> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# SCIM-Provisionierung für Microsoft Entra ID einrichten

> Deine Microsoft-Entra-ID-Nutzer automatisch mit deinem Base44-Enterprise-Workspace per SCIM synchronisieren.

Die SCIM-Provisionierung hält deine Base44-Enterprise-Workspace-Mitgliedschaft mit Microsoft Entra ID (früher Azure AD) synchron. Du erstellst eine separate Enterprise-Anwendung, verbindest sie mit Base44, mappst Rollen und aktivierst die automatische Synchronisation, damit Mitglieder für dich hinzugefügt, aktualisiert und entfernt werden. Damit dein Team sich anmelden kann, richte [SSO für Microsoft Entra ID](/Enterprise/Microsoft-Entra-SSO) separat ein.

<Warning>
  SCIM-Provisionierung ist nur in Enterprise-Workspaces verfügbar. Wenn du diese Option nicht siehst, wende dich an dein Base44-Account-Team.
</Warning>

***

## Bevor du beginnst

Stelle sicher, dass du hast:

* Owner- oder Admin-Zugriff auf deinen Base44-Enterprise-Workspace.
* Admin-Zugriff auf das [Microsoft Entra Admin Center](https://entra.microsoft.com).
* Deine **SCIM Base URL**, zu finden unter **Settings** > **Auth and security**.
* Einen **Workspace-API-Key**, zu finden unter **Settings** > **Secrets**.

<Frame caption="The SCIM Base URL lives in Settings > Auth and security">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-entra.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=4a75713038920e61bb9d6f667153ba6a" alt="Base44 Auth and security settings, with the SCIM Provisioning Base URL highlighted" width="1264" height="968" data-path="images/SCIM-entra.png" />
</Frame>

***

## SCIM-Provisionierung einrichten

Erstelle eine dedizierte Entra-Enterprise-Anwendung, verbinde sie mit Base44, mappe deine Rollen und Attribute und aktiviere die automatische Synchronisation.

### Schritt 1: Die SCIM-App erstellen

Erstelle eine separate, nicht aus dem Gallery-Katalog stammende Enterprise-Anwendung für die Provisionierung.

**So erstellst du die SCIM-App:**

1. Gehe im Microsoft Entra Admin Center zu **Identity** > **Applications** > **Enterprise applications**.
2. Klicke auf **New application** und dann auf **Create your own application**.
3. Gib einen Namen ein (z. B. `Base44 SCIM Provisioning`) und wähle **Integrate any other application you don't find in the gallery**.
4. Klicke auf **Create**.

### Schritt 2: Mit Base44 verbinden

Richte Entra mit deiner SCIM Base URL und einem Workspace-API-Key auf deinen Base44-Workspace aus. Wenn du noch keinen API-Key hast, erstelle zuerst einen.

**So erstellst du einen Workspace-API-Key:**

1. Klicke in den **Settings** deines Workspaces auf **Secrets**.
2. Klicke auf **Create API Key**.
3. Gib einen Namen ein (z. B. `Entra SCIM`), füge optional eine Beschreibung hinzu und klicke auf **Create Key**.

<Frame caption="Naming the new API key in Settings > Secrets">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-API-Key.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=a0b4d6721d54fa6162e9edc7575b468c" alt="Base44 Create API Key dialog with a name entered" width="1813" height="948" data-path="images/SCIM-API-Key.png" />
</Frame>

Base44 zeigt den vollständigen Key nur einmal an. Kopiere ihn, bevor du den Dialog schließt, und bewahre ihn sicher auf, da du ihn unten als **Secret Token** verwendest.

<Frame caption="Copy the key while it is shown. You cannot view it again after closing the dialog.">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-new-api-key.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=1dbb003d20da92d195b3d9069b1b34b5" alt="Base44 API Key Created dialog showing the generated key" width="1777" height="937" data-path="images/SCIM-new-api-key.png" />
</Frame>

**So konfigurierst du die Provisionierung:**

1. Öffne die App und gehe zu **Provisioning**, dann klicke auf **Get started**.
2. Setze **Provisioning Mode** auf **Automatic**.
3. Setze unter **Admin Credentials**:
   * **Tenant URL:** Deine SCIM Base URL mit `?aadOptscim062020` am Ende. Das Ergebnis sieht aus wie `https://app.base44.com/scim/v2/organizations/{{WORKSPACE_ID}}?aadOptscim062020`.
   * **Secret Token:** Dein Workspace-API-Key.
4. Klicke auf **Test Connection**, um eine erfolgreiche Verbindung zu bestätigen.
5. Klicke auf **Save**.

