Skip to main content
Die SCIM-Provisionierung hält deine Base44-Enterprise-Workspace-Mitgliedschaft mit Microsoft Entra ID (früher Azure AD) synchron. Du erstellst eine separate Enterprise-Anwendung, verbindest sie mit Base44, mappst Rollen und aktivierst die automatische Synchronisation, damit Mitglieder für dich hinzugefügt, aktualisiert und entfernt werden. Damit dein Team sich anmelden kann, richte SSO für Microsoft Entra ID separat ein.
SCIM-Provisionierung ist nur in Enterprise-Workspaces verfügbar. Wenn du diese Option nicht siehst, wende dich an dein Base44-Account-Team.

Bevor du beginnst

Stelle sicher, dass du hast:
  • Owner- oder Admin-Zugriff auf deinen Base44-Enterprise-Workspace.
  • Admin-Zugriff auf das Microsoft Entra Admin Center.
  • Deine SCIM Base URL, zu finden unter Settings > Auth and security.
  • Einen Workspace-API-Key, zu finden unter Settings > Secrets.
Base44 Auth and security settings, with the SCIM Provisioning Base URL highlighted

SCIM-Provisionierung einrichten

Erstelle eine dedizierte Entra-Enterprise-Anwendung, verbinde sie mit Base44, mappe deine Rollen und Attribute und aktiviere die automatische Synchronisation.

Schritt 1: Die SCIM-App erstellen

Erstelle eine separate, nicht aus dem Gallery-Katalog stammende Enterprise-Anwendung für die Provisionierung. So erstellst du die SCIM-App:
  1. Gehe im Microsoft Entra Admin Center zu Identity > Applications > Enterprise applications.
  2. Klicke auf New application und dann auf Create your own application.
  3. Gib einen Namen ein (z. B. Base44 SCIM Provisioning) und wähle Integrate any other application you don’t find in the gallery.
  4. Klicke auf Create.

Schritt 2: Mit Base44 verbinden

Richte Entra mit deiner SCIM Base URL und einem Workspace-API-Key auf deinen Base44-Workspace aus. Wenn du noch keinen API-Key hast, erstelle zuerst einen. So erstellst du einen Workspace-API-Key:
  1. Klicke in den Settings deines Workspaces auf Secrets.
  2. Klicke auf Create API Key.
  3. Gib einen Namen ein (z. B. Entra SCIM), füge optional eine Beschreibung hinzu und klicke auf Create Key.
Base44 Create API Key dialog with a name entered
Base44 zeigt den vollständigen Key nur einmal an. Kopiere ihn, bevor du den Dialog schließt, und bewahre ihn sicher auf, da du ihn unten als Secret Token verwendest.
Base44 API Key Created dialog showing the generated key
So konfigurierst du die Provisionierung:
  1. Öffne die App und gehe zu Provisioning, dann klicke auf Get started.
  2. Setze Provisioning Mode auf Automatic.
  3. Setze unter Admin Credentials:
    • Tenant URL: Deine SCIM Base URL mit ?aadOptscim062020 am Ende. Das Ergebnis sieht aus wie https://app.base44.com/scim/v2/organizations/{{WORKSPACE_ID}}?aadOptscim062020.
    • Secret Token: Dein Workspace-API-Key.
  4. Klicke auf Test Connection, um eine erfolgreiche Verbindung zu bestätigen.
  5. Klicke auf Save.
Bevor du fortfährst, führe Test Connection aus und bestätige den Erfolg. Ein fehlgeschlagener Test bedeutet meist, dass Tenant URL oder Secret Token falsch sind.
Entra Provisioning admin credentials showing Provisioning Mode, Tenant URL, and Secret Token
Entra erfordert das Suffix ?aadOptscim062020 an der Tenant URL. Ohne es kann der Verbindungstest oder die Provisionierung fehlschlagen. Dieses Suffix ist spezifisch für Entra. Verwende es also nicht bei anderen Identitätsanbietern.

