# Microsoft Entra ID SCIM-integration

System för identitetshantering över flera domäner (SCIM) kan användas för att automatiskt tillhandahålla och avregistrera medlemmar och grupper i din Bitwarden-organisation. 

> [!NOTE] SCIM vs. BWDC
> SCIM-integrationer är tillgängliga för **Teams och Enterprise-organisationer**. Kunder som inte använder en SCIM-kompatibel identitetsleverantör kan överväga att använda [Directory Connector](https://bitwarden.com/sv-se/help/directory-sync-cli/) som ett alternativt sätt för provisionering.

Den här artikeln hjälper dig att konfigurera en SCIM-integration med Azure. Konfiguration innebär att arbeta samtidigt med Bitwarden webbvalv och Azure Portal. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.

> [!TIP] Entra ID Soft Guide
> **Redan expert?** Hoppa över instruktionerna i den här artikeln och ladda ner snabbkonfigurationsguiden för att ställa in SSO och SCIM med Entra ID.
> 
> ⬇️ [Snabbreferensguide](https://bitwarden.com/assets/3dX9IKG6TQ9chQXJaVkP1w/846f3cbc9cec1435813c3298a9a102e9/entra-id-guide.pdf)

## Aktivera SCIM

> [!NOTE] Self-hosting SCIM
> **Are you self-hosting Bitwarden?** If so, complete [these steps to enable SCIM for your server](https://bitwarden.com/sv-se/help/self-hosting-scim/) before proceeding.

För att starta din SCIM-integrering, öppna administratörskonsolen och navigera till **Inställningar**→ **SCIM-provisionering:** 

![SCIM provisioning](https://bitwarden.com/assets/6sw1kuK7GuZ3dfQkkbs6rV/a4f4e18e561733297338e4ed44c6ed8c/2024-12-03_15-25-46.png)

Markera **kryssrutan**Aktivera SCIM och notera din **SCIM-URL**och **SCIM API-nyckel**. Du måste använda båda värdena i ett senare steg.

## Skapa en företagsapplikation

> [!TIP] SCIM if SSO already exists (Azure).
> Om du redan använder denna IdP för inloggning med SSO, öppna den befintliga företagsapplikationen och [hoppa till det här steget](https://bitwarden.com/sv-se/help/microsoft-entra-id-scim-integration/#enable-provisioning/). Annars fortsätter du med det här avsnittet för att skapa en ny applikation

I Azure Portal, navigera till **Microsoft Entra ID**och välj **Enterprise-applikationer**från navigeringsmenyn:

![Enterprise applications ](https://bitwarden.com/assets/69h0vJlyvkF5J6tsKfQ7jd/4994ed3200bdce4b5faea87e1ac2de83/Enterprise_application.png)

Välj knappen + **Ny applikation**:

![Create new application ](https://bitwarden.com/assets/7f6vbFmJRpfwDXbjHNKp1i/c314ef0bcbb68306858fa0f76da1e369/new_application.png)

På skärmen Bläddra i **Microsoft Entra ID** Gallery väljer du knappen + **Skapa din egen applikation**:

![Create your own application ](https://bitwarden.com/assets/6oF8nrPsl7riqg3jWFDk7N/5cf08062f5656e0aee44ea627a2071c5/Create_your_own_application.png)

På skärmen Skapa din egen applikation, ge applikationen ett unikt, Bitwarden-specifikt namn. Välj **alternativet**Icke-galleri och välj sedan knappen **Skapa**.

![Create Entra ID app](https://bitwarden.com/assets/2fCSl3wr0PPuTYBk9zisXd/0e8754a3163b6560d832306b4b88bb1b/create_entra_app.png)

### Aktivera provisionering

Välj **Provisioning**från navigeringen och slutför följande steg:

![Select Provisioning](https://bitwarden.com/assets/3FNghuESyQaW6EB4WfANSy/f0a1ef6cae75ccc9412e5f0e1396b5f1/Select_Provisioning.png)

1. Välj knappen **Kom igång**.
2. Välj **Automatisk**från **rullgardinsmenyn**Provisioning Mode.
3. Ange din SCIM-URL ([läs mer](https://bitwarden.com/sv-se/help/microsoft-entra-id-scim-integration/#enable-scim-in-the-web-vault/)) i **fältet**Tenant URL.
4. Ange din SCIM API-nyckel ([läs mer](https://bitwarden.com/sv-se/help/microsoft-entra-id-scim-integration/#enable-scim-in-the-web-vault/)) i **fältet**Secret Token.
5. Välj **knappen**Testa anslutning.
6. Om din anslutning testar framgångsrikt, välj **knappen**Spara.