<Tip>
  Bevor du fortfährst, führe **Test Connection** aus und bestätige den Erfolg. Ein fehlgeschlagener Test bedeutet meist, dass Tenant URL oder Secret Token falsch sind.
</Tip>

<Frame caption="Setting the Tenant URL and Secret Token on the Entra Provisioning screen">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Entra-provisioning.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=2bde8648cd62a7f3ddc66ccb62d779d7" alt="Entra Provisioning admin credentials showing Provisioning Mode, Tenant URL, and Secret Token" width="1644" height="1059" data-path="images/Entra-provisioning.png" />
</Frame>

<Warning>
  Entra erfordert das Suffix `?aadOptscim062020` an der Tenant URL. Ohne es kann der Verbindungstest oder die Provisionierung fehlschlagen. Dieses Suffix ist spezifisch für Entra. Verwende es also nicht bei anderen Identitätsanbietern.
</Warning>

### Schritt 3: externalId mappen

Standardmäßig matcht Entra Nutzer über einen Wert, der sich ändern kann. Wenn du `externalId` auf `objectId` mappst, einen stabilen eindeutigen Identifikator, kann Base44 jeden Nutzer zuverlässig für Updates und Deaktivierung matchen.

**So aktualisierst du das Mapping:**

1. Klicke unter **Mappings** auf **Provision Microsoft Entra ID Users**.
2. Finde in der Mapping-Tabelle die Zeile, in der das **Target attribute** genau `externalId` ist.
3. Klicke auf diese Zeile und ändere das **Source attribute** auf `objectId`.
4. Klicke auf **Ok** und dann auf **Save**.

<Frame caption="Selecting objectId as the source attribute for externalId">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Entra-edit-attribute.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=c8406da7373aef1680268d0d5227703c" alt="Entra Edit Attribute panel with the source attribute set to objectId" width="1306" height="1073" data-path="images/Entra-edit-attribute.png" />
</Frame>

Nach dem Speichern erscheint das aktualisierte Mapping in der Attributstabelle mit `externalId`, das auf `objectId` gemappt ist.

<Frame caption="externalId mapped to objectId on the Provision Microsoft Entra ID Users screen">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Configuring-the-SCIM-Connection.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=62cf0e7255b82d516c93cb0ae6506b2c" alt="Entra attribute mappings table with externalId mapped to objectId" width="1623" height="824" data-path="images/Configuring-the-SCIM-Connection.png" />
</Frame>

### Schritt 4: Benutzerdefinierte Attribute hinzufügen

Die Base44-Felder Rolle und Credit-Limit sind nicht in Entras standardmäßiger Ziel-Liste. Füge sie hinzu, bevor du sie mappen kannst.

**So fügst du die Attribute hinzu:**

1. Scrolle auf dem Mapping-Bildschirm **Provision Microsoft Entra ID Users** nach unten und aktiviere **Show advanced options**.
2. Klicke auf **Edit attribute list for** deine App.
3. Füge unten in der Liste hinzu:
   * **Rolle:** `urn:base44:params:scim:schemas:extension:user:2.0:role`, **Type** auf `String`.
   * **Credit-Limit (optional):** `urn:base44:params:scim:schemas:extension:user:2.0:creditLimit`, **Type** auf `Integer`.
4. Klicke auf **Save** und bestätige die Änderung.

<Frame caption="Adding the Base44 role attribute in the Edit attribute list">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-edit-list.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=0f39296fe43cb64489a0163d2408dc03" alt="Entra Edit attribute list with the Base44 role URN added as a String" width="1639" height="957" data-path="images/SCIM-edit-list.png" />
</Frame>

### Schritt 5: App-Rollen erstellen

Du erstellst Rollen unter **App registrations**, nicht unter **Enterprise applications**. In den Enterprise applications weist du sie nur zu.

