Okta Integration (SCIM)

Über die Integration

Aufsetzen der Integration

Weitere Attribute zur Synchronisierung hinzufügen

Troubleshooting und häufig gestellte Fragen

Über die Integration

Unsere Integration mit Okta ermöglicht es Dir, eine automatische Nutzerbereitstellung und/oder Single Sign-On (SSO) mit Okta für Leapsome einzurichten.

Die automatische Nutzerbereitstellung mit Okta ermöglicht Dir folgende Funktionen:

• Neue Nutzer in Leapsome übertragen: Wenn Du in Okta einen neuen Nutzer erstellst und diesen der Leapsome-Anwendung zuweist, wird in Leapsome ein neuer User erstellt.
• Aktualisieren von Nutzerprofilen: Aktualisierungen für einen Nutzer in Okta werden auch an Leapsome gesendet.
• Nutzer deaktivieren: Durch Deaktivieren des Nutzers oder des Zugriffs des Nutzers auf Leapsome in Okta wird der Nutzer in Leapsome deaktiviert.
• Importieren neuer Nutzer: In Leapsome erstellte Nutzer können in Okta übertragen und als neue AppUser erstellt werden, um sie mit vorhandenen Okta-Nutzern abzugleichen.
• Gruppen in Leapsome übertragen: In Okta erstellte Gruppen können in Leapsome übertragen werden. Zu den übertragenen Attributen gehören der Name der Gruppe und deren Mitglieder.
• Gruppen aus Leapsome übertragen: In Leapsome erstellte Gruppen können in Okta übertragen und dort als Referenz verwendet werden.

Aufsetzen der Integration

Bevor Du loslegst

• Füge die Leapsome App aus dem Okta App Catalog hinzu und konfiguriere die 'General Settings'. Bestätige Deine Einstellungen mit Klick auf 'Done'
  
• Erstelle Zugriffsdaten in Leapsome1. Logge Dich als Admin ein und navigiere zu 'Admin-Einstellungen' > 'Integrationen' > 'HRIS Integrationen'
  2. Wähle den Reiter 'SCIM (Azure, Okta, OneLogin)'
  3. Klicke auf 'Speichern & Synchronisieren'
  4. Kopiere den SCIM-Authentifizierungstoken
  
  
  

Aktiviere die Integration in Okta

• Navigiere in Okta zu 'Applications' und klicke auf die Leapsome App.
• Gehe zum Reiter 'Provisioning' und klicke auf 'Configure API Integration'.
  
• Setze einen Haken in der Box 'API Token'.
• Trage in des Textfeld 'API Token' den SCIM-Authentifizierungstoken ein, den Du zuvor in Leapsome erstellt hast.
• Wenn Du einen Haken bei 'Import Groups' setzt, hast Du die Möglichkeit, bereits in Leapsome vorhandene Teams zu Okta zu importieren. Da Du dies auch nach Aufsetzen der Integration noch erledigen kannst, lasse diese Box für den Moment gern leer.
• Klicke auf 'Test API Credentials', um zu überprüfen, ob dein Token korrekt funktioniert.
• Sofern der Test erfolgreich war, speichere deine Einstellunen mit einem Klick auf 'Save'.
  
  

Richte die Nutzerbereitstellung in Okta ein

1. Einstellungen im 'To App' Reiter

Aktiviere im 'To App' Reiter die folgenden Optionen durch Klick auf 'Edit':

• 'Create Users' (Der 'Default username' sollte dabei die Email sein - Du kannst dies durch Kick auf 'Default username' anpassen)
• 'Update Users'
• 'Deactivate Users'

Wähle im Abschnitt 'Leapsome attribute mappings' die folgenden Einstellungen: 

Bitte beachte, dass es nicht zwingend nötig ist, ein Mapping einzurichten, um das Leapsome-Feld 'Team', z.B. mit Daten aus den Okta-Feldern 'Division', 'Department' oder 'Team' zu befüllen. Wenn diese Teams in eurem Okta Account auch als 'Gruppen' angelegt sind, kannst Du nämlich diese Gruppen mit wenigen Klicks zu Leapsome übertragen. Wie das funktioniert, erfährst Du hier. 

2. Einstellungen im 'To Okta' Reiter

Wähle im 'To Okta' Reiter die folgenden Einstellungen:

• 'Schedule import': 'Never'
• 'Okta username format': 'Email Address'

3. Nutzer auf die Leapsome App zuweisen

Du kannst der App jetzt Personen zuweisen und das Setup abschließen. Für die initiale Nutzerbereitstellung empfehlen wir 2 erzwungene Synchronisierungen: mit dem ersten Sync werden die Nutzer erstellt, und mit dem zweiten Sync werden die Berichtslininen aktualisiert sowie Manager zugewiesen.

Weitere Attribute zur Synchronisierung hinzufügen

Abseits des oben gezeigten Mappings kannst Du auch weitere Attribute zur Synchronisierung zwischen Okta und Leapsome hinzufügen. 

1. Erstelle die Leapsome Ziel-Attribute in Okta

Wenn Du weitere Attribute hinzufügen möchtest, navigiere zum Reiter 'Provisioning' > 'To App' und klicke auf 'Go to Profile Editor' > 'Add attribute'. Innerhalb dieses Menüs wirst Du nun zunächst diejenigen Leapsome-Attribute anlegen, an die Okta Daten schicken soll.