### Kartläggningar

Den här skärmbilden är tillgänglig när du utför den första installationen för Enterprise Application, eller genom att navigera till Enterprise Application och välja **Provisioning** under **Hantera**sektionen i menyn till vänster och sedan välja **Redigera Provisioning** längst upp.

Bitwarden använder vanliga SCIM v2-attributnamn, även om dessa kan skilja sig från Microsoft Entra ID-attributnamn. Standardmappningarna kommer att fungera, men du kan använda det här avsnittet för att göra ändringar om du vill. 

#### Användarkartläggning

Om du vill att användarobjekt i din katalog ska synkroniseras med Bitwarden kan du aktivera eller inaktivera **Provision Microsoft Entra ID-användare.** Detta är aktiverat som standard. Välj länken **Provision Microsoft Entra ID Users** för att anpassa de attribut som skickas till Bitwarden med användarobjekt. Följande tabell beskriver standardmappningarna för attribut som används av Bitwarden:

| **Bitwarden-attribut** | **Standard AAD-attribut** |
|------|------|
| `aktiv` | `Switch([IsSoftDeleted], , "False", "True", "True", "False")` |
| `e-post` eller `användarnamn` | `mail `eller `userPrincipalName` |
| `visningsnamn` | `visningsnamn` |
| `externt ID` | `mail Smeknamn` |

ª - Eftersom SCIM tillåter användare att ha flera e-postadresser uttryckta som en array av objekt, kommer Bitwarden att använda `värdet` på objektet som innehåller `"primärt": sant`.

#### Användarmappning med objektidentifierare

Användarmappningar kan vara mer effektiva om de prioriterar Entra `objectId` framför andra attribut. Kartläggning på detta sätt kommer att bevara kopplingen till ett Bitwarden-konto om motsvarande Entra ID-kontos e-postadress ändras, till exempel vid en namnändring. För att implementera detta gör du följande ändringar i ditt användarmappningsschema:

- Mappa `externalId` (**customappsso Attribute**) till `objectId` (**Microsoft Entra ID Attribute**).
- För mappningen `externId` till `objectId`, ställ in **Matcha objekt med detta attribut** till Ja.
- För `extern-ID` till ``objekt-id-mappning, ställ in **Matchningsprioritet** till 1.
- För mappningen `userName` (**customerappsso Attribute**) till `userPrincipalName` (**Microsoft Entra ID Attribute**), ställ in **Matchningsprioritet** till 2.

> [!WARNING] Changing Entra SCIM Mapping ex-post-facto
> Om du implementerar denna mappningsstrategi **efter att användare redan har synkroniserats till Bitwarden**med SCIM, notera att de redan synkroniserade användarna inte kommer att ha haft externa ID:n inställda av ett Entra ID-objekt-ID. För dessa användare, använd [Public API](https://bitwarden.com/sv-se/help/api/):s `/public/members/{id`} slutpunkt för att ställa in sina externa ID:n.

#### Gruppkartläggning

Om du vill att gruppobjekt i din katalog ska synkroniseras med Bitwarden kan du aktivera eller inaktivera **Provision Microsoft Entra ID-grupper**. Det här alternativet är aktiverat som standard. Välj länken **Provision Microsoft Entra ID Groups** för att anpassa de attribut som skickas till Bitwarden med gruppobjekten om du vill göra ändringar enligt följande tabell:

| **Bitwarden-attribut** | **Standard AAD-attribut** |
|------|------|
| `visningsnamn` | `visningsnamn` |
| `medlemmar` | `medlemmar` |
| `externt ID` | `objectId` |

### Inställningar

Under **rullgardinsmenyn**Inställningar väljer du:

- Om du ska skicka ett e-postmeddelande när ett fel inträffar och i så fall vilken adress du ska skicka det till (rekommenderas).
- Om du endast ska **synkronisera tilldelade användare och grupper** eller **synkronisera alla användare och grupper**. Den här inställningen ändras baserat på din mappningskonfiguration. Till exempel, om gruppmappning är inaktiverad, kommer grupper som läggs till Enterprise Application endast att synkronisera användarobjekten som är medlemmar i gruppen, och inte skapa gruppen i själva Bitwarden. Om du väljer att synkronisera alla användare och grupper, hoppa över nästa steg, eftersom hela din katalog kommer att synkroniseras, beroende på dina kartinställningar.