**So erstellst du App-Rollen:**

1. Gehe im Microsoft Entra Admin Center zu **App registrations** und öffne den Tab **All applications**.
2. Wähle deine SCIM-App aus.
3. Klicke auf **App roles** und dann auf **Create app role**.
4. Erstelle für jede Base44-Berechtigungsstufe eine separate Rolle: `admin`, `editor` und `viewer`.
5. Gib im Feld **Value** exakt den kleingeschriebenen String ein, den Base44 erwartet (`admin`, `editor` oder `viewer`).
6. Klicke auf **Apply**.

<Frame caption="Creating an app role for a Base44 permission level">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/create-app-role.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=de9d39f98226c84df4992bdc72fa5d16" alt="Entra Create app role panel" width="574" height="621" data-path="images/create-app-role.png" />
</Frame>

Erstelle eine Rolle pro Berechtigungsstufe. Nach der Erstellung erscheinen alle 3 in der Liste **App roles** der App.

<Frame caption="The admin, editor, and viewer app roles in Entra">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-app-roles.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=e7c00dfa3ed50db30d624028876fbf66" alt="Entra App roles list showing the admin, editor, and viewer roles" width="1291" height="706" data-path="images/SCIM-app-roles.png" />
</Frame>

### Schritt 6: Rolle und Credit-Limit mappen

Entra speichert Rollen als Array, aber Base44 erwartet einen einzelnen Textwert. Die Rolle muss also mit einem Ausdruck gemappt werden, nicht direkt.

**So mappst du die Rolle:**

1. Gehe zu **Enterprise applications** > deine SCIM-App > **Provisioning** > **Edit attribute mapping** > **Provision Microsoft Entra ID Users**.
2. Klicke auf **Add New Mapping** oder bearbeite die vorhandene Rolle-Zeile.
3. Setze **Mapping type** auf **Expression**.
4. Gib im Feld **Expression** ein: `SingleAppRoleAssignment([appRoleAssignments])`
5. Setze **Target attribute** auf `urn:base44:params:scim:schemas:extension:user:2.0:role`.
6. Setze **Match objects using this attribute** auf **No** und **Apply this mapping** auf **Always**.
7. Klicke auf **Ok**.

<Frame caption="Mapping the role with the SingleAppRoleAssignment expression">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-mapping-role-field.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=bea562304a4babea4a11992f1bf1cb85" alt="Entra expression mapping for the role field using SingleAppRoleAssignment" width="792" height="741" data-path="images/SCIM-mapping-role-field.png" />
</Frame>

Ein Credit-Limit zu setzen ist optional. Ohne Limit bezieht das Mitglied aus dem gemeinsamen Workspace-Credit-Pool ohne individuelles Limit. Füge nur dann ein Credit-Limit hinzu, wenn du begrenzen willst, wie viele Credits ein bestimmtes Mitglied pro Monat nutzen kann.

**So mappst du ein Credit-Limit (optional):**

1. Gib den Credit-Limit-Wert im Entra-Profil des Nutzers unter einem eingebauten Extension-Feld ein, z. B. `extensionAttribute1`.
2. Klicke auf **Add New Mapping** und setze **Mapping type** auf **Direct**.
3. Setze **Source attribute** auf `extensionAttribute1`.
4. Setze **Target attribute** auf `urn:base44:params:scim:schemas:extension:user:2.0:creditLimit`.
5. Klicke auf **Ok** und dann auf **Save**.

### Schritt 7: Zuweisen und provisionieren

Wähle, wen du provisionierst, gib ihnen eine Rolle und starte die Synchronisation.

**So weist du Nutzer zu:**

1. Gehe zu **Enterprise applications** > deine SCIM-App > **Users and groups**.
2. Klicke auf **Add user/group** und wähle die Nutzer oder Gruppen zum Provisionieren.
3. Wähle unter **Select a role** die von dir erstellte Rolle (`admin`, `editor` oder `viewer`) und klicke auf **Assign**.

**So aktivierst du die Provisionierung:**

1. Gehe zu **Provisioning**.
2. Setze **Provisioning Status** auf **On**.

Entra beginnt, die zugewiesenen Nutzer mit deinem Base44-Workspace zu synchronisieren.

<Note>
  Wenn der **Edit**-Button für einen Nutzer ausgegraut ist, aktiviere das Kontrollkästchen neben dem Nutzer, klicke auf **Remove** und füge ihn dann mit der richtigen Rolle erneut hinzu.
</Note>

### Schritt 8: Bestehende Nutzer aktualisieren

Wenn du das `externalId`-Mapping geändert hast, nachdem einige Nutzer bereits provisioniert waren, aktualisiere ihre Datensätze, damit sie die korrekte `objectId` übernehmen.

