Bevor du beginnst
Stelle sicher, dass du hast:- Owner- oder Admin-Zugriff auf deinen Base44-Enterprise-Workspace.
- Admin-Zugriff auf das Microsoft Entra Admin Center.
- Deine SCIM Base URL, zu finden unter Settings > Auth and security.
- Einen Workspace-API-Key, zu finden unter Settings > Secrets.

SCIM-Provisionierung einrichten
Erstelle eine dedizierte Entra-Enterprise-Anwendung, verbinde sie mit Base44, mappe deine Rollen und Attribute und aktiviere die automatische Synchronisation.Schritt 1: Die SCIM-App erstellen
Erstelle eine separate, nicht aus dem Gallery-Katalog stammende Enterprise-Anwendung für die Provisionierung. So erstellst du die SCIM-App:- Gehe im Microsoft Entra Admin Center zu Identity > Applications > Enterprise applications.
- Klicke auf New application und dann auf Create your own application.
- Gib einen Namen ein (z. B.
Base44 SCIM Provisioning) und wähle Integrate any other application you don’t find in the gallery. - Klicke auf Create.
Schritt 2: Mit Base44 verbinden
Richte Entra mit deiner SCIM Base URL und einem Workspace-API-Key auf deinen Base44-Workspace aus. Wenn du noch keinen API-Key hast, erstelle zuerst einen. So erstellst du einen Workspace-API-Key:- Klicke in den Settings deines Workspaces auf Secrets.
- Klicke auf Create API Key.
- Gib einen Namen ein (z. B.
Entra SCIM), füge optional eine Beschreibung hinzu und klicke auf Create Key.


- Öffne die App und gehe zu Provisioning, dann klicke auf Get started.
- Setze Provisioning Mode auf Automatic.
- Setze unter Admin Credentials:
- Tenant URL: Deine SCIM Base URL mit
?aadOptscim062020am Ende. Das Ergebnis sieht aus wiehttps://app.base44.com/scim/v2/organizations/{{WORKSPACE_ID}}?aadOptscim062020. - Secret Token: Dein Workspace-API-Key.
- Tenant URL: Deine SCIM Base URL mit
- Klicke auf Test Connection, um eine erfolgreiche Verbindung zu bestätigen.
- Klicke auf Save.

Schritt 3: externalId mappen
Standardmäßig matcht Entra Nutzer über einen Wert, der sich ändern kann. Wenn duexternalId auf objectId mappst, einen stabilen eindeutigen Identifikator, kann Base44 jeden Nutzer zuverlässig für Updates und Deaktivierung matchen.
So aktualisierst du das Mapping:
- Klicke unter Mappings auf Provision Microsoft Entra ID Users.
- Finde in der Mapping-Tabelle die Zeile, in der das Target attribute genau
externalIdist. - Klicke auf diese Zeile und ändere das Source attribute auf
objectId. - Klicke auf Ok und dann auf Save.

externalId, das auf objectId gemappt ist.

Schritt 4: Benutzerdefinierte Attribute hinzufügen
Die Base44-Felder Rolle und Credit-Limit sind nicht in Entras standardmäßiger Ziel-Liste. Füge sie hinzu, bevor du sie mappen kannst. So fügst du die Attribute hinzu:- Scrolle auf dem Mapping-Bildschirm Provision Microsoft Entra ID Users nach unten und aktiviere Show advanced options.
- Klicke auf Edit attribute list for deine App.
- Füge unten in der Liste hinzu:
- Rolle:
urn:base44:params:scim:schemas:extension:user:2.0:role, Type aufString. - Credit-Limit (optional):
urn:base44:params:scim:schemas:extension:user:2.0:creditLimit, Type aufInteger.
- Rolle:
- Klicke auf Save und bestätige die Änderung.

Schritt 5: App-Rollen erstellen
Du erstellst Rollen unter App registrations, nicht unter Enterprise applications. In den Enterprise applications weist du sie nur zu. So erstellst du App-Rollen:- Gehe im Microsoft Entra Admin Center zu App registrations und öffne den Tab All applications.
- Wähle deine SCIM-App aus.
- Klicke auf App roles und dann auf Create app role.
- Erstelle für jede Base44-Berechtigungsstufe eine separate Rolle:
admin,editorundviewer. - Gib im Feld Value exakt den kleingeschriebenen String ein, den Base44 erwartet (
admin,editoroderviewer). - Klicke auf Apply.


Schritt 6: Rolle und Credit-Limit mappen
Entra speichert Rollen als Array, aber Base44 erwartet einen einzelnen Textwert. Die Rolle muss also mit einem Ausdruck gemappt werden, nicht direkt. So mappst du die Rolle:- Gehe zu Enterprise applications > deine SCIM-App > Provisioning > Edit attribute mapping > Provision Microsoft Entra ID Users.
- Klicke auf Add New Mapping oder bearbeite die vorhandene Rolle-Zeile.
- Setze Mapping type auf Expression.
- Gib im Feld Expression ein:
SingleAppRoleAssignment([appRoleAssignments]) - Setze Target attribute auf
urn:base44:params:scim:schemas:extension:user:2.0:role. - Setze Match objects using this attribute auf No und Apply this mapping auf Always.
- Klicke auf Ok.

