SAML vereist in de regel dat de accounts
al bekend zijn in het systeem. Je hebt een Identity Provider en Service Provider (IDP en SP). Authenticatie gebeurt bij de IDP en die stuurt vervolgens een assertion met daarin een identifier naar de SP. Deze SP wil deze identifier vervolgens matchen met een in het systeem aanwezig account. Door deze matching weet de SP over welke user het gaat. Denk aan mailadres korvaag@bedrijfsnaam.nl, accountnaam 'korvaag' of een (bijvoorbeeld) personeelsnummer.
Als je SAML wilt gebruiken zal je dus moeten zorgen dat de users via [een bepaald proces] aangemaakt worden bij de Service Provider. Dit kan op meerdere manieren (waaronder SCIM).
Eea is niet te verwarren met Just in Time provisioning (JIT). Dit maakt ook gebruik van SAML maar zorgt ervoor dat de accounts worden aangemaakt bij de Service Provider op moment van eerste inlog (dus.. just in time). Wat jij hierboven aangeeft doet vermoeden dat je JIT bedoelt maar dat is dus iets anders dan alleen SAML. JIT is iets wat niet zomaar door elke SP ondersteund wordt.
Dus:
SCIM: provisioning (CRUD, create, update delete*) en dit meestal aan de hand van IDU (indienst, doorstroom, uit dienst).
SAML: federatie. Accounts moeten hiervoor in de regel al bekend zijn in het aangesloten systeem (al dan niet via handmatige aanmaak, SCIM of andere vormen van koppelingen). Zonder accounts geen SSO.
JIT: SAML met automatische account aanmaak (is iets te zwart wit, maar voor nu even voldoende)
RedCellNL schreef op woensdag 12 januari 2022 @ 17:02:
SCIM provisioning, also referred to as automated user management: SCIM provisioning allows organizations to use their identity provider service to automate how their users are added to and updated in the application. By definition, SCIM provisioning requires use of SAML SSO, but SAML SSO doesn't require SCIM.
Dit is overigens niet per definitie waar. Mogelijk is dit specifiek voor de door jou gekozen SP het geval, maar ik kan prima via SCIM users provisionen naar (bijvoorbeeld) ServiceNow en die users via een activatieprocedure van een wachtwoord voorzien waardoor ze met username+password kunnen inloggen. Of dat ideaal is is even een andere discussie, maar het kan prima. Ik begrijp dan ook niet waar bovenstaand statement vandaan komt en voor zover ik weet is het domweg onwaar (mogelijk dus wel waar voor de betreffende service provider, maar niet vanuit SCIM zelf).
Let er trouwens wel even op dat persoonsinformatie verstrekken aan partijen aan regelgeving onderhevig is. Je kan niet zomaar zonder afspraken een complete HR-dump (of klantinformatie) aan een SAAS-boer geven. Dit even ter aanvulling.
* voor de volledigheid: SCIM ondersteunt meerdere operaties, maar ik pak even de essentie.
[Voor 31% gewijzigd door Korvaag op 16-01-2022 22:15]