**So aktualisierst du bestehende Nutzer:**

1. Gehe zu **Provisioning** > **Provision on demand**.
2. Suche den Nutzer und führe die Provisionierung aus, um seinen Datensatz zu patchen.
3. Um das auf alle anzuwenden, gehe zurück zur Haupt-Provisionierungs-Seite und klicke auf **Restart provisioning**.

***

## Rollen und Credit-Limits

Base44 akzeptiert per SCIM nur die folgenden Rollen. Mappe deine Entra-App-Rollen auf genau diese Werte.

| Rolle    | Was sie tun können                                                         |
| -------- | -------------------------------------------------------------------------- |
| `admin`  | Mitglieder, Abrechnung und Workspace-Einstellungen verwalten               |
| `editor` | Apps bauen, bearbeiten und ausführen; nutzt Credits aus dem Workspace-Pool |
| `viewer` | Nur-Lese-Zugriff auf Apps; verbraucht keine Credits                        |

Credit-Limits gelten nur für `admin`- und `editor`-Rollen, da Viewer keine Credits verbrauchen. Ein Credit-Limit von `0` bedeutet kein Limit. Du kannst Credit-Limits auch direkt in deinem Workspace setzen, ohne SCIM. Siehe [Verwalten von Enterprise-Workspace-Mitgliedern](/Enterprise/managing-enterprise-members#per-member-credit-limits).

<Note>
  Workspace-Owner können nicht per SCIM aktualisiert oder deaktiviert werden. Befördere oder degradiere Owner stattdessen in deinen Workspace-Einstellungen.
</Note>

***

## FAQs

Wähle unten eine Frage, um mehr über Entra-SCIM-Provisionierung zu erfahren.

<AccordionGroup>
  <Accordion title="Brauche ich separate Entra-Apps für SSO und SCIM?">
    Ja. SCIM-Provisionierung nutzt eine dedizierte **Enterprise application**, während die Anmeldung eine separate **App registration** nutzt. Konfiguriere die Provisionierung auf der Enterprise application und richte die Anmeldung separat ein. Siehe [SSO für Microsoft Entra ID](/Enterprise/Microsoft-Entra-SSO).
  </Accordion>

  <Accordion title="Warum schlägt der SCIM-Verbindungstest fehl?">
    Bestätige, dass deine Tenant URL mit `?aadOptscim062020` endet und dass der Secret Token dein Workspace-API-Key aus **Settings** > **Secrets** ist. Prüfe, dass die SCIM Base URL aus **Settings** > **Auth and security** kopiert wurde und nicht geändert ist.
  </Accordion>

  <Accordion title="Warum wird die Rolle nicht synchronisiert oder die Provisionierung schlägt am Rollenfeld fehl?">
    Entra speichert Rollen als Array, sodass ein **Direct**-Mapping fehlschlägt. Setze den Mapping-Typ der Rolle auf **Expression** und verwende `SingleAppRoleAssignment([appRoleAssignments])`. Stelle sicher, dass der **Value** jeder App-Rolle exakt `admin`, `editor` oder `viewer` kleingeschrieben ist.
  </Accordion>

  <Accordion title="Warum ist mein benutzerdefiniertes Base44-Attribut nicht im Target-attribute-Dropdown?">
    Füge es zuerst hinzu. Aktiviere im Mapping-Bildschirm **Show advanced options**, klicke auf **Edit attribute list**, füge die vollständige URN hinzu (z. B. `urn:base44:params:scim:schemas:extension:user:2.0:role`) und speichere. Danach wird das Feld im Dropdown verfügbar.
  </Accordion>

  <Accordion title="Warum werden Nutzer nach der Neu-Provisionierung dem falschen Datensatz zugeordnet?">
    Stelle sicher, dass `externalId` auf `objectId` gemappt ist. Wenn Nutzer vor der Änderung dieses Mappings provisioniert wurden, verwende **Provision on demand**, um jeden Nutzer zu aktualisieren, oder **Restart provisioning**, um alle zu aktualisieren.
  </Accordion>
</AccordionGroup>

<Note>Diese Seite wurde mit KI übersetzt. Für die genauesten und aktuellsten Informationen siehe die [englische Version](/). </Note>