- Gib den Credit-Limit-Wert im Entra-Profil des Nutzers unter einem eingebauten Extension-Feld ein, z. B.
extensionAttribute1. - Klicke auf Add New Mapping und setze Mapping type auf Direct.
- Setze Source attribute auf
extensionAttribute1. - Setze Target attribute auf
urn:base44:params:scim:schemas:extension:user:2.0:creditLimit. - Klicke auf Ok und dann auf Save.
Schritt 7: Zuweisen und provisionieren
Wähle, wen du provisionierst, gib ihnen eine Rolle und starte die Synchronisation. So weist du Nutzer zu:- Gehe zu Enterprise applications > deine SCIM-App > Users and groups.
- Klicke auf Add user/group und wähle die Nutzer oder Gruppen zum Provisionieren.
- Wähle unter Select a role die von dir erstellte Rolle (
admin,editoroderviewer) und klicke auf Assign.
- Gehe zu Provisioning.
- Setze Provisioning Status auf On.
Wenn der Edit-Button für einen Nutzer ausgegraut ist, aktiviere das Kontrollkästchen neben dem Nutzer, klicke auf Remove und füge ihn dann mit der richtigen Rolle erneut hinzu.
Schritt 8: Bestehende Nutzer aktualisieren
Wenn du dasexternalId-Mapping geändert hast, nachdem einige Nutzer bereits provisioniert waren, aktualisiere ihre Datensätze, damit sie die korrekte objectId übernehmen.
So aktualisierst du bestehende Nutzer:
- Gehe zu Provisioning > Provision on demand.
- Suche den Nutzer und führe die Provisionierung aus, um seinen Datensatz zu patchen.
- Um das auf alle anzuwenden, gehe zurück zur Haupt-Provisionierungs-Seite und klicke auf Restart provisioning.
Rollen und Credit-Limits
Base44 akzeptiert per SCIM nur die folgenden Rollen. Mappe deine Entra-App-Rollen auf genau diese Werte.| Rolle | Was sie tun können |
|---|---|
admin | Mitglieder, Abrechnung und Workspace-Einstellungen verwalten |
editor | Apps bauen, bearbeiten und ausführen; nutzt Credits aus dem Workspace-Pool |
viewer | Nur-Lese-Zugriff auf Apps; verbraucht keine Credits |
admin- und editor-Rollen, da Viewer keine Credits verbrauchen. Ein Credit-Limit von 0 bedeutet kein Limit. Du kannst Credit-Limits auch direkt in deinem Workspace setzen, ohne SCIM. Siehe Verwalten von Enterprise-Workspace-Mitgliedern.
Workspace-Owner können nicht per SCIM aktualisiert oder deaktiviert werden. Befördere oder degradiere Owner stattdessen in deinen Workspace-Einstellungen.
FAQs
Wähle unten eine Frage, um mehr über Entra-SCIM-Provisionierung zu erfahren.Brauche ich separate Entra-Apps für SSO und SCIM?
Brauche ich separate Entra-Apps für SSO und SCIM?
Ja. SCIM-Provisionierung nutzt eine dedizierte Enterprise application, während die Anmeldung eine separate App registration nutzt. Konfiguriere die Provisionierung auf der Enterprise application und richte die Anmeldung separat ein. Siehe SSO für Microsoft Entra ID.
Warum schlägt der SCIM-Verbindungstest fehl?
Warum schlägt der SCIM-Verbindungstest fehl?
Bestätige, dass deine Tenant URL mit
?aadOptscim062020 endet und dass der Secret Token dein Workspace-API-Key aus Settings > Secrets ist. Prüfe, dass die SCIM Base URL aus Settings > Auth and security kopiert wurde und nicht geändert ist.Warum wird die Rolle nicht synchronisiert oder die Provisionierung schlägt am Rollenfeld fehl?
Warum wird die Rolle nicht synchronisiert oder die Provisionierung schlägt am Rollenfeld fehl?
Entra speichert Rollen als Array, sodass ein Direct-Mapping fehlschlägt. Setze den Mapping-Typ der Rolle auf Expression und verwende
SingleAppRoleAssignment([appRoleAssignments]). Stelle sicher, dass der Value jeder App-Rolle exakt admin, editor oder viewer kleingeschrieben ist.Warum ist mein benutzerdefiniertes Base44-Attribut nicht im Target-attribute-Dropdown?
Warum ist mein benutzerdefiniertes Base44-Attribut nicht im Target-attribute-Dropdown?
Füge es zuerst hinzu. Aktiviere im Mapping-Bildschirm Show advanced options, klicke auf Edit attribute list, füge die vollständige URN hinzu (z. B.
urn:base44:params:scim:schemas:extension:user:2.0:role) und speichere. Danach wird das Feld im Dropdown verfügbar.Warum werden Nutzer nach der Neu-Provisionierung dem falschen Datensatz zugeordnet?
Warum werden Nutzer nach der Neu-Provisionierung dem falschen Datensatz zugeordnet?
Stelle sicher, dass
externalId auf objectId gemappt ist. Wenn Nutzer vor der Änderung dieses Mappings provisioniert wurden, verwende Provision on demand, um jeden Nutzer zu aktualisieren, oder Restart provisioning, um alle zu aktualisieren.Diese Seite wurde mit KI übersetzt. Für die genauesten und aktuellsten Informationen siehe die englische Version.