Du kannst verschiedenste Standardattribute, aber auch benutzerdefinierte Attribute in Leapsome als Ziel-Attrubut auswählen. Damit Leapsome die Daten auslesen kann, verwende bitte die exakten Namensbezeichnungen, sowie den Namespace (siehe unten):

'External Namespace':

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User

• Location:
  • external name: location
  • Notwendiges Format: string
• Start date
  • external name: startDate
  • Notwendiges Format: string, YYYY-MM-DD
• End date
  • external name: startDate
  • Notwendiges Format: string, YYYY-MM-DD
• Birthday
  
  • external name: birthday
  • Notwendiges Format: string, YYYY-MM-DD
• Level
  
  • external name: level
  • Notwendiges Format: string
• Zusätzliche Führungskräfte
  
  • external name: additionalManagers
  • Notwendiges Format: string; Komma-getrennte Liste der Email-Addressen aller zusätzlichen Führungskräfte eines Nutzers
• Benutzerdefinierte Attribute
  • external name: ID des benutzerdefinierten Attributs aus Leapsome, z.B. 62fdf81aad7b3e32f4040f2e 

Wenn Du Daten aus Okta an ein benutzerdefiniertes Attribut in Leapsome schicken möchtest, erstelle bitte zunächst das dazugehörige Attribut in Leapsome nach dieser Anleitung. Kopiere dann die ID dieses Attributs, um sie in Okta anzugeben.

2. Definiere das Mapping für die zusätzlichen Attribute

Sobald alle gewünschten Attribute kreiert sind, klicke bitte im 'Profile Editor' auf 'Mappings' und wähle den Reiter 'Okta User to Leapsome'. Wähle dann, welche Daten aus Okta in die neu angelegten Attribute fließen sollen. 

Bitte beachte, dass die zusätzlichen Attribute erst mit der zweiten Synchronisierung an Leapsome übertragen werden. Bitte stelle daher sicher, dass Du mindestens zwei Synchronisierungen erzwingst, sobald Du das Setup fertiggestellt hast.  

Troubleshooting und häufig gestellte Fragen

Kostenstelle und Abteilung als "Teams" 

Leapsome verwendet 'Teams', um Daten und Reports filtern zu können. Wenn Deine Organisation die Attribute 'Kostenstelle' oder 'Abteilung' verwendet, erstellt Leapsome automatisch ein neues Team für jede Abteilung oder Kostenstelle in der Plattform und fügt automatisch die entsprechenden User hinzu.

Manager werden nicht synchronisiert

Stelle vor der Nutzerbereitstellung sicher, dass der Manager auch als Nutzer in Leapsome vorhanden ist. Leapsome ignoriert alle Managerzuordnungen, die Manager enthalten, welche noch nicht als Nutzer in Leapsome vorhanden sind.

Okta sendet die im Feld managerId vorhandenen Informationen zum Manager eines Users. Die Informationen im Feld können folgende sein:

• die E-Mail-Adresse für den Manager
• eine Leapsome ID für den User
• Oktas ID für den User

Stelle sicher, dass dieses Feld ausgefüllt ist. Für die initiale Nutzerbereitstellung empfehlen wir 2 erzwungene Synchronisierungen: mit dem ersten Sync werden die Nutzer erstellt, und mit dem zweiten Sync werden die Reporting Lines aktualisiert, und damit die Manager zugewiesen.

Ein erzwungener Sync behebt mein Problem nicht. Was kann ich noch probieren?

In manchen fällen behebt auch ein erzwungener Sync in Okta bestehende Probleme (wie z.B. dass bestimmte Attribute nicht an Leapsome übergeben werden oder Nutzer nicht korrekt (de-) aktiviert werden) nicht.

Wenn eine erzwungene Synchronisierung nicht das gewünschte Resultat erzielt, befolge die folgenden Schritte und stoße dann eine neue Synchronisierung an: 

• Deaktivere Nutzer de-provisioning in Okta
• Hebe die Zuwisung der Leapsome-App für alle Nutzer in Okta auf 
• Weise die Leapsome-App allen Nutzern in Okta wieder zu
• Reaktiviere Nutzer de-provisioning in Okta

'userName' eines Nutzers ändern

Leapsome hängt von der Eindeutigkeit der E-Mail-Adresse eines Users ab. Daher schlägt die Nutzer-Bereitstellung fehl, wenn der userName eines Users aktualisiert wird, seine E-Mail-Adresse jedoch nicht.

Aktualisierungen oder De-Provisioning funktioniert bei einigen Benutzern nicht

Dieses Problem kann auftreten, wenn ein Benutzer manuell oder vor der Aktivierung von SCIM zu Leapsome hinzugefügt wurde. Weitere Informationen findest Du unter 'Manuell zu Leapsome hinzugefügte User' weiter unten.

'Email address already in use?' Fehler-Meldung beim Erstellen eines Nutzers

Dieses Problem kann auftreten, wenn ein Benutzer manuell oder vor der Aktivierung von SCIM zu Leapsome hinzugefügt wurde. Weitere Informationen findest Du unter 'Manuell zu Leapsome hinzugefügte User' weiter unten.

Manuell zu Leapsome hinzugefügte Nutzer

Nutzer, die manuell oder vor der Aktivierung von SCIM zu Leapsome hinzugefügt wurden, werden möglicherweise nicht von Okta getrackt. Damit Okta die Mitgliedschaft dieser User zum Leapsome Account erkennt, führe einen 'Import' in Okta durch. Navigiere zur Leapsome-App in Okta, und dort zum Tab 'Import' und klicke auf 'Import now'.

Eine Liste der Leapsome Nutzer und möglichen Übereinstimmungen mit Okta Nutzern wird unten aufgeführt. Klicke auf 'Confirm Assignments'. Diese Nutzer werden nun von Okta getrackt, aktualisiert und beim De-Provisioning berücksichtigt. Stelle sicher, dass alle User, die Du aus Leapsome importieren möchtest, aktiv sind, da inaktive Benutzer nicht von Okta importiert werden.