Schritt 3: externalId mappen

Standardmäßig matcht Entra Nutzer über einen Wert, der sich ändern kann. Wenn du externalId auf objectId mappst, einen stabilen eindeutigen Identifikator, kann Base44 jeden Nutzer zuverlässig für Updates und Deaktivierung matchen. So aktualisierst du das Mapping:
  1. Klicke unter Mappings auf Provision Microsoft Entra ID Users.
  2. Finde in der Mapping-Tabelle die Zeile, in der das Target attribute genau externalId ist.
  3. Klicke auf diese Zeile und ändere das Source attribute auf objectId.
  4. Klicke auf Ok und dann auf Save.
Entra Edit Attribute panel with the source attribute set to objectId
Nach dem Speichern erscheint das aktualisierte Mapping in der Attributstabelle mit externalId, das auf objectId gemappt ist.
Entra attribute mappings table with externalId mapped to objectId

Schritt 4: Benutzerdefinierte Attribute hinzufügen

Die Base44-Felder Rolle und Credit-Limit sind nicht in Entras standardmäßiger Ziel-Liste. Füge sie hinzu, bevor du sie mappen kannst. So fügst du die Attribute hinzu:
  1. Scrolle auf dem Mapping-Bildschirm Provision Microsoft Entra ID Users nach unten und aktiviere Show advanced options.
  2. Klicke auf Edit attribute list for deine App.
  3. Füge unten in der Liste hinzu:
    • Rolle: urn:base44:params:scim:schemas:extension:user:2.0:role, Type auf String.
    • Credit-Limit (optional): urn:base44:params:scim:schemas:extension:user:2.0:creditLimit, Type auf Integer.
  4. Klicke auf Save und bestätige die Änderung.
Entra Edit attribute list with the Base44 role URN added as a String

Schritt 5: App-Rollen erstellen

Du erstellst Rollen unter App registrations, nicht unter Enterprise applications. In den Enterprise applications weist du sie nur zu. So erstellst du App-Rollen:
  1. Gehe im Microsoft Entra Admin Center zu App registrations und öffne den Tab All applications.
  2. Wähle deine SCIM-App aus.
  3. Klicke auf App roles und dann auf Create app role.
  4. Erstelle für jede Base44-Berechtigungsstufe eine separate Rolle: admin, editor und viewer.
  5. Gib im Feld Value exakt den kleingeschriebenen String ein, den Base44 erwartet (admin, editor oder viewer).
  6. Klicke auf Apply.
Entra Create app role panel
Erstelle eine Rolle pro Berechtigungsstufe. Nach der Erstellung erscheinen alle 3 in der Liste App roles der App.
Entra App roles list showing the admin, editor, and viewer roles

Schritt 6: Rolle und Credit-Limit mappen

Entra speichert Rollen als Array, aber Base44 erwartet einen einzelnen Textwert. Die Rolle muss also mit einem Ausdruck gemappt werden, nicht direkt. So mappst du die Rolle:
  1. Gehe zu Enterprise applications > deine SCIM-App > Provisioning > Edit attribute mapping > Provision Microsoft Entra ID Users.
  2. Klicke auf Add New Mapping oder bearbeite die vorhandene Rolle-Zeile.
  3. Setze Mapping type auf Expression.
  4. Gib im Feld Expression ein: SingleAppRoleAssignment([appRoleAssignments])
  5. Setze Target attribute auf urn:base44:params:scim:schemas:extension:user:2.0:role.
  6. Setze Match objects using this attribute auf No und Apply this mapping auf Always.
  7. Klicke auf Ok.
Entra expression mapping for the role field using SingleAppRoleAssignment
Ein Credit-Limit zu setzen ist optional. Ohne Limit bezieht das Mitglied aus dem gemeinsamen Workspace-Credit-Pool ohne individuelles Limit. Füge nur dann ein Credit-Limit hinzu, wenn du begrenzen willst, wie viele Credits ein bestimmtes Mitglied pro Monat nutzen kann. So mappst du ein Credit-Limit (optional):
  1. Gib den Credit-Limit-Wert im Entra-Profil des Nutzers unter einem eingebauten Extension-Feld ein, z. B. extensionAttribute1.
  2. Klicke auf Add New Mapping und setze Mapping type auf Direct.
  3. Setze Source attribute auf extensionAttribute1.
  4. Setze Target attribute auf urn:base44:params:scim:schemas:extension:user:2.0:creditLimit.
  5. Klicke auf Ok und dann auf Save.

