SCIM, System for Cross-domain Identity Management, ist ein offener Standard, der es dir ermöglicht, das Nutzerlebenszyklus-Management in Cloud-basierten Anwendungen und Diensten zu automatisieren. In diesem Artikel erklären wir dir, wie du eine SCIM-Integration mit anny durchführst.
Für wen ist diese Funktion geeignet?
Diese Funktion richtet sich in erster Linie an IT-Admins. Sie ist besonders hilfreich für:
Automatische Anlage neuer Mitarbeiter:innen, noch bevor diese sich das erste Mal einloggen.
Sofortigen Entzug von Buchungsrechten, wenn jemand das Unternehmen verlässt.
Zentrale Verwaltung und Synchronisierung von Profilattributen (wie Abteilungen oder Standorten) direkt aus dem IdP.
SCIM ist ideal für Organisationen, die manuelle Account-Pflege in anny komplett eliminieren und eine "Single Source of Truth" etablieren wollen.
Was ändert sich durch SCIM?
Aus Admin-Sicht: Du musst anny-Accounts nicht mehr manuell anlegen, anpassen oder deaktivieren. anny spiegelt automatisch den Status deines IdPs.
Aus Kund:innen-Sicht: Nutzer:innen merken von der Umstellung nichts. Ihr Login erfolgt weiterhin über SSO (SAML), aber ihr Profil in anny ist immer auf dem neuesten Stand.
Wichtig: Sobald SCIM aktiv ist, werden Nutzerattribute (wie Name, Abteilung oder Rolle) ausschließlich über SCIM übertragen. Das bestehende Attribute Mapping über den regulären SSO-Login (SAML) wird ab diesem Moment von anny ignoriert, da SCIM als alleinige Datenquelle fungiert.
Wo findest du die Funktion in anny?
Du findest die Konfiguration unter Account-Einstellungen > SSO & Sicherheit. Voraussetzungen:
Du hast Admin-Zugriff in anny.
Du hast Admin-Zugriff auf deinen Identity Provider (z. B. Microsoft Entra).
Die anny-Anwendung existiert in deinem IdP bereits für den SSO-Login.
Wichtig: Der SCIM-Token wird dir in anny aus Sicherheitsgründen nur ein einziges Mal angezeigt. Kopiere ihn direkt und hinterlege ihn sofort in deinem System.
So funktioniert die Logik
Dein Identity Provider überwacht Änderungen an den zugewiesenen Nutzer:innen (z. B. neue Abteilung, Account-Sperrung).
Tritt eine Änderung auf, sendet der IdP diese Info über einen unsichtbaren Kanal (Backchannel) an die SCIM-Schnittstelle von anny.
anny validiert die Anfrage mithilfe des geheimen Tokens.
Das Profil in anny wird sofort aktualisiert – völlig unabhängig davon, ob die Person gerade eingeloggt ist.
Durch diesen kontinuierlichen Hintergrundprozess haben beide Systeme stets denselben Datenstand.
SCIM mit einem generischen IdP einrichten (z. B. Okta, Google)
Das Prinzip ist bei fast allen Anbietern identisch, auch wenn die Menüs anders heißen.
Wähle in anny unter SSO & Sicherheit > SCIM aus und kopiere URL und Token.
Öffne das Provisioning-Menü in deiner IdP-Anwendung (oft als "API Integration" oder "App Provisioning" bezeichnet).
Füge die Mandanten-URL als "Base URL" und den Token als "API Token" (oder Bearer Token) ein.
Teste die Verbindung und starte den Sync-Zyklus.
Ergebnis: Auch externe oder weniger verbreitete Systeme kommunizieren nun nahtlos mit der anny-Nutzerdatenbank.
SCIM in Microsoft Entra einrichten
Mit dieser Anleitung richtest du SCIM so ein, dass Microsoft Entra deine Nutzer:innen automatisch für anny bereitstellt.
Öffne in anny die Account-Einstellungen > SSO & Sicherheit und wähle SCIM aus.
Kopiere die Mandanten-URL sowie den Token.
Öffne in Microsoft Entra die bestehende anny-Anwendung, für die du die Bereitstellung einrichten willst.
Gehe in den Bereich Bereitstellung und starte dort eine neue Konfiguration (oder wähle die vorhandene aus).
Trage die kopierte Mandanten-URL in das gleichnamige Feld ein und füge den Token in das Feld Geheimes Token ein.
Klicke auf Verbindung testen, um zu prüfen, ob Entra die SCIM-Schnittstelle von anny erreichen kann.
Speichere die Konfiguration, sobald der Test erfolgreich ist.
Aktiviere anschließend die Bereitstellung über den Button Bereitstellung starten.
Microsoft Entra stellt Nutzer:innen jetzt über SCIM bereit.
Hinweis: Die Bereitstellung dauert einige Zeit. Plane etwas Wartezeit ein, bevor du das Ergebnis in anny überprüfst.