LDAP en SCIM Integratie
LDAP en SCIM zijn standaard protocollen voor het synchroniseren van gebruikersaccounts tussen een identity provider (bijv. Active Directory, Microsoft Entra ID) en Ultimo. SCIM is de aanbevolen methode voor nieuwe implementaties, terwijl LDAP geschikt blijft voor on-premises Active Directory omgevingen.
Beschikbaarheid: Professional, Premium, Enterprise
Gerelateerd: sso-federated, ../configuration/application-element-tree, ../concepts/autorisatie
LDAPbewerken
Wat is LDAP?bewerken
Lightweight Directory Access Protocol (LDAP) is een industriestandaard protocol voor toegang tot en onderhoud van distributed directory information services. LDAP wordt vaak gebruikt als centraal repository voor gebruikersnamen en wachtwoorden, waardoor applicaties zoals Ultimo gebruikers kunnen authenticeren.
Active Directorybewerken
Active Directory is de Microsoft implementatie van LDAP. Het stelt netwerkbeheerders in staat om organisatiebeleid toe te passen en objecten in een centrale database te beheren.
Ultimo implementatiebewerken
Ultimo integreert met LDAP-compatibele directory services via LDAP connectors. De implementatiestrategie hangt af van het deployment model:
| Deployment | Aanpak |
|---|---|
| On-premises | Directe LDAP-verbinding naar interne Active Directory |
| Cloud (Azure) | Complexer: interne directory services zijn doorgaans niet extern bereikbaar |
Configuratie in UCTbewerken
UCT > Business Integration > LDAP Import Connectors
Wat wordt gesynchroniseerd?bewerken
- Gebruikersaccounts (User)
- Medewerkergegevens (Employee)
- Groepslidmaatschap
- Afdeling en andere attributen
Aanbeveling: Gebruik SCIM voor nieuwe implementaties. SCIM is ontworpen voor cloud-omgevingen en werkt native met Microsoft Entra ID, terwijl LDAP is ontworpen voor on-premises Active Directory servers.
SCIMbewerken
Wat is SCIM?bewerken
SCIM (System for Cross-domain Identity Management) is een open standaard die cloud identity management vereenvoudigt via user provisioning. Het faciliteert de uitwisseling van identiteitsgegevens tussen een IDP (Identity Provider) en een SP (Service Provider, in dit geval Ultimo).
Voordelen van SCIMbewerken
| Voordeel | Beschrijving |
|---|---|
| Centraal gebruikersbeheer | Alle gebruikers vanuit een bron beheren |
| Vereenvoudigd onderhoud | Automatische synchronisatie van identiteitsgegevens |
| Verbeterde beveiliging | Automatische intrekking van toegang bij vertrek medewerker |
| Actuele gegevens | Medewerker- en gebruikersrecords altijd up-to-date |
| Cloud-native | Geen on-premises connectiviteit nodig |
| Real-time provisioning | Push-based: IDP stuurt wijzigingen direct naar Ultimo |
Technische implementatiebewerken
- Gebruikt een REST en JSON-gebaseerd protocol
- IFS Ultimo implementeert een selectie van de SCIM standaard
- Wijzigingen, toevoegingen en verwijderingen van bronobjecten synchroniseren automatisch
- De IDP kan objecten ophalen uit IFS Ultimo om te bepalen of updates nodig zijn
Ondersteunde Identity Providersbewerken
| Provider | Status |
|---|---|
| Microsoft Entra ID (voorheen Azure AD) | Ondersteund |
| Okta | Ondersteund |
Configuratie in UCTbewerken
UCT > Business Integration > SCIM Import Connectors
SCIM vs. LDAPbewerken
| Eigenschap | SCIM | LDAP |
|---|---|---|
| Protocol | REST/JSON | LDAP (binary) |
| Richting | Push (IDP stuurt naar Ultimo) | Pull (Ultimo haalt op uit AD) |
| Cloud support | Native | Beperkt (vereist connectiviteit) |
| Real-time | Ja | Nee (polling-based) |
| Azure AD/Entra ID | Native integratie | Niet direct |
| On-premises AD | Via Entra ID sync | Direct |
Praktische tips voor consultantsbewerken
- Nieuwe implementaties: Gebruik altijd SCIM tenzij er specifieke redenen zijn voor LDAP
- Migratie: Bij migratie van on-premises naar Azure, plan ook de migratie van LDAP naar SCIM
- Standaardgroep: Configureer de standaardgroep voor nieuwe gebruikers via de AET-setting
Authentication (federated) > Group - Testen: Test user provisioning altijd in een acceptatie-omgeving voordat je naar productie gaat
- AET instellingen: Controleer de settings voor automatisch aanmaken/bijwerken van users en employees
- Combineer met SSO: SCIM regelt user provisioning, maar voor single sign-on is aanvullende SSO-configuratie nodig. Zie sso-federated
- Deprovisioning: Zorg dat de configuratie correct omgaat met het uitschakelen van accounts bij vertrek van medewerkers
Gerelateerde artikelenbewerken
- sso-federated -- SSO en federated authenticatie configuratie
- ../concepts/autorisatie -- Autorisatiemodel in Ultimo
- index -- Integraties overzicht
- ../api/rest-api -- REST API (gebruikt door SCIM)