> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# SCIM-Provisionierung für Okta einrichten

> Deine Okta-Nutzer automatisch mit deinem Base44-Enterprise-Workspace per SCIM synchronisieren.

Die SCIM-Provisionierung hält deine Base44-Enterprise-Workspace-Mitgliedschaft mit Okta synchron. Weil Okta-OIDC-Apps SCIM nicht unterstützen, erstellst du eine separate SCIM-App, verbindest sie mit Base44, mappst Attribute und aktivierst die Provisionierung, damit Mitglieder für dich hinzugefügt, aktualisiert und entfernt werden. Damit dein Team sich anmelden kann, richte [SSO für Okta](/Enterprise/Okta-SSO) separat ein.

<Warning>
  SCIM-Provisionierung ist nur in Enterprise-Workspaces verfügbar. Wenn du diese Option nicht siehst, wende dich an dein Base44-Account-Team.
</Warning>

***

## Bevor du beginnst

Stelle sicher, dass du hast:

* Owner- oder Admin-Zugriff auf deinen Base44-Enterprise-Workspace.
* Admin-Zugriff auf deine Okta-Organisation.
* Deine **SCIM Base URL**, zu finden unter **Settings** > **Auth and security**.
* Einen **Workspace-API-Key**, zu finden unter **Settings** > **Secrets**.

***

## SCIM-Provisionierung einrichten

Erstelle eine SCIM-App in Okta, verbinde sie mit Base44, mappe deine Rollen und Attribute und aktiviere die Provisionierung.

### Schritt 1: Eine SCIM-App erstellen

Okta-OIDC-Apps unterstützen SCIM nicht, also brauchst du eine separate SCIM-App.

**So erstellst du die SCIM-App:**

1. Gehe in der Okta-Admin-Konsole zu **Applications** > **Browse App Catalog**.
2. Suche nach **SCIM 2.0 Test App (Header Auth)**.
3. Klicke auf **Add Integration**.
4. Benenne die App (z. B. `Base44 - SCIM Provisioning`) und klicke auf **Done**.

<Frame caption="Finding the SCIM 2.0 Test App in the Okta App Catalog">
  <img src="https://mintcdn.com/base44/q-0rQebcDVt4yD7e/images/Finding-SCIM.avif?fit=max&auto=format&n=q-0rQebcDVt4yD7e&q=85&s=c5b6dda3e01bfa13782813d4fe9abf57" alt="Okta App Catalog showing the SCIM 2.0 Test App" width="3592" height="2294" data-path="images/Finding-SCIM.avif" />
</Frame>

### Schritt 2: Mit Base44 verbinden

Richte Okta mit deiner SCIM Base URL und dem Workspace-API-Key auf deinen Base44-Workspace aus.

**So konfigurierst du die API-Integration:**

1. Öffne deine neue SCIM-App und gehe zum Tab **Provisioning**.
2. Klicke auf **Configure API Integration** und aktiviere **Enable API integration**.
3. Setze **SCIM 2.0 Base URL** auf deine SCIM Base URL aus **Settings** > **Auth and security**.
4. Setze **API Token** auf deinen Workspace-API-Key, ohne `Bearer`-Präfix.
5. Klicke auf **Test API Credentials**. Du solltest eine Erfolgsbestätigung sehen.
6. Klicke auf **Save**.

<Frame caption="Entering your Base44 SCIM Base URL and API key in Okta">
  <img src="https://mintcdn.com/base44/uvqvolhCRiuXC-Fl/images/Entering-Base44-SCIM.png?fit=max&auto=format&n=uvqvolhCRiuXC-Fl&q=85&s=73db325f7ad270887dc3294622772e95" alt="Okta SCIM API integration settings with the Base44 Base URL and API token" width="2066" height="952" data-path="images/Entering-Base44-SCIM.png" />
</Frame>

### Schritt 3: Provisionierungs-Aktionen aktivieren

Wähle, welche Aktionen Okta an deinen Base44-Workspace-Mitgliedern ausführen darf.