## Tilldela användare och grupper

Slutför det här steget om du har valt att endast **synkronisera tilldelade användare och grupper**från provisioneringsinställningarna. Välj **Användare och grupper**från navigeringen:

![Enterprise application users and groups](https://bitwarden.com/assets/5xXgCDxrB4wVlZmfsKmi2L/cad020d84786fa009a6636b01ce5d918/remove-name-2.png)

Välj **knappen**+ Lägg till användare/grupp för att tilldela åtkomst till SCIM-applikationen på användar- eller gruppnivå. Följande avsnitt beskriver hur modifiering av användare och grupper i Azure kommer att påverka deras motsvarigheter i Bitwarden:

#### Användare

Om **Provision Microsoft Entra ID Users** har aktiverats i dina mappningar, vidtas följande åtgärder:

- När en ny användare tilldelas i Azure bjuds användaren in till din Bitwarden-organisation.
- När en användare som redan är medlem i din organisation tilldelas i Azure, länkas Bitwarden-användaren till Azure-användaren genom deras första tillgängliga matchande prioritetsattribut.

 - Användare som är länkade på det här sättet är fortfarande föremål för de andra arbetsflödena i den här listan, men värden som `displayName` och `externalId/mailNickname` ändras inte automatiskt i Bitwarden.
- När en tilldelad användare inaktiveras via `accountEnabled-egenskapen` i Azure får användaren sin åtkomst till organisationen [återkallad](https://bitwarden.com/sv-se/help/about-scim/#revoking-restoring-access/).
- När en tilldelad användare är "mjuk" raderad i Azure får användaren sin åtkomst till organisationen [återkallad](https://bitwarden.com/sv-se/help/about-scim/#revoking-restoring-access/).

 - När användaren tas bort permanent i Azure tas användaren bort från organisationen.
- När en tilldelad användare tas bort från Enterprise-applikationen i Azure får användaren sin åtkomst till organisationen [återkallad](https://bitwarden.com/sv-se/help/about-scim/#revoking-restoring-access/).
- När en tilldelad användare tas bort från en grupp i Azure tas användaren bort från den gruppen i Bitwarden men förblir medlem i organisationen.

#### Grupper

Om du har aktiverat **Provision Microsoft Entra ID-grupper** i dina mappningar, vidtas följande åtgärder:

- När en ny grupp tilldelas i Azure skapas gruppen i Bitwarden. 

 - Gruppmedlemmar som redan är medlemmar i din Bitwarden-organisation läggs till i gruppen.
 - Gruppmedlemmar som inte redan är medlemmar i din Bitwarden-organisation är inbjudna att gå med.
- När en grupp som redan finns i din Bitwarden-organisation tilldelas i Azure, länkas Bitwarden-gruppen till Azure genom det första tillgängliga matchande prioritetsattributet.

 - Grupper länkade på det här sättet kommer att få sina medlemmar synkroniserade från Azure.
- När en grupp byter namn i Azure kommer den att uppdateras i Bitwarden så länge den initiala synkroniseringen har gjorts.

 - När en grupp byter namn i Bitwarden kommer den att ändras tillbaka till vad den heter i Azure. Ändra alltid gruppnamn Azure-side.

## Börja provisionering

När applikationen är helt konfigurerad börjar du provisionering genom att välja **knappen**[play]Starta provisionering på företagsapplikationens provisioneringssida:

![Start provisioning](https://bitwarden.com/assets/1oJcKq2shIBPxySuKjaZLV/61bbe111c6e1a140698103ae00874d14/Start_provisioning_.png)

## Slutför användarintroduktionen

Nu när dina användare har administrerats kommer de att få inbjudningar att gå med i organisationen. Instruera dina användare att [acceptera inbjudan](https://bitwarden.com/sv-se/help/managing-users/#accept/) och, när de har gjort det, [bekräfta dem för organisationen](https://bitwarden.com/sv-se/help/managing-users/#confirm/).

> [!NOTE] Invite/Accept/Confirm
> The Invite → Accept → Confirm workflow facilitates the decryption key handshake that allows users to securely access organization vault data.