Schritt 7: Zuweisen und provisionieren

Wähle, wen du provisionierst, gib ihnen eine Rolle und starte die Synchronisation. So weist du Nutzer zu:
  1. Gehe zu Enterprise applications > deine SCIM-App > Users and groups.
  2. Klicke auf Add user/group und wähle die Nutzer oder Gruppen zum Provisionieren.
  3. Wähle unter Select a role die von dir erstellte Rolle (admin, editor oder viewer) und klicke auf Assign.
So aktivierst du die Provisionierung:
  1. Gehe zu Provisioning.
  2. Setze Provisioning Status auf On.
Entra beginnt, die zugewiesenen Nutzer mit deinem Base44-Workspace zu synchronisieren.
Wenn der Edit-Button für einen Nutzer ausgegraut ist, aktiviere das Kontrollkästchen neben dem Nutzer, klicke auf Remove und füge ihn dann mit der richtigen Rolle erneut hinzu.

Schritt 8: Bestehende Nutzer aktualisieren

Wenn du das externalId-Mapping geändert hast, nachdem einige Nutzer bereits provisioniert waren, aktualisiere ihre Datensätze, damit sie die korrekte objectId übernehmen. So aktualisierst du bestehende Nutzer:
  1. Gehe zu Provisioning > Provision on demand.
  2. Suche den Nutzer und führe die Provisionierung aus, um seinen Datensatz zu patchen.
  3. Um das auf alle anzuwenden, gehe zurück zur Haupt-Provisionierungs-Seite und klicke auf Restart provisioning.

Rollen und Credit-Limits

Base44 akzeptiert per SCIM nur die folgenden Rollen. Mappe deine Entra-App-Rollen auf genau diese Werte.
RolleWas sie tun können
adminMitglieder, Abrechnung und Workspace-Einstellungen verwalten
editorApps bauen, bearbeiten und ausführen; nutzt Credits aus dem Workspace-Pool
viewerNur-Lese-Zugriff auf Apps; verbraucht keine Credits
Credit-Limits gelten nur für admin- und editor-Rollen, da Viewer keine Credits verbrauchen. Ein Credit-Limit von 0 bedeutet kein Limit. Du kannst Credit-Limits auch direkt in deinem Workspace setzen, ohne SCIM. Siehe Verwalten von Enterprise-Workspace-Mitgliedern.
Workspace-Owner können nicht per SCIM aktualisiert oder deaktiviert werden. Befördere oder degradiere Owner stattdessen in deinen Workspace-Einstellungen.

FAQs

Wähle unten eine Frage, um mehr über Entra-SCIM-Provisionierung zu erfahren.
Ja. SCIM-Provisionierung nutzt eine dedizierte Enterprise application, während die Anmeldung eine separate App registration nutzt. Konfiguriere die Provisionierung auf der Enterprise application und richte die Anmeldung separat ein. Siehe SSO für Microsoft Entra ID.
Bestätige, dass deine Tenant URL mit ?aadOptscim062020 endet und dass der Secret Token dein Workspace-API-Key aus Settings > Secrets ist. Prüfe, dass die SCIM Base URL aus Settings > Auth and security kopiert wurde und nicht geändert ist.
Entra speichert Rollen als Array, sodass ein Direct-Mapping fehlschlägt. Setze den Mapping-Typ der Rolle auf Expression und verwende SingleAppRoleAssignment([appRoleAssignments]). Stelle sicher, dass der Value jeder App-Rolle exakt admin, editor oder viewer kleingeschrieben ist.
Füge es zuerst hinzu. Aktiviere im Mapping-Bildschirm Show advanced options, klicke auf Edit attribute list, füge die vollständige URN hinzu (z. B. urn:base44:params:scim:schemas:extension:user:2.0:role) und speichere. Danach wird das Feld im Dropdown verfügbar.
Stelle sicher, dass externalId auf objectId gemappt ist. Wenn Nutzer vor der Änderung dieses Mappings provisioniert wurden, verwende Provision on demand, um jeden Nutzer zu aktualisieren, oder Restart provisioning, um alle zu aktualisieren.
Diese Seite wurde mit KI übersetzt. Für die genauesten und aktuellsten Informationen siehe die englische Version.