SCIM-Provisioning
Pushe User-Lifecycle-Änderungen vom IdP nach Moonborn — RFC 7644-Endpoints, Attribute-Mapping, Group-to-Role-Binding.
SCIM 2.0 lässt deinen IdP (Okta, Azure AD, Google Workspace, OneLogin) User-Lifecycle-Änderungen — Create, Update, Deactivate — automatisch nach Moonborn pushen.
Endpoints (RFC 7644)
| Methode | Pfad |
|---|---|
GET | /v1/auth/scim/v2/Users |
POST | /v1/auth/scim/v2/Users |
GET | /v1/auth/scim/v2/Users/{id} |
PATCH | /v1/auth/scim/v2/Users/{id} |
DELETE | /v1/auth/scim/v2/Users/{id} |
GET | /v1/auth/scim/v2/Groups |
POST | /v1/auth/scim/v2/Groups |
1. SCIM-Bearer-Token ausstellen
In Settings → SSO → SCIM auf Generate token klicken. Der Token wird einmalig gezeigt.
2. Deinen IdP konfigurieren
Okta: Applications → Moonborn → Provisioning → Configure API Integration. Füge den Bearer-Token ein. Test-Connection.
Azure AD: Enterprise Applications → Moonborn → Provisioning →
Tenant-URL = https://api.moonborn.co/v1/auth/scim/v2. Token
einfügen.
Google Workspace: Apps → Web and mobile → Moonborn → Automatic provisioning. Selbe Form.
3. Attribute mappen
Moonborn liest das Standard-SCIM-2.0-User-Schema:
| SCIM-Attribut | Moonborn-Feld |
|---|---|
userName | Sign-in-E-Mail |
name.givenName / name.familyName | Display-Name |
emails[primary=true].value | Contact-E-Mail |
active | aktivieren / deaktivieren |
4. Group → Role-Binding
SCIM-Gruppen mappen auf Moonborn-Rollen. Nach Name mappen:
| IdP-Gruppe | Moonborn-Rolle |
|---|---|
moonborn-admin | admin |
moonborn-editor | editor |
moonborn-viewer | viewer |
moonborn-billing | billing |
moonborn-auditor | auditor |
Konfiguriere das Mapping in Settings → SSO → SCIM → Group bindings.
Lifecycle-Verhalten
- Create im IdP → User in Moonborn provisioniert, Welcome-E-Mail versendet.
- Update im IdP → User-Record aktualisiert; Rolle neu evaluiert.
- Deactivate im IdP → User abgemeldet; Sessions revoked; Daten bewahrt.
- Delete im IdP → Soft-Delete in Moonborn (30-Day-Grace).
Was SCIM nicht synct
- API-Keys (per-User, nicht zurückgesynct).
- Persönliche Präferenzen (UI-Settings).
- Workspace-Memberships außerhalb des SCIM-Scope (manuelle Invites funktionieren weiter).
Tarif
Enterprise.