SCIM hazırlamasını (provisioning) IdP ile bağla
Okta / Azure AD / Google Workspace'ten kullanıcı yaşam döngüsünü Moonborn'a otomatik gönder — RFC 7644 uç noktaları, öznitelik eşleme (attribute mapping), grup-rol bağlama.
SCIM (System for Cross-domain Identity Management / Etki Alanları Arası Kimlik Yönetimi Sistemi) kimlik sağlayıcının (IdP) kullanıcı yaşam döngüsü değişikliklerini — oluşturma, güncelleme, devre dışı bırakma — Moonborn'a otomatik göndermesini sağlar. Elle davet / silme adımı kalkar; yeni işe alımlar IdP'de oluşturulduğu anda Moonborn'da hazırlanır (provision), ayrılışlar da otomatik olarak hazırlığa son verilir (deprovision).
Bu rehber SCIM taşıyıcı belirteci (bearer token) üretiminden, IdP-tarafı yapılandırmaya (Okta, Azure AD, Google Workspace), öznitelik eşlemeye (attribute mapping) ve grup-rol bağlamaya kadar adım adım kurulumu anlatır.
Bu rehberi bitirdiğinde
- Moonborn'dan SCIM taşıyıcı belirteci çıkarabileceksin (bir kerelik).
- IdP'ini (Okta / Azure AD / Google Workspace) Moonborn'a SCIM sağlayıcı olarak ekleyebileceksin.
- Standart SCIM 2.0 kullanıcı özniteliklerini Moonborn alanlarına eşleyebileceksin.
- IdP gruplarını Moonborn rollerine 1:1 eşleyebileceksin.
- Oluşturma / güncelleme / devre dışı bırakma / silme yaşam döngüsü olaylarının nasıl yansıdığını anlayacaksın.
- SCIM'in kapsamadığı alanları (API anahtarı, arayüz tercihleri) bilip nereye yöneleceğini bileceksin.
Ön koşul: Enterprise planı, IdP yönetici erişimi (Okta admin, Azure AD Global Admin vb.). SSO / SAML kurulumunu ilk defa yapıyorsan önce SSO + SAML kurulumu.
RFC 7644 uç noktaları
Moonborn SCIM 2.0 belirtimini (spec) takip eder. Uç noktalar:
| Yöntem | Yol | Anlamı |
|---|---|---|
GET | /v1/auth/scim/v2/Users | Kullanıcı listesi |
POST | /v1/auth/scim/v2/Users | Yeni kullanıcı hazırla |
GET | /v1/auth/scim/v2/Users/{id} | Tek kullanıcı detayı |
PATCH | /v1/auth/scim/v2/Users/{id} | Kullanıcıyı kısmen güncelle |
DELETE | /v1/auth/scim/v2/Users/{id} | Kullanıcı hazırlığına son ver |
GET | /v1/auth/scim/v2/Groups | Grup listesi |
POST | /v1/auth/scim/v2/Groups | Yeni grup |
1. SCIM taşıyıcı belirtecini çıkar
Arayüzde Settings → SSO → SCIM → Generate token.
2. IdP'ini yapılandır
- Applications → Browse App Catalog → Moonborn (veya SCIM 2.0 Generic).
- Add Application → oturum açma yöntemi olarak SAML 2.0 seç (eğer SSO da yapıyorsan).
- Provisioning → Configure API Integration → Enable API integration.
- Base URL:
https://api.moonborn.co/v1/auth/scim/v2 - API Token: Moonborn'dan kopyaladığın SCIM taşıyıcı belirteci.
- Test API Credentials → Save.
- Provisioning → To App → şu eylemleri aç:
- Create Users
- Update User Attributes
- Deactivate Users
3. Öznitelikleri eşle
Moonborn standart SCIM 2.0 kullanıcı şemasını okur. IdP'inin alanlarını şu Moonborn alanlarına eşle:
| SCIM özniteliği | Moonborn alanı |
|---|---|
userName | Oturum açma (sign-in) e-postası |
name.givenName / name.familyName | Görünen ad (display name) |
emails[type=work].value | İletişim e-postası |
active | Etkinleştir / devre dışı bırak |
externalId | IdP tarafındaki kullanıcı kimliği (denetim için saklanır) |
4. Grup → rol bağlama
SCIM grupları Moonborn rollerine 1:1 eşlenir. Bu bağlama Settings → SSO → SCIM → Group bindings ekranından yapılandırılır.