**So aktivierst du die Provisionierung:**

1. Klicke im Tab **Provisioning** auf **To App** und dann auf **Edit**.
2. Aktiviere **Create Users**, **Update User Attributes** und **Deactivate Users**.
3. Klicke auf **Save**.

<Frame caption="Enabling Create, Update, and Deactivate in Okta">
  <img src="https://mintcdn.com/base44/hlI9x1XC8FbBhXd9/images/scim-okta-app-provisioning.png?fit=max&auto=format&n=hlI9x1XC8FbBhXd9&q=85&s=37b3191240919cbbce0f6a2adab6905e" alt="Okta provisioning To App settings with create, update, and deactivate enabled" width="1400" height="1290" data-path="images/scim-okta-app-provisioning.png" />
</Frame>

### Schritt 4: Benutzerdefinierte Attribute hinzufügen

Die Base44-Felder Rolle und Credit-Limit sind nicht im Standard-Okta-Profil. Füge sie zuerst hinzu. Im Profile Editor kannst du auch Attribute entfernen, die Base44 nicht nutzt, und `userName`, `givenName` und `familyName` behalten.

**So fügst du das Attribut `role` hinzu:**

1. Gehe zu **Directory** > **Profile Editor** und öffne deine SCIM-App.
2. Klicke auf **Add Attribute** und setze:
   * **Data type:** String
   * **Display name:** Role
   * **Variable name:** `role`
   * **External name:** `role`
   * **External namespace:** `urn:base44:params:scim:schemas:extension:user:2.0`
   * **Enum:** Aktiviere **Define enumerated list of values** und füge `admin`, `editor` und `viewer` hinzu.
   * **Attribute required:** No
3. Klicke auf **Save**.

**So fügst du das Attribut `creditLimit` hinzu (optional):**

Überspringe das, wenn du keine Credit-Limits pro Mitglied möchtest. Der Standard ist kein Limit.

1. Klicke im selben Profile Editor auf **Add Attribute** und setze:
   * **Data type:** Integer
   * **Display name:** Credit Limit
   * **Variable name:** `creditLimit`
   * **External name:** `creditLimit`
   * **External namespace:** `urn:base44:params:scim:schemas:extension:user:2.0`
   * **Attribute required:** No
2. Klicke auf **Save**.

<Frame caption="Adding the Base44 attributes in the Okta Profile Editor">
  <img src="https://mintcdn.com/base44/hlI9x1XC8FbBhXd9/images/scim-okta-profile-editor.png?fit=max&auto=format&n=hlI9x1XC8FbBhXd9&q=85&s=c1e47735ca5e6ac5d8e7a6de9dd4e4fe" alt="Okta Profile Editor showing the Base44 SCIM app custom attributes" width="1400" height="1094" data-path="images/scim-okta-profile-editor.png" />
</Frame>

### Schritt 5: Attribute mappen und Nutzer zuweisen

Mappe die Base44-Attribute und weise dann Nutzer zu, damit sie provisioniert werden.

**So mappst du die Attribute:**

1. Gehe zu deiner SCIM-App > **Provisioning** > **To App** > **Attribute Mappings**.
2. Setze:
   * `userName` auf `user.email`
   * `role` auf `"editor"` oder mappe es aus dem Rollen-Attribut deines IdP
   * `creditLimit` auf deinen bevorzugten Wert oder IdP-Attribut, falls hinzugefügt
3. Entferne nicht unterstützte Mappings wie `firstName`, `lastName` und `displayName`.
4. Klicke auf **Save**.

**So weist du einen Nutzer zu und testest:**

1. Gehe zum Tab **Assignments**, klicke auf **Assign** und dann auf **Assign to People**.
2. Wähle einen Nutzer aus, setze seine `role` und optional `creditLimit`, klicke auf **Save and Go Back** und **Done**.
3. Prüfe deine Base44-Workspace-Mitglieder, um zu bestätigen, dass der Nutzer erscheint.

<Frame caption="A user assigned to both the SSO and SCIM apps in Okta">
  <img src="https://mintcdn.com/base44/P9saERX5zek6x00T/images/assign.png?fit=max&auto=format&n=P9saERX5zek6x00T&q=85&s=ed3abc4e3219a412ad0a3a632c0a010c" alt="Okta showing a user assigned to both the Base44 SSO and SCIM apps" width="2130" height="1208" data-path="images/assign.png" />
</Frame>

**So testest du die Deaktivierung:**

1. Klicke im Tab **Assignments** neben dem Nutzer auf **Unassign** und bestätige.
2. Prüfe, dass der Nutzer kein aktives Mitglied mehr in Base44 ist und sein Seat freigegeben wird.

<Note>
  Weise jeden Nutzer sowohl deiner Okta-SSO-App als auch deiner SCIM-App zu. Nur die Zuweisung zur SCIM-App provisioniert den Nutzer, lässt ihn aber nicht anmelden.
</Note>

***

## Rollen und Credit-Limits

Base44 akzeptiert per SCIM nur die folgenden Rollen. Mappe dein Okta-`role`-Attribut auf genau diese Werte.

| Rolle    | Was sie tun können                                                         |
| -------- | -------------------------------------------------------------------------- |
| `admin`  | Mitglieder, Abrechnung und Workspace-Einstellungen verwalten               |
| `editor` | Apps bauen, bearbeiten und ausführen; nutzt Credits aus dem Workspace-Pool |
| `viewer` | Nur-Lese-Zugriff auf Apps; verbraucht keine Credits                        |

`owner`, `member` und `guest` können nicht per SCIM zugewiesen werden. Credit-Limits gelten nur für `admin`- und `editor`-Rollen, da Viewer keine Credits verbrauchen. Ein Credit-Limit von `0` bedeutet kein Limit. Du kannst Credit-Limits auch direkt in deinem Workspace setzen, ohne SCIM. Siehe [Verwalten von Enterprise-Workspace-Mitgliedern](/Enterprise/managing-enterprise-members#per-member-credit-limits).

<Note>
  Workspace-Owner können nicht per SCIM aktualisiert oder deaktiviert werden. Befördere oder degradiere Owner stattdessen in deinen Workspace-Einstellungen.
</Note>

***

## FAQs

Wähle unten eine Frage, um mehr über Okta-SCIM-Provisionierung zu erfahren.

<AccordionGroup>
  <Accordion title="Der API-Anmeldedaten-Test schlug fehl">
    Prüfe, dass dein API-Token dein Workspace-API-Key ohne `Bearer`-Präfix ist und dass die SCIM Base URL aus **Settings** > **Auth and security** mit der richtigen Workspace-ID kopiert wurde.
  </Accordion>

  <Accordion title="Die Option Deactivate Users fehlt">
    Okta-OIDC-Apps unterstützen SCIM nicht. Verwende stattdessen die **SCIM 2.0 Test App (Header Auth)** aus dem App-Katalog.
  </Accordion>

  <Accordion title="Ein Nutzer wird nicht provisioniert">
    Prüfe deine Okta-Provisionierungs-Logs auf Fehler und bestätige, dass `role` einer von `admin`, `editor` oder `viewer` ist. `owner`, `member` und `guest` werden abgelehnt.
  </Accordion>

  <Accordion title="Warum muss ich Nutzer beiden Apps zuweisen?">
    Die SCIM-App provisioniert das Mitglied und die SSO-App lässt es anmelden. Nur eine Zuweisung bedeutet, es kann sich entweder nicht anmelden oder ist nicht provisioniert.
  </Accordion>
</AccordionGroup>

<Note>Diese Seite wurde mit KI übersetzt. Für die genauesten und aktuellsten Informationen siehe die [englische Version](/). </Note>
