Deaktivierung von Benutzern: Werden Benutzer in Okta deaktiviert, werden sie auch in DocuWare deaktiviert und können sich nicht mehr anmelden.
Okta-Anwendung konfigurieren
In diesem Abschnitt wird beschrieben, wie Sie in Okta eine SAML-App-Integration anlegen und das SCIM-Provisioning darauf aktivieren. Die SAML-Anmeldemethode ist in Okta erforderlich, um die Registerkarte für die Provisionierung freizuschalten – sie wird aber nicht für die tatsächliche Authentifizierung verwendet.
Melden Sie sich in Ihrer Okta-Organisation an und öffnen Sie die Ansicht Admin.
Gehen Sie zu Applications > Applications.
.png)
Wählen Sie Create App Integration.
.png)
Wählen Sie als Anmeldemethode SAML 2.0 und klicken Sie auf Next. Diese Anmeldemethode wird nicht für die Authentifizierung verwendet, ist aber erforderlich, um das SCIM-Provisioning zu aktivieren.
.png)
Geben Sie auf der Registerkarte General Settings einen Namen für die App ein (z. B. „DocuWare SCIM") und klicken Sie auf Next.
.png)
Geben Sie auf der Registerkarte Configure SAML in den Feldern Single sign-on URL und Audience URI jeweils eine Platzhalter-URL ein. Die tatsächlichen Werte sind unerheblich, da SAML nicht genutzt wird. Sie können in beide Felder
http://www.okta.comeingeben. Klicken Sie auf Next.
.png)
Wählen Sie auf der Registerkarte Feedback die Option This is an internal app that we have created und klicken Sie auf Finish.
.png)
Öffnen Sie die neu angelegte Anwendung. Klicken Sie auf der Registerkarte General unter App Settings auf Edit. Setzen Sie Provisioning auf SCIM und klicken Sie auf Save.
.png)
Scrollen Sie zu App Embed Link und kopieren Sie aus dem Embed-Link das ID-Segment hinter
/home/. Enthält der Embed-Link beispielsweise/home/trial-5967756_oktascimintegration_1/, kopieren Sietrial-5967756_oktascimintegration_1. Diesen Wert benötigen Sie für die Konfiguration in DocuWare.
.png)
Lassen Sie die Okta-Konfiguration geöffnet und fahren Sie mit der Konfiguration in DocuWare fort.
Benutzerprovisionierung in DocuWare konfigurieren
Gehen Sie zu DocuWare Konfigurationen > Allgemein > Benutzerprovisionierung.
Aktivieren Sie die Option Benutzerprovisionierung aktivieren.
Wählen Sie im Dropdown-Menü Identitätsanbieter den Eintrag Okta.
Wählen Sie im Dropdown-Menü Anwendungsregistrierung eine zuvor angelegte Anwendungsregistrierung. Ist noch keine vorhanden, wählen Sie Anwendungsregistrierung erstellen.
.png)
Geben Sie einen Namen für die Anwendungsregistrierung ein und ergänzen Sie eine Redirect-URL im folgenden Format:
https://system-admin.okta.com/admin/app/cpc/<OktaAppID>/oauth/callbackErsetzen Sie
<OktaAppID>durch die ID, die Sie in Schritt 9 der Okta-Konfiguration kopiert haben. Beispiel:https://system-admin.okta.com/admin/app/cpc/trial-5967756_oktascimintegration_1/oauth/callback
.png)
Klicken Sie auf Erstellen.
Kopieren Sie aus der neu angelegten Anwendungsregistrierung die folgenden Werte:
Anwendungs-ID (Client)
Clientgeheimnis
.png)
Klicken Sie auf Speichern.
Kopieren Sie auf der Seite Benutzerprovisionierung die folgenden Endpunkt-URLs. Sie benötigen sie für die Provisionierungskonfiguration in Okta:
SCIM connector base URL
Autorisierungsendpunkt
Access token endpoint URI
Provisionierungskonfiguration in Okta abschließen
Kehren Sie zur Okta-Anwendung zurück. Gehen Sie auf der Registerkarte Provisioning zu Integration und klicken Sie auf Edit. Tragen Sie die folgenden Werte ein:
SCIM connector base URL: Fügen Sie die SCIM Connector Base URL aus DocuWare ein.
Unique identifier field for users: Geben Sie „userName" ein.
