SCIM oder die System for Cross-domain Identity Management-Spezifikation ist ein Standardprotokoll zur Verwaltung von Konten über mehrere Dienste hinweg: Teammitglieder hinzufügen, deren Eigenschaften wie Name ändern oder Konten deaktivieren, um den Zugriff zu entziehen.
Die Integration von Intercom mit Ihrem Identity Provider macht die Verwaltung von Teammitgliedern einfach und sicher.
Bevor Sie beginnen
Wichtig: Für die Einrichtung von SCIM gibt es mehrere Voraussetzungen:
Bevor Sie SCIM einrichten, muss SAML SSO in Ihrem Workspace eingerichtet und aktiviert sein.
SCIM Provisioning ist nur mit bestimmten Intercom-Plänen verfügbar. Überprüfen Sie unsere Pläne und Preise, um dies zu Ihrem Abonnement hinzuzufügen.
Jeder Intercom-Workspace, den Sie bereitstellen möchten, muss als separate App in Ihrem Identity Provider eingerichtet sein.
So aktivieren Sie SCIM
Stellen Sie sicher, dass SAML SSO aktiviert ist.
Öffnen Sie dann Provisioning und wählen Sie SCIM Provisioning aktivieren.
Eine Basis-URL und ein API-Token werden nach dem Speichern der Sicherheitseinstellungen verfügbar.
Kopieren Sie die Basis-URL und das API-Token und fügen Sie sie in die Konfiguration der Intercom-App in Ihrem Identity Provider ein (z. B. Okta, OneLogin, Azure ActiveDirectory).
Provisioning-Einstellungen konfigurieren
Nach der Aktivierung von SCIM müssen Sie konfigurieren, wie neue Teammitglieder bereitgestellt und wie ausscheidende Teammitglieder entfernt werden.
Standardmäßige Teammitglied-Sitze und Berechtigungen festlegen
Wenn ein neues Teammitglied von Ihrem Identity Provider erstellt wird, weist Intercom ihm einen Standardsitz und eine Reihe von Berechtigungen zu.
Stellen Sie sicher, dass SAML SSO aktiviert ist.
Öffnen Sie den Abschnitt Provisioning.
Klicken Sie unter „Standardmäßige Teammitglied-Berechtigungen“ auf Bearbeiten.
Schalten Sie den Sitz und die Berechtigungen ein, die neue Teammitglieder bei der Bereitstellung erhalten sollen.
Deprovisioning-Einstellungen konfigurieren
Wenn Teammitglieder von Ihrem IdP entfernt werden, wird ihr Konto aus Intercom gelöscht. Diese Einstellung steuert, wem ihre zugewiesenen Elemente (Konversationen, Artikel usw.) neu zugewiesen werden.
Stellen Sie sicher, dass SAML SSO aktiviert ist.
Öffnen Sie den Abschnitt Provisioning.
Im Abschnitt Deprovisioning können Sie auswählen, wer Eigentümer jeder Datenart werden soll.
Wenn Sie die Option Standard wählen, weist Intercom die Elemente dem ersten Teammitglied im Workspace zu. Diese können später neu zugewiesen werden.
Sie können auch bestimmte Teammitglieder auswählen, die vom Deprovisioning ausgeschlossen sind. Dies kann Ihrem IT-Team helfen, den Zugriff auf Ihren Intercom-Workspace bei Fehlkonfigurationen oder Notfällen zu behalten.
Wie SCIM Teammitglieder verwaltet
Sobald konfiguriert, verwaltet Ihr IdP Ihre Teammitglieder in Intercom.
Teammitglieder erstellen
Dies ist der typische Benutzerbereitstellungsablauf:
Das IT-Team fügt dem Verzeichnis des Identity Providers ein neues Teammitglied hinzu.
Das IT-Team weist dem neuen Teammitglied in der IdP-Plattform die Intercom-App zu.
Der IdP sendet eine HTTP-Anfrage an Intercom, die ein neues Teammitglied im Intercom-Workspace erstellt.
Dem neuen Teammitglied werden automatisch die Berechtigungen und der Sitz zugewiesen, die Sie unter Standardmäßige Teammitglied-Berechtigungen konfiguriert haben.
Hinweis: Wenn ein Admin-Konto mit derselben E-Mail-Adresse bereits in Intercom existiert, gewährt SCIM diesem bestehenden Konto Zugriff auf den Workspace des Kunden.
Teammitglieder aktualisieren
Wenn Ihr IT-Team den Namen eines Teammitglieds im Verzeichnis des IdP ändert, sendet der IdP eine HTTP-Anfrage an Intercom, um den Namen des Teammitglieds in Intercom zu aktualisieren.
Teammitglieder löschen
Dies sind die typischen SCIM Deprovisioning-Einstellungen für Benutzer.
Das IT-Team entfernt die Intercom-App-Zuweisung von einem Teammitglied im IdP.
Der IdP sendet eine HTTP-Anfrage an Intercom, um das Teammitglied aus dem Workspace zu entfernen.
Intercom weist automatisch alle Objekte (Konversationen, ausgehende Nachrichten, Kontakte, Artikel) zu, die diesem Teammitglied zugewiesen sind, gemäß Ihren Deprovisioning Teammitgliedern-Einstellungen.
Wichtige Deaktivierungswarnung: Teammitglieder in Intercom können heute in einem von zwei Zuständen sein: „aktiv“ oder „gelöscht“. Intercom unterstützt keinen Soft-Delete-, Deaktivierungs- oder Archivierungszustand für Teammitglieder.
Wenn ein Teammitglied in Ihrem Identity Provider nicht aktiv ist, wird sein Konto dauerhaft aus dem Intercom-Workspace gelöscht. Wenn das Teammitglied Zugriff auf andere Workspaces hat, bleibt dieser Zugriff erhalten.
Verwaltung von Teammitglied-Berechtigungen über SCIM
Sie können Ihre Identity Provider-Gruppen an Intercom übertragen und diese Gruppen bestimmten Teammitglied-Rollen zuordnen. Weitere Details finden Sie in unserem Artikel zum automatischen Zuweisen von Teammitglied-Rollen über SCIM-Gruppen.
Einschränkungen und wichtige Hinweise
Bekannte Einschränkungen
Unsere aktuelle SCIM-Implementierung unterstützt nicht:
Ein Teammitglied zu einem Team hinzufügen oder aus einem Team entfernen
Beim Provisioning eine Standardrolle vergeben (dies muss über SCIM-Gruppenzuordnung erfolgen)
Wichtige Hinweise
Hinweis:
Die Provisioning-Funktion von Intercom basiert auf Version 2.0 des SCIM-Protokolls.
Intercom betrachtet E-Mail-Adressen als nicht case-sensitiv (z. B. „Teammate@example.com“ ist dasselbe wie „teammate@example.com“).
Wenn im Request ein „displayName“-Parameter gesendet wird, wird dieser anstelle des „name“-Parameters verwendet.