我们正在为用户、组和一些自定义资源实施 SCIM 资源提供程序。
SCIM 核心架构 RFC 7643 定义了用户资源,因此只有 userName 和核心属性(id、schemas)是必需的。此外,它还定义了 可选 属性,例如名称、profileUrl 等。
某些可选属性在我们的上下文中没有意义(例如ims),或者不受支持或支持成本很高。
另一方面,像name 这样的其他可选 属性应该是“必需的”并且应该返回“总是”。
推荐的表达方式是什么,以便客户知道应该提供哪些属性? 据我了解 rfc,我们应该在 /Schemas 端点上提供调整后的核心用户模式版本。是正确的方法吗? 它会让我们的 Provider “不符合 SCIM”吗?
【问题讨论】:
标签: identity provisioning rfc scim
关于 scim 邮件列表的讨论已经开始。以下是 rfc 的作者之一 Phil Hunt 的回答:
这种情况经常发生,尤其是在应用程序(例如工资单、HCM、CRM 等)之上调整 SCIM 协议时。每个应用程序都有他们关心的数据,这些数据是 IDM 系统中看到的数据的子集。 7643 的真正意义在于定义开发人员可以依赖的标准属性名称、类型、语法和处理方式。
IMO,您不必完全按照 7643 中发布的方式实现架构。省略属性是很常见的做法(例如,不关心 ims 的应用程序)。请注意,重命名标准属性或更改其格式会产生互操作问题。
使用扩展机制来定义您自己的应用特定属性(参见 7643 的第 3.3 节和 EnterpriseUser 示例的第 4.3 节)。
您可以随意从架构中省略未使用的属性。您在 /Schemas 端点中记录您的服务器实际支持的内容。
完整的讨论可以在https://www.ietf.org/mail-archive/web/scim/current/msg02851.html找到
【讨论】: