MicrocosmWorksInnovoimassa ja Arkkitehtuuria Digitaalisessa Kosmoksessa
TietoaYhteystiedot
MicrocosmWorksInnovoimassa ja suunnittelemassa digitaalista kosmosta

Toimitamme IT-ratkaisuja, joilla on merkitystä. Olemme intohimoisia teknologiasta, turvallisuudesta ja autamme yrityksiä kasvamaan luotettavan, innovatiivisen IT-infrastruktuurin kautta.

[email protected]
+91 7011868196
New Delhi, India

AI Kasvuhubi

AI HubStartup-innovaatiotYrityskiihdyttämö

Ratkaisut

Kaikki ratkaisutHyvinvointi- ja kuntoilusovelluksetAI-videoplatformiAI-agenttikehitys

Resurssit

OivalluksetToimialan oppaatKäyttötapausmallitArkkitehtuurimallitTapaustutkimukset

Yritys

Tietoa meistäYhteystiedotTyömme

Palvelut

Digitaalinen konsultointiPilvi-infrastruktuuriSaaS-kehitysAI-kehitysVideoteknologia
ERP-kehitysZoho-mukautusOdoo-kehitysSalesforce-integraatioMukautettu CRM-kehitys
QuickBooks-integraatioIoT-ratkaisutLohkoketjukehitys
KyberturvallisuuskonsultointiIT-tuki - L3

© 2026 MicrocosmWorks. Kaikki oikeudet pidätetään.

TietosuojakäytäntöKäyttöehdot
Takaisin Tapaustutkimuksiin
Enterprise AuthJulkaistu June 22, 2026 · Päivitetty June 22, 2026

Okta SSO- ja SCIM-integraatio yritysten terveys- ja hyvinvointialustalle

Yritysten terveys- ja hyvinvointi-SaaS-alusta tarvitsi tukea suurille organisaatioasiakkaille, jotka vaativat Single Sign-On (SSO) -kirjautumista työntekijöiden saumattomaan käyttöön ja automaattista käyttäjien provisionointia/deprovisionointia SCIMin kautta – ehdoton vaatimus yritysmyynnissä.

Keskustele Projektistasi
okta-sso-scim-integration.webp
Enterprise Auth
Domain
11
Technologies
6
Key Results
Delivered
Status

Haaste

Yritysasiakkaat kieltäytyivät ottamasta alustaa käyttöön ilman identiteetin federaatiota ja automaattista elinkaarihallintaa:

  • SSO-vaatimus — IT-osastot vaativat, että työntekijät kirjautuvat sisään yrityksen identity providerin kautta, eivät erillisillä tunnuksilla
  • Manuaalinen käyttöönoton lisätyö — Sadojen työntekijöiden manuaalinen lisääminen uuden organisaation liittyessä vei päiviä järjestelmänvalvojan työtä
  • Poistumisen riski — Kun työntekijät poistuivat organisaatiosta, heidän alustatunnuksensa pysyivät aktiivisina viikkoja, mikä aiheutti vaatimustenmukaisuus- ja tietojen käyttöön liittyviä huolenaiheita
  • Ryhmäkohtainen pääsy — Eri työntekijäryhmät tarvitsivat erilaisia ominaisuustasoja ja ohjelmapääsyä
  • Moniasiakkuuskompleksisuus — Jokaisella yritysasiakkaalla oli oma identity provider -tenanttinsa eri konfiguraatioilla, attribuuttikartoituksilla ja ryhmärakenteilla
  • Olemassa olevan todennuksen rinnakkaiselo — Alustalla oli jo sähköposti/salasana- ja OAuth-pohjainen todennus; SSO:n täytyi olla rinnakkain rikkomatta olemassa olevia työnkulkuja

Meidän Ratkaisumme

Toteutimme Okta SSO:n SAML 2.0/OIDC:n kautta todennukseen ja SCIM 2.0:n automaattiseen käyttäjien provisionointiin, deprovisionointiin ja ryhmäsynkronointiin – integroituna olemassa olevaan moniasiakas-backendiin.

Arkkitehtuuri

  • Identity Provider: Okta (asiakkaan hallinnoimat tenantit)
  • SSO-protokolla: SAML 2.0 (ensisijainen) + OIDC (vaihtoehtoinen)
  • Provisionointi: SCIM 2.0 -palvelin, joka on rakennettu alustan backendiin
  • Backend: NestJS PostgreSQL:llä ja Redisillä
  • Todennuskerros: JWT-pohjaiset istunnot SSO-tietoisella tokenin myöntämisellä
  • Järjestelmänvalvojan hallintapaneeli: React-pohjainen tenant-konfiguraatio SSO-asetuksia varten
  • Olemassa oleva todennus: Sähköposti/salasana + Google OAuth säilytetty SSO:n rinnalla

---

SSO-toteutus (SAML 2.0 / OIDC)

SAML 2.0 -työnkulku

SP-aloitettu SAML-työnkulku toimii seuraavasti: käyttäjä vierailee kirjautumissivulla ja valitsee SSO:n, syöttää yrityksensä sähköpostidomainin, alusta tunnistaa tenantin Okta-konfiguraation domainista, lähettää AuthnRequest-pyynnön Oktaan, käyttäjä tunnistautuu, Okta palauttaa allekirjoitetun SAML assertionin, alusta validoi assertionin ja luo istunnon JWT-tokeneilla.

Tenanttikohtainen konfiguraatio

Kunkin tenantin SSO on konfiguroitu heidän identity providerinsä SSO URL:llä, entity ID:llä, X.509-sertifikaatilla allekirjoituksen validointiin, sekä alustan SP entity ID:llä, assertion consumer service URL:llä ja attribuuttikartoituksilla identity providerin profiilikentistä alustan käyttäjäkenttiin.

OIDC-vaihtoehto

Asiakkaiden, jotka suosivat OIDC:tä SAMLin sijaan, alusta tukee Authorization Code -työnkulkua PKCE:n kanssa, käyttäen samaa attribuuttikartoitusta OIDC claimien kautta ja ID token -validointia JWKS:n kanssa.

Moniasiakas-SSO-reititys

Alusta reitittää käyttäjät oikealle identity providerille heidän sähköpostidomaininsa perusteella. Kun käyttäjä syöttää sähköpostinsa, alusta tarkistaa domainin tenantin SSO-konfiguraatioita vastaan. Jos SSO on konfiguroitu, käyttäjä ohjataan organisaationsa Okta-tenanttiin. Jos ei, he palaavat sähköposti/salasana- tai Google OAuth -kirjautumiseen. Vanity URL:t ovat myös tuettuja suoraan SSO-käyttöön. ---

SCIM 2.0 -toteutus

SCIM-palvelin

Alusta tarjoaa SCIM 2.0 -yhteensopivan API:n, jota Okta kutsuu käyttäjien ja ryhmien hallintaan. API tukee täydellisiä käyttäjän elinkaaren toimintoja (luo, lue, päivitä, poista käytöstä, poista), ryhmän CRUD-toimintoja jäsenyyden hallinnalla ja standardeja SCIM-löytöpisteitä ominaisuuksille, skeemoille ja resurssityypeille.

Käyttäjän elinkaari SCIMin kautta

Provisionointi:

Kun järjestelmänvalvoja määrittää käyttäjän alustan sovellukseen Oktanissa, Okta lähettää luomispyynnön SCIM API:lle. Alusta luo käyttäjätilin tenant-yhteyden kanssa, merkitsee heidät aktiivisiksi ja SSO-provisionoiduiksi, ja käyttäjä voi välittömästi kirjautua sisään SSO:n kautta.

Profiilipäivitykset:

Kun järjestelmänvalvoja päivittää käyttäjän profiilia Oktanissa, muutokset välitetään alustalle SCIMin kautta. Jos osastomuutoksia tapahtuu, ryhmäjäsenyys arvioidaan uudelleen automaattisesti.

Deprovisionointi:

Kun käyttäjä poistetaan sovelluksesta Oktanissa, alusta deaktivoi tilin – peruuttaen kaikki aktiiviset istunnot välittömästi, estäen lisäkirjautumiset, säilyttäen tiedot säilytyskäytännön mukaisesti ja vapauttaen lisenssipaikan.

Uudelleenaktivointi:

Käyttäjän uudelleenmääritys Oktanissa aktivoi hänen tilinsä uudelleen kaikki historialliset tiedot säilyttäen.

Ryhmäsynkronointi

Okta-ryhmät vastaavat alustan rooleja ja ohjelmatasoja – halliten pääsyä eri ominaisuustasoille, järjestelmänvalvojan ominaisuuksiin, erikoistuneisiin hallintapaneeleihin ja eksklusiivisiin ohjelmiin. Ryhmäjäsenyyden muutokset Oktanissa välitetään SCIMin kautta ja ne näkyvät reaaliaikaisesti ilman uudelleenkirjautumista. ---

Turvallisuus ja todennus

Tokenin myöntäminen SSO:n jälkeen

SAML assertionin validointi jälkeen alusta myöntää tenant-kohtaisia JWT:tä, jotka sisältävät käyttäjän identiteetin, organisaation, roolit (jotka on johdettu SCIM-ryhmäjäsenyydestä), todennusmenetelmän ja identity providerin – mahdollistaen tarkasteluerottelun SSO:n ja muiden todennusmenetelmien välillä.

Istunnonhallinta

  • SSO-istunnot noudattavat Oktan istunnon elinkaarta
  • Single Logout (SLO) tuettu istunnon päättymiseen, kun käyttäjä kirjautuu ulos Oktanista
  • Back-channel logout webhook välitöntä istunnon peruutusta varten
  • SCIM-deaktivointi peruuttaa kaikki aktiiviset istunnot 60 sekunnin kuluessa

Turvallisuusvalvonnat

  • SAML-vastaussignatuurin validointi tenantin X.509-sertifikaattia vastaan
  • Assertionin uusintatoiston estäminen kertakäyttöisen seurannan avulla
  • Kellon virheen sieto assertionin aikaleiman validointiin
  • Yleisörajoituksen validointi
  • Salatut assertionit tuettuja arkaluonteisissa käyttöönotoissa
  • SCIM-rajapään todennus tenanttikohtaisilla Bearer tokeneilla
  • Rate limiting SCIM-rajapinnassa

---

Järjestelmänvalvojan konfigurointipaneeli

Tenantin SSO-asetukset

Järjestelmänvalvojan hallintapaneeli tarjoaa itsepalveluasetusvirran:

  1. Protokollan valinta — Valitse SAML 2.0 tai OIDC
  2. Metadatan lataus — Lataa IdP-metadatan XML (täyttää konfiguraation automaattisesti)
  3. Attribuuttikartoitus — Kartoita identity providerin profiilikentät alustan käyttäjäkenttiin
  4. Domainin vahvistus — Vahvista sähköpostidomainin/domainien omistus SSO-reititystä varten
  5. Testiyhteys — Aloita SSO-testikirjautuminen ennen kaikkien käyttäjien aktivointia
  6. SCIM-asetukset — Luo Bearer token SCIM-provisionoinnin konfiguraatiota varten
  7. Ryhmäkartoitus — Kartoita identity providerin ryhmät alustan rooleihin ja tasoihin

Hallintapaneeli tarjoaa myös ladattavan SP-metadatan helppoa identity provider -sovelluksen konfiguraatiota varten. ---

Tärkeimmät ominaisuudet

  1. SAML 2.0 + OIDC-tuki — Joustava protokollan valinta per tenantti
  2. SCIM 2.0 -provisionointi — Automaattinen käyttäjien luominen, päivitykset ja deaktivointi
  3. Ryhmä-rooli-kartoitus — Identity providerin ryhmät hallitsevat alustan pääsytasoja ja ohjelmia
  4. Välitön deprovisionointi — SCIM-deaktivointi peruuttaa pääsyn 60 sekunnin kuluessa
  5. Moniasiakas-SSO-reititys — Sähköpostidomainiin perustuva IdP-löytäminen eri tenanttien välillä
  6. Rinnakkaiset todennusmenetelmät — SSO sähköposti/salasanan ja Google OAuthin rinnalla
  7. Itsepalveluasetukset — Järjestelmänvalvojan hallintapaneeli SSO-konfigurointiin ilman teknistä tukea
  8. Single Logout — Alustan istunto päättyy, kun käyttäjä kirjautuu ulos identity providerista
  9. Tarkastusjälki — Jokainen SCIM-toiminto ja SSO-tapahtuma kirjataan vaatimustenmukaisuuden vuoksi
  10. SCIM-ryhmäsynkronointi — Reaaliaikaiset rooli- ja ohjelmamuutokset identity providerin ryhmäjäsenyydestä

Tulokset

Yrityssopimusten esteen poistuminen: SSO + SCIM -vaatimus täytetty, mikä mahdollisti yrityssopimusten solmimisen
Käyttöönottonopeus: 500 käyttäjän organisaatio provisionoitiin minuuteissa verrattuna päivien manuaaliseen asennukseen
Poistumisen vaatimustenmukaisuus: Deaktivointi levisi 60 sekunnin kuluessa identity providerista poistamisesta

Teknologiapino

OktaSAML 2.0OIDCSCIM 2.0NestJSTypeScriptPostgreSQLRedisJWTReactBearer Token Authentication

caseStudyDetail.more Tapaustutkimukset

Tutustu lisää teknisiin toteutuksiimme

AI Accounting

AI-pohjainen laskujen käsittely OCR:n ja QuickBooks-integraation avulla

Keskisuuri yritys, joka käsitteli satoja toimittajalaskuja kuukausittain, halusi poistaa manuaalisen tiedonsyötön poimimalla laskutiedot automaattisesti AI/OCR:n avulla ja synkronoimalla ne suoraan QuickBooks-järjestelmään kirjanpitoa ja maksujen seurantaa varten.

Lue Tapaustutkimus
Video Encoding

Asiakaspuolen mainosten upotus (CSAI) SCTE-35-merkkien jäsennyksellä ja monialustaisen soittimen integroinnilla

Videoiden suoratoistoalustan piti toteuttaa Client-Side Ad Insertion (CSAI) verkko-, mobiili- ja Connected TV -sovellusten yli — mahdollistaen personoidut, laitekohtaiset mainoskokemukset täydellä mainosinteraktion tuella (klikkaavat peittokuvat, kumppanibannerit, ohituspainikkeet), joita server-side insertion ei voi tarjota.

Lue Tapaustutkimus

Valmis Muuttamaan Liiketoimintaasi?

Keskustellaan siitä, miten voimme soveltaa vastaavia ratkaisuja haasteisiisi.

Ota YhteyttäcaseStudyDetail.viewAllCaseStudies
IT-osaston omaksuminen: Itsepalvelu-SSO-asetukset vähensivät käyttöönoton tukipyyntöjä 80 %
Turvallisuusasema: Keskitetty identiteetinhallinta poisti orvot tilit
Todennuksen rinnakkaiselo: Pienemmät asiakkaat jatkoivat sähköposti/salasana-kirjautumisen käyttöä häiriöittä
Web Scraping

Tekoälykäyttöinen blogisisällön kaavinta- ja generointialusta

Mediakonserni tarvitsi älykkään sisältöalustan, joka voisi automatisoida blogisisällön luomisen kaapimalla olemassa olevaa verkkosisältöä, analysoimalla sitä AI:lla ja luomalla alkuperäisiä, SEO-optimoituja blogikirjoituksia poimitusta tiedosta.

Lue Tapaustutkimus

Usein kysytyt kysymykset

MicrocosmWorks otti käyttöön SCIM 2.0 -protokollan mahdollistaakseen automaattisen käyttäjien provisionoinnin ja deprovisionoinnin Okta-palvelun ja terveys- ja hyvinvointialustan välillä. Joten kun IT-ylläpitäjät lisäävät, muokkaavat tai poistavat käyttäjiä Okta-hakemistosta, nämä muutokset välittyvät sovellukseen sekunneissa. Tämä poistaa manuaalisen tunnusten luonnin, käyttöoikeuksien päivitykset ja poistamistehtävät, jotka IT-tiimit aiemmin hoitivat tukipyyntöjen kautta, vähentäen pääsynhallinnan hallintatyötä noin 90 %:lla.

MicrocosmWorks rakensi konfiguroitavan roolikartoituskerroksen, joka muuntaa Okta-ryhmäjäsenyydet sovellustason rooleiksi ja käyttöoikeuksiksi, tukien sekä suoria ryhmästä rooliin -kartoituksia että monimutkaisia sääntöjä, jotka yhdistävät useita ryhmäjäsenyyksiä. Kun käyttäjän ryhmäjäsenyys muuttuu Oktassa, SCIM-integraatio päivittää heidän sovelluksen käyttöoikeutensa reaaliaikaisesti, ja järjestelmä kirjaa jokaisen käyttöoikeusmuutoksen tarkastusten vaatimustenmukaisuutta varten.

MicrocosmWorks toteutti reaaliaikaisen istuntojen peruuttamisen, joka valvoo SCIM-käytöstäpoistotapahtumia ja mitätöi välittömästi kaikki aktiiviset istunnot poistetulta käyttäjältä kaikilla laitteilla ja selaimilla. Järjestelmä ei odota tokenin vanhenemista; se työntää aktiivisesti peruuttamisen istuntovarastoon muutamassa sekunnissa Okta-tapahtumasta, mikä on kriittistä tietoturvavaatimusten noudattamiselle, kun työntekijöiden työsuhde päättyy ja heidän pääsynsä on poistettava välittömästi.

Kyllä, MicrocosmWorks suunnitteli todennuskerroksen tukemaan useita samanaikaisia identiteetintarjoajia Okta:n reitityssääntöjen avulla, sallien käyttäjien eri yrityshakemistoista todentaa itsensä omien IdP:nsä kautta käyttäessään samaa sovellusinstanssia. Tämä on olennaista M&A-siirtymien aikana, joissa fuusioituneet organisaatiot ylläpitävät erillisiä Active Directory -toimialueita, ja järjestelmä käsittelee IdP:iden väliset attribuuttien kartoituserot läpinäkyvästi.

MicrocosmWorks toteuttaa Okta SSO- ja SCIM-integraatioita tuntihintaan 25–45 dollaria, tyypillisen integraation kestääessä 3–6 viikkoa roolimäärityksen (role mapping) monimutkaisuudesta ja synkronoitavien olemassa olevien käyttäjäattribuuttien määrästä riippuen. Tämä investointi on murto-osa manuaalisen käyttäjähallinnan jatkuvista kustannuksista ja viivästyneen käyttöoikeuksien peruutuksen turvallisuusriskistä, ja se on usein vaatimus enterprise sales -sopimusten solmimiselle.