Supported provisioning actions: Wählen Sie Import New Users and Profile Updates, Push New Users, Push Profile Updates und Push Groups.
Authentication Mode: Wählen Sie OAuth 2.
Authorization endpoint URI: Fügen Sie den Autorisierungsendpunkt aus DocuWare ein.
Access token endpoint URI: Fügen Sie den Access Token Endpoint URI aus DocuWare ein.
Client ID: Fügen Sie die Anwendungs-ID (Client) aus DocuWare ein.
Client Secret: Fügen Sie das Clientgeheimnis aus DocuWare ein.
.png)
Klicken Sie auf Save. Kehren Sie anschließend zur Registerkarte Integration zurück und wählen Sie unten auf der Seite die Authentifizierungsschaltfläche, um ein Token zu generieren. Geben Sie auf Aufforderung Ihre DocuWare-Administratoranmeldedaten ein. Bei erfolgreicher Token-Erstellung erscheint eine Bestätigungsmeldung.
.png)
Unter der Registerkarte Provisioning erscheint ein neuer Bereich To App. Klicken Sie unter Provisioning to App auf Edit und aktivieren Sie Create Users, Update User Attributes und Deactivate Users. Klicken Sie auf Save.
.png)
Scrollen Sie zu Attribute Mappings und klicken Sie auf Go to Profile Editor.
.png)
Wählen Sie im Profile Editor die Option Mappings.
.png)
Richten Sie die folgenden Mappings für das Benutzerprofil ein. Setzen Sie alle übrigen Mappings auf Do not map:
appuser.givenName → firstName
appuser.familyName → lastName
appuser.email → email
Wenn Sie alle nicht benötigten Mappings entfernt haben, klicken Sie auf Save Mappings.
.png)
Wechseln Sie auf die Registerkarte Okta User to App und entfernen Sie auch dort die nicht benötigten Mappings.
.png)
Löschen Sie im Profile Editor alle Attribute bis auf Username, Given name, Family name und Primary email.
.png)
Die Provisionierungskonfiguration ist damit abgeschlossen.
Benutzer provisionieren
So provisionieren Sie einzelne Benutzer:
Öffnen Sie die Okta-Anwendung und wechseln Sie auf die Registerkarte Assignments.
Wählen Sie Assign > Assign to People und weisen Sie die zu provisionierenden Benutzer zu.
.png)
.png)
Prüfen Sie, ob die provisionierten Benutzer unter DocuWare Konfigurationen > Benutzerverwaltung erscheinen.
.png)
Gruppen und ihre Mitglieder provisionieren
So provisionieren Sie eine vollständige Gruppe einschließlich ihrer Mitglieder:
Öffnen Sie die Okta-Anwendung und wechseln Sie auf die Registerkarte Assignments.
Wählen Sie Assign > Assign to Groups und weisen Sie die zu provisionierende Gruppe zu. Alle Mitglieder der Gruppe werden automatisch übernommen.
.png)
.png)
Gehen Sie auf die Registerkarte Push Groups. Wählen Sie Push Groups > Find groups by name, geben Sie den Gruppennamen ein, lassen Sie Push group membership immediately aktiviert und klicken Sie auf Create Group.
.png)
Prüfen Sie die Gruppe und ihre Mitglieder in DocuWare.

So funktioniert die Gruppenprovisionierung
Wenn Sie das Synchronisierungsverhalten der Gruppen kennen, können Sie besser einschätzen, was passiert, wenn Gruppen in Okta angelegt, umbenannt oder geändert werden.
Gruppenabgleich: Das System sucht in DocuWare nach einer Gruppe mit demselben Anzeigenamen. Wird eine Übereinstimmung gefunden, wird die Gruppe aktualisiert. Andernfalls wird eine neue Gruppe angelegt.
Erhalt der Mitglieder: Wird eine bestehende Gruppe aktualisiert, werden neue Mitglieder hinzugefügt, vorhandene Mitglieder bleiben jedoch erhalten. Doppelte Mitgliedschaften werden automatisch verhindert.
ID-basierte Zuordnung nach der ersten Synchronisierung: Nach der ersten Synchronisierung werden Gruppen über ihre interne ID statt über ihren Anzeigenamen zugeordnet. Wenn Sie eine Gruppe in Okta umbenennen, wird sie anhand der ID der bestehenden DocuWare-Gruppe zugeordnet und der Name entsprechend aktualisiert. Vorhandene Mitglieder bleiben erhalten.