Yaygın bağlama deseni
| IdP grup adı | Moonborn rolü |
|---|---|
moonborn-owner | owner |
moonborn-admin | admin |
moonborn-editor | editor |
moonborn-viewer | viewer |
moonborn-billing | billing |
moonborn-auditor | auditor |
Çok çalışma alanlı bağlama
Birden fazla çalışma alanın varsa, grup-çalışma alanı çifti ile bağlama tanımlanabilir:
IdP grubu Çalışma alanı Moonborn rolü
moonborn-eu-editor ws_eu_brand editor
moonborn-us-editor ws_us_brand editor
moonborn-admin * admin (tüm çalışma alanlarında)Bu sayede aynı kullanıcı AB marka çalışma alanında editor, ABD marka çalışma alanında da viewer olabilir.
Yaşam döngüsü davranışı
| IdP'de olay | Moonborn'da ne olur |
|---|---|
| Create (yeni kullanıcı) | Kullanıcı hazırlanır, hoş geldin e-postası gönderilir, varsayılan rol atanır (grup bağlama üzerinden) |
| Update (öznitelik değişiyor) | Kullanıcı kaydı güncellenir; grup değiştiyse rol yeniden değerlendirilir |
| Grup ekle / çıkar | Sonraki eşitleme turunda rol güncellenir |
Deactivate (active = false) | Kullanıcı oturum açamaz; mevcut oturumlar iptal edilir; veri korunur |
| Delete (DELETE uç noktası) | Yumuşak silme (soft-delete); 30 gün bekleme süresi, sonra tam silme (hard-purge) |
SCIM neyi eşitlemez
Bazı şeyler SCIM kapsamı dışındadır — onları elle veya başka bir mekanizmayla yönet:
| Eşitlenmez | Nasıl yönetilir |
|---|---|
| API anahtarları | Kullanıcı başına kullanıcılar kendileri üretir; SCIM bunları görmez |
| Arayüz tercihleri | Tema, dil, pano düzeni — kullanıcı arayüzde belirler |
| SCIM kapsamı dışındaki çalışma alanı üyelikleri | Elle davet kullan |
| Çalışma alanı içi özel alanlar | Çalışma alanı yöneticisi tarafından elle yönetilir |
Plan gereksinimi
Enterprise.
Sorun giderme (troubleshooting)
"401 Unauthorized" — belirteç reddedildi
- Belirtecin süresi dolmuş veya döndürülmüş olabilir → Moonborn'da yeni belirteç üret ve IdP'in SCIM ayarına yapıştır.
- Bearer başlığı (header) biçimi yanlış →
Authorization: Bearer <token>(boşluk önemli).
"Kullanıcı IdP'de oluşturuldu ama Moonborn'da yok"
- Eşitleme aralığı bekleniyor (Okta varsayılan ~40 dakika, Azure 40 dakika, Google ~30 dakika).
- IdP'de elle eşitlemeyi tetikleyerek hemen test et.
- IdP'in SCIM hazırlama kayıtlarını (logs) kontrol et — uç nokta hatası varsa orada görünür.
"Rol atandı ama kullanıcı erişimi yok"
- Grup bağlaması eşleşmiyor olabilir → IdP grubunun tam adı Moonborn bağlamasıyla aynı mı?
- Çalışma alanına özel bağlama kurduysan, kullanıcı doğru çalışma alanında mı?
İlgili
SSO + SCIM + RBAC'in birlikte kurumsal kimlik akışına nasıl bağlandığı.
SCIM ile birlikte SAML 2.0 SSO kurmak.
Uçtan uca: çalışma alanı + elle davet + SAML + SCIM akışı.
SCIM bağlamasıyla eşleşen yerleşik rollerin izin (permission) detayları.